Académique Documents
Professionnel Documents
Culture Documents
IPsec et zones : pour gérer les clés et la stratégie IPsec dans le cas d'une zone non globale IP
partagée, créez le fichier de stratégie IPsec dans la zone globale, puis exécutez les commandes de
configuration IPsec à partir de la zone globale. Utilisez l'adresse source correspondant à la zone non
globale à configurer. Vous pouvez également configurer les clés et la stratégie IPsec dans la zone
globale pour la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec
dans la zone non globale. À partir de la version Solaris 10 7/07, vous pouvez gérer les clés dans une
zone non globale à l'aide d'IKE.
IPsec et RBAC : pour utiliser les rôles afin d'administrer IPsec, reportez-vous au Chapitre 9, Using
Role-Based Access Control (Tasks) du System Administration Guide: Security Services. La section
Configuration d'un rôle pour la sécurité réseau présente un exemple.
IPsec et SCTP : vous pouvez utiliser IPsec pour protéger les associations SCTP (Streams Control
Transmission Protocol, protocole de transmission de contrôle de flux), mais avec prudence. Pour de
plus amples informations, reportez-vous à la section IPsec et SCTP.
Chaque système possède deux adresses, une adresse IPv4 et une adresse IPv6.
Chaque système nécessite le chiffrement ESP avec l'algorithme AES, qui requiert une clé de
128 bits, ainsi que l'authentification ESP avec la synthèse des messages SHA1, qui requiert une clé
de 160 bits.
Chaque système utilise des associations de sécurité partagées (SA, Security Associations).
Avec les SA partagées, une seule paire de SA est suffisante pour protéger les deux systèmes.
Avant de commencer
Vous devez vous trouver dans la zone globale pour configurer la stratégie IPsec pour le système ou pour
une zone IP partagée. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone
non globale.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 1/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Remarque –
Les connexions à distance peuvent compromettre la sécurité du trafic de données critiques. Même
si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se
limite à celle de la session à distance. Exécutez la commande ssh pour assurer une connexion à
distance sécurisée. Voir l' Exemple 20–1.
Sur un système exécutant une version antérieure à la version Solaris 10 7/07, insérez les entrées
IPv4 et IPv6 dans le fichier /etc/inet/ipnodes. Les entrées d'un système doivent être contiguës
dans le fichier. Pour de plus amples informations sur les fichiers de configuration système, reportez-
vous à la section Fichiers de configuration TCP/IP et au Chapitre 11Présentation détaillée de IPv6
(référence).
Si vous connectez des systèmes utilisant exclusivement des adresses IPv4, modifiez le fichier
/etc/inet/hosts. Dans cet exemple, les systèmes à connecter s'exécutent dans une version Solaris
antérieure et utilisent des adresses IPv6.
a. Sur un système appelé enigma, saisissez les lignes suivantes dans le fichier hosts ou ipnodes :
b. Sur un système appelé partym, saisissez les lignes suivantes dans le fichier hosts ou ipnodes :
L'utilisation de services d'assignation de noms pour des noms symboliques comporte des risques.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 2/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
La syntaxe des entrées de stratégie IPsec est décrite dans la page de manuel ipsecconf(1M).
5. Sur chaque système, ajoutez une paire de SA IPsec entre les deux systèmes.
Vous pouvez configurer le protocole IKE (Internet Key Exchange, échange de clé Internet) afin de
créer automatiquement les SA. Vous pouvez également ajouter les SA manuellement.
Remarque –
Il est recommandé d'utiliser IKE, sauf si, pour des raisons spécifiques, vous devez générer les clés
et les mettre à jour manuellement. La gestion des clés à l'aide d'IKE est plus sécurisée.
Si vous exécutez une version antérieure à la version Solaris 10 4/09, réinitialisez le système.
# init 6
# ipsecconf -c -f /etc/inet/ipsecinit.conf
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 3/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec,
activez-la.
Si vous avez configuré le service IKE lors l'Étape 5, effectuez l'une des opérations suivantes :
Si vous avez configuré manuellement les clés lors de l'Étape 5, effectuez l'une des opérations
suivantes :
La procédure est décrite à la section Vérification de la protection des paquets par IPsec.
Exemple 20–1 Ajout d'une stratégie IPsec lors de l'utilisation d'une connexion ssh
Dans cet exemple, l'administrateur en tant que superutilisateur configure la stratégie IPsec et des clés sur
deux systèmes à l'aide de la commande ssh pour atteindre le second système. Pour plus d'informations,
reportez-vous à la page de manuel ssh(1).
Tout d'abord, l'administrateur configure le premier système en effectuant les étapes Étape 2 à
Étape 5 de la procédure précédente.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 4/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Ensuite, dans une autre fenêtre de terminal, l'administrateur utilise la commande ssh pour se
connecter au deuxième système.
Dans la fenêtre de terminal de la session ssh, l'administrateur configure la stratégie IPsec et les clés
du second système en effectuant les étapes Étape 2 à Étape 6.
other-system # exit
local-system #
Enfin, l'administrateur active la stratégie IPsec sur le premier système en effectuant l'Étape 6.
La prochaine fois que les deux systèmes communiquent, y compris par le biais d'une connexion ssh, la
communication est protégée par IPsec.
L'exemple suivant est utile lorsque vous exécutez une version antérieure à la version Solaris 10 4/09.
Dans votre version, IPsec n'est pas géré en tant que service. Cet exemple décrit l'implémentation d'IPsec
dans un environnement de test. Dans un environnement de production, il est plus sécurisé de réinitialiser
que d'exécuter la commande ipsecconf. Les considérations de sécurité sont indiquées à la fin de cet
exemple.
Si vous utilisez IKE pour créer des numéros de clé, arrêtez le démon in.iked, puis relancez-le.
# pkill in.iked
# /usr/lib/inet/in.iked
Si vous ajoutez des clés manuellement, exécutez la commande ipseckey afin d'ajouter les SA à la
base de données.
# ipseckey -c -f /etc/inet/secret/ipseckeys
# ipsecconf -a /etc/inet/ipsecinit.conf
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 5/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Considérations de sécurité : lisez l'avertissement qui s'affiche lorsque vous exécutez la commande
ipsecconf. Un socket déjà verrouillé, c'est-à-dire un socket déjà utilisé, constitue une porte dérobée non
sécurisée sur le système. Pour plus d'informations, reportez-vous à la section Considérations de sécurité à
propos de ipsecinit.conf et ipsecconf.
Avant de commencer
Vous devez configurer la stratégie IPsec dans la zone globale. Dans une zone IP exclusive, vous devez
configurer la stratégie IPsec dans la zone non globale. Vous avez effectué les étapes de la section
Sécurisation du trafic entre deux systèmes à l'aide d'IPsec afin que les conditions suivantes soient
remplies :
Les numéros de clé sont en cours de création, soit manuellement, soit par le biais d'IKE.
Remarque –
En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques
d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre,
la sécurité du système se limite à celle de la session à distance. Exécutez la commande ssh pour
assurer une connexion à distance sécurisée.
2. Déterminez les services qui doivent ignorer les vérifications de stratégie de sécurité.
Pour un serveur Web, ces services incluent les ports TCP 80 (HTTP) et 443 (HTTP sécurisé). Si le
serveur Web assure la recherche de noms DNS, le serveur doit peut-être inclure également le port
53 pour TCP et UDP.
Si vous exécutez une version antérieure à la version Solaris 10 4/09, suivez les étapes Étape 8
à Étape 11.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 6/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
# Require all other traffic to use ESP with AES and SHA-1.
# Use a unique SA for outbound traffic from the port
{} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions
de contournement décrites à l'Étape 4.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
Si vous avez configuré le service IKE lors de l'Étape 5 de la section Sécurisation du trafic
entre deux systèmes à l'aide d'IPsec, relancez le service IKE.
Si vous avez configuré manuellement des clés lors de l'Étape 5 de la section Sécurisation du
trafic entre deux systèmes à l'aide d'IPsec, actualisez le service manual-key.
Votre installation est terminée. Si vous le souhaitez, vous pouvez effectuer l'Étape 12.
Remarque –
Les étapes ci-dessous permettent de configurer un serveur Web exécutant une version antérieure à
la version Solaris 10 4/09.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 7/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Attribuez au fichier un nom indiquant son objectif, par exemple FichierInitWebIPsec. Tapez les
lignes suivantes dans ce fichier :
# Require all other traffic to use ESP with AES and SHA-1.
# Use a unique SA for outbound traffic from the port
{} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions
de contournement décrites à l'Étape 4.
Si vous effectuez la gestion des clés à l'aide d'IKE, arrêtez le démon in.iked, puis relancez-
le.
# pkill in.iked
# /usr/lib/inet/in.iked
Si vous gérez manuellement les clés, exécutez les commandes ipseckey et ipsecconf.
# ipseckey -c -f /etc/inet/secret/ipseckeys
# ipsecconf -a /etc/inet/IPsecWebInitFile
Attention –
Atten
Lisez l'avertissement qui s'affiche lorsque vous exécutez la commande ipsecconf. Un socket déjà
verrouillé, c'est-à-dire un socket déjà utilisé, constitue une porte dérobée non sécurisée sur le
système. Pour plus d'informations, reportez-vous à la section Considérations de sécurité à propos de
ipsecinit.conf et ipsecconf. Le même avertissement s'applique au redémarrage du démon
in.iked.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 8/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Vous pouvez également réinitialiser. La réinitialisation assure la mise en œuvre de la stratégie IPsec
sur toutes les connexions TCP. À la réinitialisation, les connexions TCP utilisent la stratégie du
fichier de stratégie IPsec.
12. (Facultatif) Autorisez un système distant à communiquer avec le serveur Web pour le trafic non-
Web.
Un système distant peut communiquer de manière sécurisée avec le serveur Web pour le trafic non-
Web uniquement lorsque les stratégies IPsec des systèmes sont identiques.
Avant de commencer
Vous devez exécuter la commande ipsecconf dans la zone globale. Dans une zone IP exclusive, vous
devez exécuter la commande ipsecconf dans la zone non globale.
1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil Network IPsec
Management (gestion IPsec du réseau).
Si vous exécutez une version antérieure à la version Solaris 10 4/09, le profil Network IPsec
Management n'est pas disponible. Utilisez le profil Network Security.
Pour créer un rôle incluant un profil de sécurité réseau et attribuer ce rôle à un utilisateur, reportez-
vous à la section Configuration d'un rôle pour la sécurité réseau.
a. Affichez les entrées de stratégie IPsec globales dans l'ordre dans lequel les entrées ont été
insérées.
$ ipsecconf
b. Affichez les entrées de stratégie IPsec dans l'ordre dans lequel les correspondances sont
repérées.
$ ipsecconf -l
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 9/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
c. Affichez les entrées de stratégie IPsec, y compris les entrées définies par tunnel, dans l'ordre
dans lequel les correspondances sont repérées.
$ ipsecconf -L
Si votre site possède un générateur de nombres aléatoires, utilisez-le. Dans le cas contraire, vous pouvez
utiliser la commande od avec le périphérique Solaris /dev/random en entrée. Pour de plus amples
informations, reportez-vous à la page de manuel od(1).
Dans la version Solaris 10 4/09, vous pouvez également utiliser la commande pktool. La syntaxe de cette
commande est plus simple que la syntaxe de la commande od. Pour plus de détails, reportez-vous à la
section How to Generate a Symmetric Key by Using the pktool Command du System Administration
Guide: Security Services.
-x
Affiche le vidage octal au format hexadécimal. Le format hexadécimal s'avère utile pour les
numéros de clé. Le numéro hexadécimal obtenu s'imprime par blocs de 4 caractères.
-X
Affiche le vidage octal au format hexadécimal. Le numéro hexadécimal obtenu s'imprime par
blocs de 8 caractères.
-A n
fichier
head -n
Supprime les espaces entre les numéros sur une ligne afin de créer des clés de 32 caractères. Une
clé de 32 caractères correspond à 128 bits. Tout index de paramètre de sécurité (SPI, Security
Parameter Index) doit être défini à l'aide d'une clé de 8 caractères. La clé doit utiliser le préfixe 0x.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 10/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Dans l'exemple suivant, deux lignes de clés s'affichent par groupes de huit caractères hexadécimaux
chacun.
% od -X -A n /dev/random | head -2
d54d1536 4a3e0352 0faf93bd 24fd6cad
8ecc2670 f3447465 20db0b0c c83f5a4b
En combinant les quatre numéros de la première ligne, vous pouvez créer une clé de 32 caractères. Un
numéro de 8 caractères précédé de 0x (0xf3447465, par exemple) définit une valeur de SPI adéquate.
Dans l'exemple suivant, deux lignes de clés s'affichent par groupes de quatre caractères hexadécimaux
chacun.
% od -x -A n /dev/random | head -2
34ce 56b2 8b1b 3677 9231 42e9 80b0 c673
2f74 2817 8026 df68 12f4 905a db3d ef27
En combinant les huit numéros de la première ligne, vous pouvez créer une clé de 32 caractères.
Avant de commencer
La gestion manuelle des numéros de clé pour une zone IP partagée s'effectue dans la zone globale.
Il vous faut trois numéros aléatoires hexadécimaux pour le trafic sortant et trois autres numéros
aléatoires hexadécimaux pour le trafic entrant.
deux numéros aléatoires hexadécimaux comme valeur du mot-clé spi : un numéro pour le
trafic sortant et un numéro pour le trafic entrant. Chaque numéro peut comporter huit
caractères maximum.
Deux numéros aléatoires hexadécimaux pour l'algorithme SHA1 pour authentification. Pour
une clé de 160 bits, chaque numéro doit comporter 40 caractères. L'un d'eux est dédié à dst
enigma, l'autre à dst partym.
Deux numéros aléatoires hexadécimaux pour l'algorithme AES pour chiffrement. Pour une
clé de 256 bits, chaque numéro doit comporter 64 caractères. L'un d'eux est dédié à dst
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 11/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Si un générateur de nombres aléatoires est disponible sur votre site, utilisez-le. Vous pouvez
également exécuter la commande od. La procédure est décrite à la section Génération de numéros
aléatoires sur un système Solaris.
Remarque –
En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques
d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre,
la sécurité du système se limite à celle de la session à distance. Exécutez la commande ssh pour
assurer une connexion à distance sécurisée.
Si vous exécutez une version antérieure à la version Solaris 10 4/09, suivez les étapes Étape 4
à Étape 9.
# ipseckey
>
> flush
>
Pour éviter qu'un concurrent ait le temps de déceler vos SA, remplacez les numéros de clé.
Remarque –
Vous devez coordonner les remplacements des clés sur les systèmes en communication. Lorsque
vous remplacez les SA sur un système, vous devez également les remplacer sur le système distant.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 12/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Cette syntaxe permet également de remplacer les SA après les avoir vidées.
protocole
chaîne-hex-aléatoire
adr
adr2
préfixe-protocole
Défini sur encr ou auth. Le préfixe encr est utilisé avec le protocole esp. Le préfixe auth est
utilisé avec le protocole ah, ainsi que pour l'authentification du protocole esp.
algorithme-protocole
Spécifie un algorithme pour ESP ou AH. Chaque algorithme requiert une clé d'une longueur
spécifique.
MD5 et SHA1 sont des algorithmes d'authentification. SHA256 et SHA512 sont pris en
charge depuis version la Solaris 10 4/09. DES, 3DES, AES et Blowfish sont des algorithmes
de chiffrement.
chaîne-hex-aléatoire-longueur-requise-par-algorithme
Remarque –
b. Toujours dans le mode de la commande ipseckey sur le système enigma, protégez les paquets
sortants.
Remarque –
Les clés et SPI peuvent être différents pour chaque SA. Vous devez attribuer différentes clés
et un SPI différent à chaque SA.
7. Pour quitter le mode de la commande ipseckey, appuyez sur Ctrl-D ou tapez quit.
Dans les versions antérieures à la version Solaris 10 4/09, cette étape permet de s'assurer que les
numéros de clé requis sont disponibles pour IPsec au moment de la réinitialisation.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 14/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \
authkey c80984bc4733cc0b7c228b9b74b988d2b7467745
Les numéros de clés utilisés sur chacun des systèmes doivent être identiques. Comme illustré dans
l'exemple ci-dessous, les commentaires du fichier ipseckeys constituent la seule différente. Les
commentaires sont différents parce que dst enigma correspond à du trafic entrant sur le système
enigma et à du trafic sortant sur le système partym.
Dans cet exemple, l'administrateur configure un système exécutant la version actuelle Solaris10.
L'administrateur crée de nouvelles clés, modifie les informations de clé dans le fichier ipseckeys, puis
redémarre le service.
Tout d'abord, l'administrateur génère les clés en effectuant la procédure de la section Génération de
numéros aléatoires sur un système Solaris.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 15/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
L'administrateur a utilisé les mêmes algorithmes. Par conséquent, l'administrateur change les
valeurs de SPI, encrkey et authkey uniquement :
Enfin, l'administrateur redémarre le service manual-key. La commande remet à zéro les anciennes
clés avant l'ajout de nouvelles clés.
Le préfixe AH: indique que AH protège les en-têtes. AH: s'affiche si le trafic est protégé à l'aide
d'auth_alg.
Le préfixe ESP: indique le transfert de données chiffrées. ESP: s'affiche si le trafic est protégé à
l'aide d'encr_auth_alg ou d'encr_alg.
Avant de commencer
Pour créer la sortie snoop, vous devez être superutilisateur ou prendre un rôle équivalent. Vous devez
avoir accès aux deux systèmes afin de tester la connexion.
% su -
Password: Type root password
#
2. À partir du système partym, préparez l'analyse des paquets à l'aide de la commande snoop à partir
d'un système distant.
Dans une fenêtre de terminal sur partym, analysez les paquets du système enigma.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 16/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
# snoop -v enigma
Using device /dev/hme (promiscuous mode)
Dans une autre fenêtre de terminal, connectez-vous à distance au système enigma. Tapez le mot de
passe. Ensuite, connectez-vous en tant que superutilisateur et envoyez un paquet du système enigma
vers le système partym. Le paquet doit être capturé à l'aide de la commande snoop -v enigma.
% ssh enigma
Password: Type your password
% su -
Password: Type root password
# ping partym
Sur le système partym, la sortie devrait contenir les informations AH et ESP après les informations
d'en-tête IP initiales. Les informations AH et ESP semblables à l'exemple ci-dessous indiquent que les
paquets sont protégés :
% cd /etc/security
% grep Network prof_attr
Network IPsec Management:::Manage IPsec and IKE...
Network Link Security:::Manage network link security...
Network Management:::Manage the host and network configuration...
Network Security:::Manage network and host security...
Network Wifi Management:::Manage wifi network configuration...
Network Wifi Security:::Manage wifi network security...
Si vous exécutez une version antérieure à la version Solaris 10 4/09, la sortie est semblable à ce qui
suit :
% cd /etc/security
% grep Network prof_attr
Network Management:::Manage the host and network configuration
Network Security:::Manage network and host security
System Administrator::: Network Management
Le profil de gestion du réseau est un profil supplémentaire inclus dans le profil d'administrateur
système. Si vous avez attribué le profil de droits d'administrateur système à un rôle, alors ce dernier
permet d'exécuter les commandes définies dans le profil de gestion du réseau.
Basez votre choix sur les profils de droits définis lors de l'Étape 1.
Pour créer un rôle qui gère l'ensemble de la sécurité du réseau, utilisez le profil de droits
Network Security.
Dans la version actuelle, pour créer un rôle qui gère IPsec et IKE uniquement, utilisez le
profil de droits Network IPsec Management.
Un rôle auquel est appliqué le profil de droits Network Security ou Network IPsec Management, en
plus du profil Network Management, peut exécuter les commandes ifconfig, snoop, ipsecconf et
ipseckey, entre autres, avec les privilèges appropriés.
Pour créer un rôle et l'attribuer à un utilisateur, ainsi que pour enregistrer les modifications avec le
service de noms, reportez-vous à la section Configuring RBAC (Task Map) du System
Administration Guide: Security Services .
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 18/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
Dans cet exemple, l'administrateur répartit les responsabilités de sécurité réseau entre deux rôles. Un rôle
peut administrer la sécurité des connexions Wi-Fi et des liens et un autre rôle administrer IPsec et IKE.
Chaque rôle est assigné à trois personnes, une personne par période de travail.
L'administrateur attribue au rôle les profils de droits Network Wifi, Network Link Security et
Network Management.
L'administrateur attribue au rôle les profils de droits Network IPsec Management et Network
Management.
2. Pour gérer automatiquement les clés, effectuez l'une des opérations suivantes :
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 19/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
3. Pour gérer manuellement les clés, effectuez l'une des opérations suivantes :
Une fois que vous avez modifié le fichier ipseckeys, actualisez le service.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 20/21
20/01/2023 13:33 Protection du trafic à l'aide d'IPsec (Guide d'administration système : services IP)
4. Si vous modifiez le tableau des protocoles IPsec et des algorithmes, actualisez le service ipsecalgs.
Erreurs fréquentes
Pour connaître l'état d'un service, utilisez la commande de service svcs. Si le service est en mode
maintenance, suivez les suggestions de débogage dans la sortie de la commande de service svcs -x.
https://docs.oracle.com/cd/E19957-01/820-2982/ipsec-mgtasks-4/index.html 21/21