跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
如何将 IKE 配置为查找 Sun Crypto Accelerator 6000 板
20. Oracle Solaris 中的 IP 过滤器(概述)
使用预先共享的密钥是验证 IKE 的最简单方法。如果要将对等方系统配置为使用 IKE,而且您是这两个系统的管理员,则使用预先共享的密钥是一个良好的选择。但是,与公钥证书不同,预先共享的密钥与 IP 地址相关联。可以将预先共享的密钥与特定的 IP 地址或 IP 地址范围关联。预先共享的密钥不能用于移动系统或可能重新编号的系统,除非重新编号处于指定的 IP 地址范围内。
IKE 实现提供了采用可变密钥长度的算法。所选的密钥长度是由站点安全性确定的。通常,密钥越长,提供的安全性就越高。
在此过程中,将生成 ASCII 格式的密钥。
以下过程使用系统名称 enigma 和 partym。请用您的系统名称替换名称 enigma 和 partym。
注 - 要在 Trusted Extensions 系统上使用带标签的 IPsec,请参见《Trusted Extensions 配置和管理》中的"如何在多级别 Trusted Extensions 网络中应用 IPsec 保护"中此过程的扩展。
有关更多信息,请参见《Oracle Solaris 管理:安全服务》中的"如何获取管理权限"。如果您以远程方式登录,请使用 ssh 命令实现安全的远程登录。有关示例,请参见示例 15-1。
您可以使用 /etc/inet/ike/config.sample 作为模板。
此文件中的规则和全局参数应该允许系统的 ipsecinit.conf 文件中的 IPsec 策略可以成功实施。以下是与如何使用 IPsec 保证两个系统之间的通信安全中的 ipsecinit.conf 示例配合使用的 IKE 配置示例。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
在每个文件中放置预先共享的密钥。
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# svcadm enable ipsec/ike
示例 18-1 刷新 IKE 预先共享的密钥
如果 IKE 管理员要刷新预先共享的密钥,他们可以编辑对等方系统上的文件,然后重新启动 in.iked 守护进程。
首先,管理员添加一个预先共享的密钥项,该项对 192.168.13.0/24 子网中的任意主机都有效。
#… { localidtype IP localid 192.168.116.0/24 remoteidtype IP remoteid 192.168.13.0/24 # enigma and partym's shared passphrase for keying material key "LOooong key Th@t m^st Be Ch*angEd \"reguLarLy)" }
然后,管理员重新启动每个系统上的 IKE 服务。
# svcadm enable ipsec/ike
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。
如果将 IPsec 策略项添加到相同对等方之间的工作配置,则需要刷新 IPsec 策略服务。无需重新配置或重新启动 IKE。
如果将新的对等方添加到 IPsec 策略,则除了进行 IPsec 更改之外,还必须修改 IKE 配置。
开始之前
您已更新了对等方系统的 ipsecinit.conf 文件并刷新了 IPsec 策略。
有关更多信息,请参见《Oracle Solaris 管理:安全服务》中的"如何获取管理权限"。如果您以远程方式登录,请使用 ssh 命令实现安全的远程登录。有关示例,请参见示例 15-1。
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# svcadm refresh ike
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。