缺省情况下,ikeadm 命令会阻止您在阶段 1 SA 的转储中查看实际密钥。在调试期间查看密钥很有用。
要查看实际密钥,您必须提高守护进程的权限级别。有关权限级别的说明,请参见IKE 管理命令。
要在 Solaris 10 4/09 发行版之前的发行版中执行此过程,请参见示例 23–2。
已配置 IKE,并且 ike 服务正在运行。
查看 IKE 预先共享密钥。
# ikeadm ikeadm> dump preshared |
提高 SMF 系统信息库中 in.iked 守护进程的权限级别。
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat |
提高正在运行的 in.iked 守护进程的权限级别。
# svcadm refresh ike ; svcadm restart ike |
(可选的)确认权限级别为 keymat。
# svcprop -p config/admin_privilege ike keymat |
通过再次运行步骤 1 查看密钥。
将 IKE 守护进程恢复为 base 权限级别。
在以下示例中,管理员要在运行的不是当前 Solaris 发行版的 Solaris 系统中查看密钥。管理员想要检验该系统中的密钥是否与通信系统中的密钥完全相同。检验两个系统中的密钥是否完全相同后,管理员将权限级别恢复为 0。
首先,管理员确定 in.iked 守护进程的权限级别。
adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled |
由于权限级别不是 0x1 或 0x2,所以管理员会停止 in.iked 守护进程,然后将权限级别提高到 2。
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2 |
管理员显示密钥。
adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1). |
管理员远程登录到通信系统,并确定密钥是否完全相同。
然后,管理员恢复权限的 base 级别。
# ikeadm set priv base |