跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
使用预先共享的密钥是验证 IKE 的最简单方法。如果要将对等方系统配置为使用 IKE,而且您是这两个系统的管理员,则使用预先共享的密钥是一个良好的选择。但是,与公钥证书不同,预先共享的密钥与 IP 地址相关联。可以将预先共享的密钥与特定的 IP 地址或 IP 地址范围关联。预先共享的密钥不能用于移动系统或可能重新编号的系统,除非重新编号处于指定的 IP 地址范围内。
IKE 实现提供了采用可变密钥长度的算法。所选的密钥长度是由站点安全性确定的。通常,密钥越长,提供的安全性就越高。
在此过程中,将生成 ASCII 格式的密钥。
以下过程使用系统名称 enigma 和 partym。请用您的系统名称替换名称 enigma 和 partym。
注 - 要在 Trusted Extensions 系统上使用带标签的 IPsec,请参见《Trusted Extensions 配置和管理》中的"如何在多级别 Trusted Extensions 网络中应用 IPsec 保护"中此过程的扩展。
开始之前
除了 solaris.admin.edit/etc/inet/ike/config 授权以外,您还必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。root 角色具有所有这些权限。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
如果您以远程方式登录,请使用 ssh 命令实现安全的远程登录。有关示例,请参见示例 7-1。
您可以使用 /etc/inet/ike/config.sample 作为模板。
此文件中的规则和全局参数应该允许系统的 ipsecinit.conf 文件中的 IPsec 策略可以成功实施。以下是与如何使用 IPsec 保证两个系统之间的通信安全中的 ipsecinit.conf 示例配合使用的 IKE 配置示例。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
在每个文件中放置预先共享的密钥。
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# svcadm enable ipsec/ike
示例 10-1 刷新 IKE 预先共享的密钥
如果 IKE 管理员要刷新预先共享的密钥,他们可以编辑对等方系统上的文件,然后重新启动 in.iked 守护进程。
首先,管理员添加一个预先共享的密钥项,该项对 192.168.13.0/24 子网中的任意主机都有效。
#… { localidtype IP localid 192.168.116.0/24 remoteidtype IP remoteid 192.168.13.0/24 # enigma and partym's shared passphrase for keying material key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)" }
然后,管理员重新启动每个系统上的 IKE 服务。
# svcadm enable ipsec/ike
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。
如果将 IPsec 策略项添加到相同对等方之间的工作配置,则需要刷新 IPsec 策略服务。无需重新配置或重新启动 IKE。
如果将新的对等方添加到 IPsec 策略,则除了进行 IPsec 更改之外,还必须修改 IKE 配置。
开始之前
您已更新了对等方系统的 ipsecinit.conf 文件并刷新了 IPsec 策略。
除了 solaris.admin.edit/etc/inet/ike/config 授权以外,您还必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。root 角色具有所有这些权限。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
如果您以远程方式登录,请使用 ssh 命令实现安全的远程登录。有关示例,请参见示例 7-1。
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# svcadm refresh ike
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。