Bevor IPsec verwendet werden kann, müssen die spezifischen Hostnamen und/oder IP-Adressen definiert werden, die zwischen kommunizierenden Peers verwendet werden.
Bei dem Beispiel in dieser Prozedur werden die IP-Adressen 10.1.1.1 und 10.1.1.2 zur Angabe von zwei nicht-globalen Solaris-Zonen verwendet, die von einem einzelnen Mandanten betrieben werden. Die Kommunikation zwischen diesen beiden Adressen wird mit IPsec geschützt. Das Beispiel zeigt die Perspektive der nicht-globalen Zone, die mit IP-Adresse 10.1.1.1 verknüpft ist.
Mit den folgenden Schritten können Sie IPsec und IKE zwischen einem Paar mit angegebenen nicht-globalen Zonen (virtuellen Maschinen) konfigurieren und verwenden.
Definieren Sie die Sicherheitsrichtlinie, die zwischen dem Paar kommunizierender Zonen durchgesetzt wird.
In diesem Beispiel wird die gesamte Kommunikation zwischen 10.1.1.1 und 10.1.1.2 verschlüsselt:
{laddr 10.1.1.1 raddr 10.1.1.2} ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
Beispiel:
# ipsecconf –c –f ipsecinit.conf
Konfigurieren Sie den Service gemäß den Host- und Algorithmuseinstellungen in der Datei /etc/inet/ike/config.
{ label "ipsec" local_id_type ip remote_addr 10.1.1.2 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } }
Bevor IPsec aktiviert werden kann, muss Schlüsselmaterial auf beiden Peer-Knoten vorinstalliert werden, damit sie einander authentifizieren können.
Die Oracle Solaris IKE-Implementierung unterstützt eine Vielzahl von Schlüsseltypen, einschließlich vorinstallierten Schlüsseln und Zertifikaten. Der Einfachheit halber verwendet dieses Beispiel vorinstallierte Schlüssel, die in der Datei /etc/inet/secret/ike.preshared gespeichert sind. Unternehmen, die jedoch strengere Formen der Authentifizierung verwenden möchten, können dies tun.
Bearbeiten Sie die Datei /etc/inet/secret/ike.preshared, und geben Sie die vorinstallierten Schlüsselinformationen ein. Beispiel:
{ localidtype IP localid 10.1.1.1 remoteid type IP key "This is an ASCII phrAz, use strOng p@sswords" }
Die Services müssen auf beiden kommunizierenden Peers aktiviert werden, bevor eine verschlüsselte Kommunikation möglich ist.
Beispiel:
# svcadm enable svc:/network/ipsec/policy:default # svcadm enable svc:/network/ipsec/ike:default