IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。
この手順では、ASCII 形式の鍵を生成します。
これらの手順には、システム名 host1 および host2 を使用します。名前 host1 と host2 を使用しているシステムの名前に置き換えてください。
始める前に
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、セキュアなリモートログイン手順について、使用例 27およびOracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell を使用して ZFS をリモートで管理する方法を参照してください。
/etc/inet/ike/config.sample をテンプレートとして使用できます。
これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKEv1 構成の例は、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法の ipsecinit.conf の例で機能します。
### ike/config file on host1, 192.168.116.16 ## Global parameters # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 14 auth_alg sha encr_alg 3des } p2_pfs 14 # ## The rule to communicate with host2 # Label must be unique { label "host1-host2" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 14 auth_alg sha256 encr_alg aes } p2_pfs 14 }
### ike/config file on host2, 192.168.13.213 ## Global Parameters # p1_xform { auth_method preshared oakley_group 14 auth_alg sha encr_alg 3des } p2_pfs 14 ## The rule to communicate with host1 # Label must be unique { label "host2-host1" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 14 auth_alg sha256 encr_alg aes } p2_pfs 14 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
## ike.preshared on host1, 192.168.116.16 #... { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # The preshared key can also be represented in hex # as in 0x123... key "Str0ng p@wd tekniq ... " }
## ike.preshared on host2, 192.168.13.213 #... { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # The preshared key can also be represented in hex # as in 0x123... key "Str0ng p@wd tekniq ... " }
# svcadm enable ipsec/ike:default
IKEv1 管理者が事前共有鍵をリフレッシュするときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。
最初に、事前共有鍵を使用する 2 つのサブネット内のすべてのシステムで、管理者が事前共有鍵エントリを変更します。
# pfedit -s /etc/inet/secret/ike.preshared ... { localidtype IP localid 192.168.116.0/24 remoteidtype IP remoteid 192.168.13.0/24 # The two subnet's shared passphrase for keying material key "P-LongISH to ch*angE ...)" }
次に、管理者は各システムの IKEv1 サービスを再起動します。
pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。
# svcadm enable ipsec/ike:default
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。