6.13. Configuration des connexions IPsec qui ne respectent pas les politiques cryptographiques du système
Remplacer les politiques cryptographiques du système pour une connexion
Les politiques cryptographiques du système RHEL créent une connexion spéciale appelée Þfault. Cette connexion contient les valeurs par défaut des options ikev2, esp et ike. Toutefois, vous pouvez remplacer les valeurs par défaut en spécifiant l'option mentionnée dans le fichier de configuration de la connexion.
Par exemple, la configuration suivante autorise les connexions qui utilisent IKEv1 avec AES et SHA-1 ou SHA-2, et IPsec (ESP) avec AES-GCM ou AES-CBC :
conn MyExample ... ikev2=never ike=aes-sha2,aes-sha1;modp2048 esp=aes_gcm,aes-sha2,aes-sha1 ...
Notez que l'AES-GCM est disponible pour IPsec (ESP) et pour IKEv2, mais pas pour IKEv1.
Désactivation des stratégies cryptographiques à l'échelle du système pour toutes les connexions
Pour désactiver les stratégies cryptographiques à l'échelle du système pour toutes les connexions IPsec, commentez la ligne suivante dans le fichier /etc/ipsec.conf:
include /etc/crypto-policies/back-ends/libreswan.config
Ajoutez ensuite l'option ikev2=never à votre fichier de configuration de la connexion.
Ressources supplémentaires
