此部分提供说明如何在 Sun Ray 服务器和 Sun Ray Client 上配置和启用 IPsec 的示例。对于所有这些示例,都使用下面的配置信息:
Sun Ray Client-10.25.198.65
Sun Ray 服务器-10.213.21.168
sunray_ike.conf-Sun Ray IKE 配置文件
ikeload-远程配置文件
cacert.pem-根证书文件
mycert.pem-证书文件
mykey.pem-密钥文件
下面的示例说明如何在运行 Oracle Linux 5 的 Sun Ray 服务器上使用预共享密钥配置 IPsec 以及为 Sun Ray Client 准备 IKE 配置文件。
在 Sun Ray 服务器上成为超级用户。
编辑 /etc/racoon/racoon.conf 文件,如下所示:
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
compression_algorithm deflate ;
}
编辑 /etc/racoon/psk.txt 文件以包括预共享密钥。
<ip-address_of_Sun_Ray_Client> <key> 10.25.198.65 0x12345678
配置 SPD。
# setkey -c << EOF spdadd 10.213.21.168 10.25.198.65 any -P out ipsec esp/transport//require; spdadd 10.25.198.65 10.213.21.168 any -P in ipsec esp/transport//require;
请注意 10.213.21.168 是 Sun Ray 服务器的 IP 地址,而 10.25.198.65 是 Sun Ray Client 的 IP 地址。
使用以下内容为 Sun Ray Client 创建 sunray_ike.conf 文件并将其保存到 /tftpboot 目录中。
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
}如果需要,在服务器上启用 IPsec。
# racoon
如果 IPsec 在服务器上已启用,则不需要执行此手动步骤。可以通过添加一个或多个 -d 选项(例如 -ddd)更改调试级别。
下面的示例说明如何在运行 Oracle Linux 5 的 Sun Ray 服务器上使用证书配置 IPsec 以及为 Sun Ray Client 准备 IKE 配置文件。
在 Sun Ray 服务器上成为超级用户。
将 cacert.pem、mycert.pem 和 mykey.pem 文件复制到 /etc/racoon/certs 和 /tftpboot 目录中。
编辑 /etc/racoon/racoon.conf 文件,如下所示:
path include "/etc/racoon";
path certificate "/etc/racoon/certs";
remote anonymous {
exchange_mode main;
generate_policy on;
passive on;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
my_identifier asn1dn;
peers_identifier asn1dn;
proposal_check claim;
lifetime time 24 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method rsasig;
dh_group modp1024;
}
}
sainfo anonymous {
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
lifetime time 8 hour;
compression_algorithm deflate;
} 使用以下内容为 Sun Ray Client 创建 sunray_ike.conf 文件并将其保存到 /tftpboot 目录中。
remote anonymous {
exchange_mode main;
my_identifier asn1dn;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
proposal {
authentication_method rsasig;
encryption_algorithm 3des;
hash_algorithm md5;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
pfs_group modp1024;
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
} 使用以下内容创建名为 ikeload 的远程配置文件并将其保存到 /tftpboot 目录中。
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
如果需要,在服务器上启用 IPsec。
# racoon
如果 IPsec 在服务器上已启用,则不需要执行此手动步骤。可以通过添加一个或多个 -d 选项(例如 -ddd)更改调试级别。
下面的示例说明如何在运行 Oracle Linux 6 的 Sun Ray 服务器上使用预共享密钥配置 IPsec 以及为 Sun Ray Client 准备 IKE 配置文件。
在 Sun Ray 服务器上成为超级用户。
如果尚未安装,请安装 openswan-2.6.32-16.el6.x86_64.rpm RPM。
取消 /etc/ipsec.conf 文件中以下行的注释:
include /etc/ipsec.d/*.conf
确保 /etc/ipsec.secrets 文件仅包含下面的行:
include /etc/ipsec.d/*.secrets
使用以下内容创建 /etc/ipsec.d/shared.conf 文件,这些内容包括 left 项和 right 项分别对应的 Sun Ray 服务器和 Sun Ray Client IP 地址:
conn new
left=10.213.21.168
right=10.25.198.65
authby=secret
type=transport
ike=3des-md5;modp1024
esp=3des-md5
keyexchange=ike
pfs=no
rekey=no
aggrmode=no
phase2=esp
salifetime=8h
auto=add
使用以下内容创建 /etc/ipsec.d/shared.secrets 文件,这些内容包括包含 Sun Ray 服务器和 Sun Ray Client IP 地址以及预共享密钥的项:
10.213.21.168 10.25.198.65: PSK "12345678"
使用以下内容为 Sun Ray Client 创建 sunray_ike.conf 文件并将其保存到 /tftpboot 目录中。
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
}启动 IPsec 服务。
# /etc/init.d/ipsec start
下面的示例说明如何在运行 Oracle Linux 6 的 Sun Ray 服务器上使用证书配置 IPsec 以及为 Sun Ray Client 准备 IKE 配置文件。
在 Sun Ray 服务器上成为超级用户。
如果尚未安装,请安装 openswan-2.6.32-16.el6.x86_64.rpm RPM。
取消 /etc/ipsec.conf 文件中以下行的注释:
include /etc/ipsec.d/*.conf
确保 /etc/ipsec.secrets 文件仅包含下面的行:
include /etc/ipsec.d/*.secrets
使用以下内容创建 /etc/ipsec.d/certs.conf 文件:
conn new1
left=10.213.21.168
right=%any
leftcert="server_certificate"
rightcert="client_certificate"
leftid=%fromcert
rightid=%fromcert
authby=rsasig
leftrsasigkey=%cert
type=transport
ike=aes-sha2_256;modp1024
phase2alg=aes-sha2_256
keyexchange=ike
keyingtries=3
pfs=no
rekey=no
aggrmode=no
phase2=esp
salifetime=8h
auto=add
right=%any 项让所有客户端都能使用正确的证书进行连接。
使用以下内容创建 /etc/ipsec.d/certs.secrets 文件,这些内容包括 Sun Ray 服务器:
%any : RSA 10.213.21.168
使用以下内容为 Sun Ray Client 创建 sunray_ike.conf 文件并将其保存到 /tftpboot 目录中。
remote anonymous {
exchange_mode main;
my_identifier asn1dn;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
proposal {
authentication_method rsasig;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
} 使用以下内容创建名为 ikeload 的远程配置文件并将其保存到 /tftpboot 目录中。
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
启动 IPsec 服务。
# /etc/init.d/ipsec start
下面的示例说明如何在运行 Oracle Solaris 10 或 Oracle Solaris 11 的 Sun Ray 服务器上使用预共享密钥配置 IPsec 以及为 Sun Ray Client 准备 IKE 配置文件。
在 Sun Ray 服务器上成为超级用户。
编辑 /etc/inet/ike/config 文件,如下所示:
p1_lifetime_secs 86400
p1_nonce_len 16
p2_lifetime_secs 28800
## Parameters that may also show up in rules.
p1_xform { auth_method preshared oakley_group 2 auth_alg sha1 encr_alg aes }
p2_pfs 0
### Now some rules...
{
label "SRSS Rule"
# Use whatever "host" (e.g. IP address) identity is appropriate
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p1_xform
{ auth_method preshared oakley_group 2 auth_alg sha encr_alg aes }
p2_pfs 0
} 编辑 /etc/inet/secret/ike.preshared 文件以包括预共享密钥。
{
localidtype IP
localid 10.213.21.168
remoteidtype IP
remoteid 10.25.198.65
key 12345678
}通过将以下行添加到 /etc/inet/ipsecinit.conf 文件中来配置 IPsec 策略:
{ laddr 10.213.21.168 raddr 10.25.198.65 } ipsec {encr_algs aes encr_auth_algs sha1}使用以下内容为 Sun Ray Client 创建 sunray_ike.conf 文件并将其保存到 /tftpboot 目录中。
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm aes;
hash_algorithm sha1;
dh_group 2;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm aes;
lifetime time 8 hour;
}在服务器上启用 IPsec。
# svcadm restart svc:/network/ipsec/ipsecalgs:default # svcadm restart svc:/network/ipsec/policy:default # /usr/lib/inet/in.iked
可以使用 svcs | grep ipsec 命令验证是否已启用 IPsec。可以使用 in.iked 命令的 -d 选项使其一直在前台运行并生成调试输出。
下面的示例说明如何在运行 Oracle Solaris 10 或 Oracle Solaris 11 的 Sun Ray 服务器上使用证书配置 IPsec 以及为 Sun Ray Client 准备 IKE 配置文件。
在 Sun Ray 服务器上成为超级用户。
将 cacert.pem、mycert.pem 和 mykey.pem 文件复制到 /etc/racoon/certs 和 /tftpboot 目录中。
编辑 /etc/inet/ike/config 文件,如下所示:
####
cert_root "C=US, L=Redwood Shores, ST=CA, O=Company, OU=Sun Ray,
CN=First Last, MAILTO=first.last@company.com"
ignore_crls
p1_lifetime_secs 86400
p1_nonce_len 16
p2_lifetime_secs 28800
p1_xform { auth_method rsa_sig oakley_group 2 auth_alg sha encr_alg 3des }
p2_pfs 0
{
label "SRSS Rule"
local_id_type dn
local_id "C=US, L=Redwood Shores, ST=CA, O=Company, OU=Sun Ray, CN=server-fqdn"
remote_id ""
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p1_xform
{ auth_method rsa_sig oakley_group 2 auth_alg md5 encr_alg 3des }
p2_pfs 0
}
####
通过将以下行添加到 /etc/inet/ipsecinit.conf 文件中来配置 IPsec 策略:
{ laddr 10.213.21.168 raddr 10.25.198.65 } ipsec {encr_algs 3des encr_auth_algs sha1}使用以下内容为 Sun Ray Client 创建 sunray_ike.conf 文件并将其保存到 /tftpboot 目录中。
remote anonymous {
exchange_mode main;
my_identifier asn1dn;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
proposal {
authentication_method rsasig;
encryption_algorithm 3des;
hash_algorithm md5;
dh_group 2;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
pfs_group modp1024;
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
} 使用以下内容创建名为 ikeload 的远程配置文件并将其保存到 /tftpboot 目录中。
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
在服务器上启用 IPsec。
# svcadm restart svc:/network/ipsec/ipsecalgs:default # svcadm restart svc:/network/ipsec/policy:default # /usr/lib/inet/in.iked
可以使用 svcs | grep ipsec 命令验证是否已启用 IPsec。可以使用 in.iked 命令的 -d 选项使其一直在前台运行并生成调试输出。
在 Sun Ray 服务器上配置 IPsec 后(包括将正确的 Sun Ray IKE 配置文件和证书添加到 /tftpboot 目录中),便只剩下使用配置 GUI 在 Sun Ray Client 上配置 IPsec 的几个步骤。下面的步骤紧续前面的 Sun Ray 服务器配置示例。
打开 Sun Ray Client 上的配置 GUI。
有关详细信息,请参见第 14.5.2 节 “配置 GUI 菜单说明”。
在 Sun Ray Client 上从服务器的 /tftpboot 目录加载配置文件:
如果只有一个 Sun Ray IKE 配置文件需要加载,请选择 Server/IPsec(服务器/IPsec)> Download Configuration(下载配置)并指定服务器和 IKE 配置文件。在此部分的预共享示例中,将输入 10.213.21.168/sunray_ike.conf 来填充 Sun Ray Client 固件中的 /ike/default.conf 文件。
如果要使用远程配置文件来加载大量文件,请选择 Advanced(高级)> Download Configuration(下载配置)并输入服务器和远程配置文件。在此部分的证书示例中,将输入 10.213.21.168/ikeload 来填充 Sun Ray Client 固件中的 IKE 配置文件和证书文件。
选择 Server/IPsec(服务器/IPsec)。
在此部分的预共享密钥示例中,请选择 Manage Preshared Keys(管理预共享密钥)来创建预共享密钥:
10.25.198.65 0x12345678
还可以使用远程配置文件加载预共享密钥。
选择 IPsec Enable(启用 IPsec)并启用 IPsec。
退出配置 GUI。