事前共有鍵で IKEv2 を構成する方法
この手順では、名前 host1 と host2 を使用しているシステムの名前に置き換えてください。両方の IKE エンドポイントを構成します。
始める前に
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、セキュアなリモートログイン手順について、使用例 27およびOracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell を使用して ZFS をリモートで管理する方法を参照してください。
-
各システムで /etc/inet/ike/ikev2.config ファイルを編集します。
# pfedit /etc/inet/ike/ikev2.config
-
ファイル内に、事前共有鍵を使用するルールを作成します。
このファイルのルールおよびグローバルパラメータは、システムの ipsecinit.conf ファイル内の IPsec ポリシーの鍵を管理する必要があります。次の IKEv2 構成の例では、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法の ipsecinit.conf の例の鍵を管理します。
-
たとえば、host1 システムの ikev2.config ファイルを変更します。
注 - この例では、グローバルパラメータセクションの 2 つの変換を示します。ピアはこれらの変換のいずれかで構成できます。特定の変換を要求するには、その変換をルールに含めます。### ikev2.config file on host1, 192.168.116.16 ## Global parameters # This default value will apply to all transforms that follow # ikesa_lifetime_secs 3600 # # Global transform definitions. The algorithm choices are # based on RFC 4921. # ## Two transforms are acceptable to this system, Group 20 and Group 19. ## A peer can be configured with 19 or 20. ## To ensure that a particular peer uses a specific transform, ## include the transform in the rule. ## # Group 20 is 384-bit ECP - Elliptic Curve over Prime ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 } # Group 19 is 256-bit ECP ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 } # ## The rule to communicate with host2 ## Label must be unique { label "host1-host2" auth_method preshared local_addr 192.168.116.16 remote_addr 192.168.13.213 } -
host2 システムの ikev2.config ファイルを変更します。
## ikev2.config file on host2, 192.168.13.213 ## Global Parameters # ... ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 } ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 } ... ## The rule to communicate with host1 ## Label must be unique { label "host2-host1" auth_method preshared local_addr 192.168.13.213 remote_addr 192.168.116.16 }
-
たとえば、host1 システムの ikev2.config ファイルを変更します。
-
各システムで、ファイルの構文を確認します。
# /usr/lib/inet/in.ikev2d -c
-
各システムの /etc/inet/ike/ikev2.preshared ファイルに事前共有鍵を追加します。
注意 - このファイルは特殊な権限を持ち、ikeuser によって所有されています。このファイルは決して削除したり置き換えたりしないでください。代わりに、ファイルが元のプロパティーを保持できるように pfedit コマンドを使用して内容を編集してください。
-
たとえば、host1 システムの ikev2.preshared ファイルは次のようになります。
# pfedit -s /etc/inet/ike/ikev2.preshared ## ikev2.preshared on host1, 192.168.116.16 # ... ## label must match the rule that uses this key { label "host1-host2" ## The preshared key can also be represented in hex ## as in 0x123... key "Str0ng p@wd tekniq ... " }pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。
-
host2 システムでは、ikev2.preshared ファイルは固有のラベル以外はほぼ同じです。
## ikev2.preshared on host2, 192.168.13.213 # ... ## label must match the label of the rule that uses this key { label "host2-host1" ## The preshared key can also be represented in hex ## as in 0x123... key "Str0ng p@wd tekniq ... " }
-
たとえば、host1 システムの ikev2.preshared ファイルは次のようになります。
-
IKEv2 サービスインスタンスを有効にします。
# svcadm enable ipsec/ike:ikev2
事前共有鍵を置き換えるときは、ピアシステムで事前共有鍵ファイルを編集して ikev2 サービスを再起動します。
# svcadm restart ikev2
この例では、IKEv2 の管理者がシステムごとに事前共有鍵を作成してそれらを交換し、各鍵を事前共有鍵ファイルに追加します。事前共有鍵エントリのラベルは ikev2.config ファイル内のルールのラベルと一致します。その後、彼らは in.ikev2d デーモンを再起動します。
相手システムの事前共有鍵を受け取ったあと、管理者は ikev2.preshared ファイルを編集します。host2 のファイルは次のとおりです。
# pfedit -s /etc/inet/ike/ikev2.preshared
#…
{ label "host2-host1"
## local and remote preshared keys
local_key "P-LongISH to ch*angE ...)"
remote_key "E-CHaNge lE ..."
}
したがって、host1 の ikev2.preshared 鍵ファイルは次のようになります。
#...
{ label "host1-host2"
## local and remote preshared keys
local_key "E-CHaNge lE ..."
remote_key "P-LongISH to ch*angE ...)"
}
管理者は各システムで IKEv2 サービスインスタンスを再起動します。
# svcadm restart ikev2
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。
その他の例については、ikev2.config(4) および ikev2.preshared(4) のマニュアルページを参照してください。