事前共有鍵で IKEv1 を構成する方法

IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。

この手順では、ASCII 形式の鍵を生成します。

これらの手順には、システム名 host1 および host2 を使用します。名前 host1 と host2 を使用しているシステムの名前に置き換えてください。

始める前に

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

リモートで管理する場合は、セキュアなリモートログイン手順について、使用例 27およびOracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell を使用して ZFS をリモートで管理する方法を参照してください。

1. システムごとに、/etc/inet/ike/config ファイルを作成します。

   /etc/inet/ike/config.sample をテンプレートとして使用できます。

2. システムごとに、規則とグローバルパラメータを ike/config ファイルに入力します。

   これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKEv1 構成の例は、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法の ipsecinit.conf の例で機能します。

   1. たとえば、host1 システムの /etc/inet/ike/config ファイルを次のように変更します。

      ### ike/config file on host1, 192.168.116.16
      
      ## Global parameters
      #
      ## Defaults that individual rules can override.
      p1_xform
        { auth_method preshared oakley_group 14 auth_alg sha encr_alg 3des }
      p2_pfs 14
      #
      ## The rule to communicate with host2
      #  Label must be unique
      { label "host1-host2"
        local_addr 192.168.116.16
        remote_addr 192.168.13.213
        p1_xform
         { auth_method preshared oakley_group 14 auth_alg sha256 encr_alg aes }
        p2_pfs 14
      }

   2. host2 システムの /etc/inet/ike/config ファイルを次のように変更します。

      ### ike/config file on host2, 192.168.13.213
      ## Global Parameters
      #
      p1_xform
        { auth_method preshared oakley_group 14 auth_alg sha encr_alg 3des }
      p2_pfs 14
      
      ## The rule to communicate with host1
      #  Label must be unique
      { label "host2-host1"
        local_addr 192.168.13.213
        remote_addr 192.168.116.16
      p1_xform
       { auth_method preshared oakley_group 14 auth_alg sha256 encr_alg aes }
      p2_pfs 14
      }

3. 各システムで、ファイルの構文を確認します。

   # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

4. 事前共有鍵を各システムの /etc/inet/secret/ike.preshared ファイルに追加します。
   1. たとえば、host1 システムの ike.preshared ファイルは次のようになります。

      ## ike.preshared on host1, 192.168.116.16
      #...
      { localidtype IP
      	localid 192.168.116.16
      	remoteidtype IP
      	remoteid 192.168.13.213
      	# The preshared key can also be represented in hex
              # as in 0x123...
              key "Str0ng p@wd tekniq ... "
      }

   2. host2 システムの ike.preshared ファイルは次のようになります。

      ## ike.preshared on host2, 192.168.13.213
      #...
      { localidtype IP
      	localid 192.168.13.213
      	remoteidtype IP
      	remoteid 192.168.116.16
      	# The preshared key can also be represented in hex
              # as in 0x123...
              key "Str0ng p@wd tekniq ... "
      	}

5. IKEv1 サービスを有効にします。

   # svcadm enable ipsec/ike:default

IKEv1 管理者が事前共有鍵をリフレッシュするときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。

最初に、事前共有鍵を使用する 2 つのサブネット内のすべてのシステムで、管理者が事前共有鍵エントリを変更します。

# pfedit -s /etc/inet/secret/ike.preshared
...
{ localidtype IP
	localid 192.168.116.0/24
	remoteidtype IP
	remoteid 192.168.13.0/24
	# The two subnet's shared passphrase for keying material 
        key  "P-LongISH to ch*angE ...)"
	}

次に、管理者は各システムの IKEv1 サービスを再起動します。

pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。

# svcadm enable ipsec/ike:default

次のステップ

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。