IKE の事前共有鍵を表示する方法

デフォルトでは、ikeadm コマンドではフェーズ 1 SA のダンプに実際の鍵を表示できないようになっています。鍵を表示するとデバッグに役立ちます。

実際の鍵を表示するには、デーモンの特権レベルを高くする必要があります。特権レベルについては、「IKE 管理コマンド」を参照してください。

Solaris 10 4/09 リリースより前のリリースでこの手順を実行するには、例 23–2 を参照してください。

始める前に

IKE は構成済みで、ike サービスは実行中です。

1. IKE の事前共有鍵を表示します。

   # ikeadm ikeadm> dump preshared

2. エラーが発生する場合は、in.iked デーモンの特権レベルを高くします。

   1. SMF リポジトリの in.iked デーモンの特権レベルを高くします。

      # svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat

   2. 実行中の in.iked デーモンの特権レベルを高くします。

      # svcadm refresh ike ; svcadm restart ike

   3. (省略可能) 特権レベルが keymat であることを確認します。

      # svcprop -p config/admin_privilege ike keymat

   4. 手順 1 をもう一度実行して鍵を表示します。

3. IKE デーモンを基本の特権レベルに戻します。

   1. 鍵を表示したあと、特権レベルをデフォルトに戻します。

      # svccfg -s ike setprop config/admin_privilege=base

   2. IKE を更新してから再起動します。

      # svcadm refresh ike ; svcadm restart ike

例 23–2 Solaris 10 4/09 リリースより前のリリースで IKE の事前共有鍵を確認する

次の例では、現在の Solaris リリースが稼働していない Solaris システムで管理者が鍵を表示しようとしています。管理者は、このシステムの鍵が通信先のシステムの鍵と同じであることを確認する必要があります。2 つのシステムの鍵が同じであることを確認したあと、管理者は特権レベルを 0 に戻します。

• まず、管理者は in.iked デーモンの特権レベルを調べます。

  adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

• 特権レベルが 0x1 または 0x2 になっていないため、管理者は in.iked デーモンを停止してから特権レベルを 2 に上げます。

  adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• 管理者は鍵を表示します。

  adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).

• 管理者は通信先のシステムにリモートでログインし、鍵が同じかどうかを調べます。

• その後、基本の特権レベルに戻します。

  # ikeadm set priv base