So rufen Sie IKE PresharedKeys auf

Standardmäßig verhindert der Befehl ikeadm die Anzeige der tatsächlichen Schlüssel in einem Speicherauszug einer Phase-1-SA. Die Anzeige der Schlüssel ist bei der Fehlersuche hilfreich.

Um die tatsächlichen Schlüssel anzuzeigen, müssen Sie die Privilegstufe für diesen Daemon erhöhen. Eine Beschreibung der Privilegstufe finden Sie unter IKE-Verwaltungsbefehl.

Wenn Sie dieses Verfahren in einer Version vor Solaris 10 4/09 durchführen möchten, schauen Sie sich die Hinweise unter Beispiel 23–2 an.

Bevor Sie beginnen

IKE ist konfiguriert, und der ike-Service wird ausgeführt.

1. Rufen Sie die IKE PresharedKeys auf.

   # ikeadm ikeadm> dump preshared

2. Wenn ein Fehler auftritt, erhöhen Sie die Privilegstufe des in.iked-Daemons.

   1. Erhöhen Sie die Privilegstufe des in.iked-Daemons im SMF-Repository.

      # svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat

   2. Erhöhen Sie die Privilegstufe des ausgeführten in.iked-Daemons.

      # svcadm refresh ike ; svcadm restart ike

   3. (Optional) Überprüfen Sie, ob die Privilegstufe keymat lautet.

      # svcprop -p config/admin_privilege ike keymat

   4. Zeigen Sie die Schlüssel an, indem Sie Schritt 1 erneut ausführen.

3. Legen Sie für den IKE-Daemon wieder die Basis-Privilegstufe fest.

   1. Legen Sie nach der Betrachtung der Schlüssel wieder die ursprüngliche Privilegstufe fest.

      # svccfg -s ike setprop config/admin_privilege=base

   2. Aktualisieren Sie die Ansicht, und starten Sie IKE anschließend neu.

      # svcadm refresh ike ; svcadm restart ike

Beispiel 23–2 Überprüfen von IKE PresharedKeys in einer Version vor Solaris 10 4/09

Im folgenden Beispiel betrachtet der Administrator Schlüssel auf einem System mit einer älteren Solaris-Version. Der Administrator möchte sich vergewissern, dass die Schlüssel im System identisch mit den Schlüsseln im Kommunikationssystem sind. Nachdem der Administrator festgestellt hat, dass die Schlüssel der beiden Systeme identisch sind, stellt er die Privilegstufe 0 wieder her.

• Zuerst bestimmt der Administrator die Privilegstufe des in.iked-Daemons.

  adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

• Da die Privilegstufe nicht 0x1 bzw. 0x2 lautet, hält der Administrator den in.iked-Daemon an und erhöht anschließend die Privilegstufe auf 2.

  adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• Der Administrator zeigt die Schlüssel an.

  adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).

• Der Administrator meldet sich am Kommunikationssystem an und stellt fest, dass die Schlüssel identisch sind.

• Anschließend setzt der Administrator die Privilegien wieder auf die Basisstufe zurück.

  # ikeadm set priv base