事前共有鍵が同一であることを確認する方法

通信するシステム上の事前共有鍵が同一でない場合、それらのシステムは認証できません。

始める前に

テストしている 2 つのシステム間では IPsec が設定されており、有効になっています。現在の Solaris 10 リリースが稼働しています。

Solaris 10 4/09 リリースより前のリリースでこの手順を実行するには、例 23–2 を参照してください。

1. システムコンソール上で、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

   ---

   注 –

   リモートログインすると、セキュリティー上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティーがリモートログインセッションレベルに低下します。セキュリティー保護されたリモートログインには、ssh コマンドを使用してください。

   ---

2. 各システムで、in.iked デーモンの特権レベルをチェックします。

   # svcprop -p config/admin_privilege ike base

   • 特権レベルが keymat であれば、手順 3 に進みます。

   • 特権レベルが base または modkeys の場合は、特権レベルを高くします。

     その後、ike サービスを更新してから再起動します。

     # svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat

3. システムごとに、事前共有鍵情報を表示します。

   # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).

4. 両方のダンプを比較します。

   事前共有鍵が同一でない場合は、/etc/inet/secret/ike.preshared ファイルで、一方のキーを他方のキーで置き換えます。

5. 確認が終わったら、各システム上で特権レベルをデフォルトに戻します。

   # svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike