Команда authentication применяется для указания метода аутентификации сторон.
Восстановить значение по умолчанию можно с помощью той же команды с префиксом no.
Аутентификация может осуществляться с использованием предопределенного ключа (Preshared Key) или с использованием цифровых сертификатов стандарта Х.509.
Синтаксис authentication {gost-sig | rsa-sig | dss-sig | sign | pre-share}
no authentication {gost-sig | rsa-sig | dss-sig | sign | pre-share}
gost-sig аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму ГОСТ Р 34.10-2001
rsa-sig аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму RSA
dss-sig аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму DSA
sign выбор конкретного типа аутентификации (RSA, DSA или ГОСТ) осуществляется по типу CA-сертификата, лежащего в базе
pre-share аутентификация осуществляется с использованием предопределенных ключей.
Значение по умолчанию gost-sig
Режимы команды ISAKMP policy configuration.
Рекомендации по использованию
Используйте эту команду для указания метода аутентификации сторон, которая происходит в первой фазе IKE.
Данная команда работает в режиме ISAKMP policy configuration.
Ключевая пара, к которой принадлежит открытый ключ локального сертификата, может быть создана с использованием алгоритма RSA, DSA или ГОСТ Р 34.10-2001. Локальный сертификат с открытым ключом по RSA алгоритму должен быть подписан СА сертификатом с открытым ключом, созданным по RSA алгоритму. Локальный ГОСТ сертификат должен быть подписан СА ГОСТ сертификатом. Локальный DSA сертификат – СА DSA сертификатом.
В файле настроек конвертора cs_conv.ini параметрам send_cert и send_request присвоено значение ALWAYS, и поэтому по умолчанию партнеру всегда будет отсылаться локальный сертификат по протоколу IKE и запрашиваться сертификат партнера.
Примечание: при построении соединения между S-Terra Gate и Cisco Router с использованием аутентификации на сертификатах рекомендуется применять метод аутентификации sign. В этом случае при конвертировании, для совместимости с Cisco IOS, в Native-конфигурации дополнительно прописывается ссылка на CA-сертификат, лежащий в базе.
Отличие данной команды от подобной команды Cisco IOS:
Не допускается тип аутентификации RSA encryption.
В Cisco IOS поддерживается аутенификация с использованием цифровых сертификатов, созданных только по алгоритму RSA.
Пример
Ниже приведен пример назначения метода аутентификации сторон на предопределенных ключах, используемого в рамках протокола IKE. Остальные параметры устанавливаются по умолчанию:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#exit