test

Systemverwaltungshandbuch: IP Services

ProcedureSo werden IKE PresharedKeys aktualisiert

Bei diesem Verfahren wird davon ausgegangen, dass Sie einen vorhandenen PresharedKey in regelmäßigen Intervallen ersetzen möchten.

  1. Nehmen Sie über die Systemkonsole die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

    Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

    Hinweis –

    Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.

  2. Erzeugen Sie Zufallszahlen und konstruieren Sie einen Schlüssel in der erforderlichen Länge.

    Ausführliche Informationen finden Sie im Abschnitt So erzeugen Sie Zufallszahlen auf einem Solaris-System. Informationen zum Erzeugen von Schlüsselmaterial für ein Solaris-System, das mit einem Betriebssystem kommuniziert, das Schlüsselmaterial im ASCII-Format benötigt, finden Sie in Beispiel 23–1.

  3. Ersetzen Sie den aktuellen Schlüssel durch einen neuen Schlüssel.

    Bei den Hosts enigma und partym ersetzen Sie den Wert von key in der Datei /etc/inet/secret/ike.preshared durch eine Zahl der gleichen Länge.

  4. Lesen Sie den neuen Schlüssel in den Systemkern ein.

    • Wenn Sie mindestens mit Solaris 10 4/09 arbeiten, aktualisieren Sie den ike-Service.


      # svcadm refresh ike

    • Wenn Sie eine ältere Version als Solaris 10 4/09 verwenden, muss der in.iked-Daemon beendet und neu gestartet werden.

      1. Überprüfen Sie die Privilegstufe des in.iked-Daemons.


        # /usr/sbin/ikeadm get priv
Current privilege level is 0x0, base privileges enabled

        Sie können das Schlüsselmaterial ändern, wenn dieser Befehl eine Privilegstufe von 0x1 oder 0x2 zurückgibt. Bei der Privilegstufe 0x0 ist das Ändern oder Anzeigen von Schlüsselmaterial nicht gestattet. Standardmäßig wird der in.iked-Daemon mit der Privilegstufe 0x0 ausgeführt.

      2. Lautet die Privilegstufe 0x0, brechen Sie den Daemon ab und starten ihn neu.

        Wenn der Daemon neu startet, liest er die neue Version der ike.preshared-Datei ein.


        # pkill in.iked
# /usr/lib/inet/in.iked

      3. Lautet die Privilegstufe 0x1 oder 0x2, lesen Sie die neue Version der ike.predshared-Datei ein.


        # ikeadm read preshared