Solaris 10 11/06 发行说明

EF/kcfd 与 IPsec 算法可用性之间出现竞争情况 (6266083)

具有 Solaris 10 3/05 HW1 发行版的系统可能导致与 IPsec 相关的问题。此问题可能会出现在刚刚安装的系统或在引导期间导入大量新的服务管理工具 (Service Management Facility, SMF) 清单的系统上。出现这些引导情况后,IPsec(svc:/network/initial:default 的一部分)可能会在加密框架(svc:/system/cryptosvc:default 的一部分)之前进行初始化。由于验证或加密算法不可用,可能无法创建 IPsec 安全关联,并将显示如下所示的错误消息:


PF_KEY error: type=ADD, errno=22:
Invalid argument, diagnostic  code=40:
Unsupported authentication algorithm

例如,在 Sun Fire E25K 系统上使用 DR 时可能会出现此错误,因为该操作涉及 IPsec 服务。

解决方法:在执行使用 IPsec 服务的操作前,如果在引导期间导入大量新 SMF 清单,请在引导后执行以下步骤:

  1. 在引导后发出此命令:


    ipsecalgs -s
    
  2. 如果系统中存在 /etc/inet/secret/ipseckeys,则还需要发出此命令:


    ipseckey -f /etc/inet/secret/ipseckeys
    

现在您可以执行需要创建 IPsec 安全关联的操作,如在 Sun Fire E25K 系统上使用 DR。

仅当在引导期间导入大量新 SMF 清单的情况下需要重复本过程。