Go to main content
Guide de sécurité d'Oracle MiniCluster S7-2

Quitter la vue de l'impression

Mis à jour : Octobre 2016
 
 

Configuration d'IPsec et d'IKE

Avant la configuration d'IPsec, il est nécessaire de définir les noms d'hôte et/ou adresses IP spécifiques utilisés entre les pairs communicants.

Pour l'exemple de cette procédure, les adresses IP 10.1.1.1 et 10.1.1.2 sont utilisées pour désigner deux zones Solaris non globales exécutées par un seul locataire. La communication entre ces deux adresses est protégée par IPsec. L'exemple s'appuie sur la perspective de la zone non globale associée à l'adresse IP 10.1.1.1.

Procédez comme suit pour configurer et utiliser IPsec et IKE entre une paire de zones non globales (machines virtuelles) désignées :

  1. Définissez la stratégie de sécurité IPsec.

    Définissez la stratégie de sécurité qui sera appliquée entre la paire de zones communicantes.

    Dans cet exemple, toutes les communications réseau entre 10.1.1.1 et 10.1.1.2 seront chiffrées :

    {laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
  2. Stockez la stratégie dans le fichier /etc/inet/ipsecinit.conf.
  3. Vérifiez que la syntaxe de la stratégie IPsec est correcte.

    Exemple :

    # ipsecconf –c –f ipsecinit.conf
  4. Configurez le service IKE (Internet Key Exchange).

    Configurez le service conformément aux paramètres d'hôte et d'algorithme figurant dans le fichier /etc/inet/ike/config.

    { label "ipsec"

local_id_type ip

remote_addr 10.1.1.2

p1_xform { auth_method preshared oakley_group 5

auth_alg sha256 encr_alg aes } }
  5. Configurez la clé pré-partagée.

    Pour qu'IPsec puisse être activé, le matériel de la clé doit être partagé avec les noeuds pairs afin qu'ils puissent s'authentifier l'un l'autre.

    L'implémentation IKE d'Oracle Solaris prend en charge divers types de clé, y compris les clés pré-partagées et les certificats. Par souci de simplicité, cet exemple utilise des clés pré-partagées qui sont stockées dans le fichier /etc/inet/secret/ike.preshared. Cependant, les organisations peuvent utiliser des modes d'authentification plus puissants, le cas échéant.

    Modifiez le fichier /etc/inet/secret/ike.preshared et entrez les informations de clé pré-partagée. Par exemple :

    {
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
  6. Activez les services IPsec et IKE sur les deux pairs.

    Les services doivent être activés sur les pairs communicants pour que la communication chiffrée soit possible.

    Exemple :

    # svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
Copyright © 2016, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant