如何检验 IKE 预先共享密钥是否完全相同

如果通信系统上的预先共享密钥不是完全相同的，则系统无法进行验证。

开始之前

在要测试的两个系统之间已配置并启用 IPsec。您运行的是当前 Solaris 10 发行版。

要在 Solaris 10 4/09 发行版之前的发行版中执行此过程，请参见示例 23–2。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在每个系统上，检查 in.iked 守护进程的权限级别。

   # svcprop -p config/admin_privilege ike base

   • 如果权限级别为 keymat，请继续执行步骤 3。

   • 如果权限级别为 base 或 modkeys，请提高权限级别。

     然后，刷新并重新启动 ike 服务。

     # svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat

3. 在每个系统上，查看预先共享密钥的信息。

   # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).

4. 比较两个转储。

   如果预先共享的密钥不是完全相同的，则在 /etc/inet/secret/ike.preshared 文件中将一个密钥替换为另一个密钥。

5. 检验完成后，在每个系统中将权限级别恢复为缺省级别。

   # svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike