So prüfen Sie, ob die IKE PresharedKeys identisch sind (Systemverwaltungshandbuch: IP Services)

Systemverwaltungshandbuch: IP Services

Previous: So fügen Sie einen IKE PresharedKey für einen neuen Richtlinieneintrag in ipsecinit.conf ein
Next: Konfiguration von IKE mit PublicKey-Zertifikaten (Übersicht der Schritte)

So prüfen Sie, ob die IKE PresharedKeys identisch sind

Wenn die PresharedKeys auf den kommunizierenden Systemen nicht identisch sind, können die Systeme nicht authentifiziert werden.

Bevor Sie beginnen

IPsec wurde konfiguriert und ist zwischen den zu testenden Systemen aktiviert. Sie führen die aktuelle Version (Solaris 10) aus.

Hinweis –

Wenn Sie dieses Verfahren in einer Version vor Solaris 10 4/09 durchführen möchten, schauen Sie sich die Hinweise unter Beispiel 23–2 an.

Nehmen Sie über die Systemkonsole die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

Hinweis –
Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh für eine sichere Remoteanmeldung.

Prüfen Sie auf den einzelnen Systemen die Privilegstufe des in.iked-Daemons.
# svcprop -p config/admin_privilege ike base
- Falls die Privilegstufe keymat lautet, fahren Sie mit Schritt 3 fort.
- Falls die Privilegstufe base oder modkeys lautet, erhöhen Sie die Stufe.
  
  Aktualisieren Sie anschließend das System, und starten Sie den ike-Service neu.
  # svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat

Zeigen Sie die PresharedKey-Informationen auf beiden Systemen an.

# ikeadm dump preshared
PSKEY: Preshared key (24 bytes): f47cb…/192
LOCIP: AF_INET: port 0, 192.168.116.16 (enigma).
REMIP: AF_INET: port 0, 192.168.13.213 (partym).

Vergleichen Sie die beiden Speicherauszüge.

Sind die PresharedKeys nicht identisch, ersetzen Sie in der Datei /etc/inet/secret/ike.preshared einen Schlüssel durch den anderen.

Ändern Sie die Privilegstufe nach Abschluss der Prüfung wieder in den jeweiligen Standardwert der Systeme.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike