如何查看 IKE 预先共享密钥

缺省情况下，ikeadm 命令会阻止您在阶段 1 SA 的转储中查看实际密钥。在调试期间查看密钥很有用。

要查看实际密钥，您必须提高守护进程的权限级别。有关权限级别的说明，请参见IKE 管理命令。

要在 Solaris 10 4/09 发行版之前的发行版中执行此过程，请参见示例 23–2。

开始之前

已配置 IKE，并且 ike 服务正在运行。

1. 查看 IKE 预先共享密钥。

   # ikeadm ikeadm> dump preshared

2. 如果出现错误，请提高 in.iked 守护进程的权限级别。

   1. 提高 SMF 系统信息库中 in.iked 守护进程的权限级别。

      # svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat

   2. 提高正在运行的 in.iked 守护进程的权限级别。

      # svcadm refresh ike ; svcadm restart ike

   3. （可选的）确认权限级别为 keymat。

      # svcprop -p config/admin_privilege ike keymat

   4. 通过再次运行步骤 1 查看密钥。

3. 将 IKE 守护进程恢复为 base 权限级别。

   1. 查看密钥后，将权限级别恢复为缺省级别。

      # svccfg -s ike setprop config/admin_privilege=base

   2. 刷新 IKE，然后再重新启动 IKE。

      # svcadm refresh ike ; svcadm restart ike

示例 23–2 在 Solaris 10 4/09 发行版之前的发行版中检验 IKE 预先共享密钥

在以下示例中，管理员要在运行的不是当前 Solaris 发行版的 Solaris 系统中查看密钥。管理员想要检验该系统中的密钥是否与通信系统中的密钥完全相同。检验两个系统中的密钥是否完全相同后，管理员将权限级别恢复为 0。

• 首先，管理员确定 in.iked 守护进程的权限级别。

  adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

• 由于权限级别不是 0x1 或 0x2，所以管理员会停止 in.iked 守护进程，然后将权限级别提高到 2。

  adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• 管理员显示密钥。

  adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).

• 管理员远程登录到通信系统，并确定密钥是否完全相同。

• 然后，管理员恢复权限的 base 级别。

  # ikeadm set priv base