Cómo ver las claves IKE previamente compartidas (Guía de administración del sistema: servicios IP)

Guía de administración del sistema: servicios IP

Previous: Cómo actualizar las claves IKE previamente compartidas
Next: Cómo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf

Cómo ver las claves IKE previamente compartidas

Por defecto, el comando ikeadm impide que vea las teclas reales en un volcado de una fase 1 SA. La visualización de las claves es útil durante la depuración.

Para ver las teclas reales, debe aumentar el nivel de privilegios del daemon. Para obtener una descripción de los niveles de privilegios, consulte Comando de administración de IKE.

Nota –

Para llevar a cabo este procedimiento en una versión anterior a Solaris 10 4/09 consulte Ejemplo 23–2.

Antes de empezar

IKE se configura y el servicio ike se ejecuta.

Consulte las teclas previamente compartidas de IKE.
# ikeadm ikeadm> dump preshared

Si aparece un mensaje de error, aumente el nivel de privilegios del daemon in.iked .
1. Aumente el nivel de privilegios del daemon in.iked en el repositorio SMF.
  # svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
2. Aumente el nivel de privilegios del daemon in.iked en ejecución.
  # svcadm refresh ike ; svcadm restart ike
3. (Opcional) Confirme que el nivel de privilegios es keymat.
  # svcprop -p config/admin_privilege ike keymat
4. Ejecute de nuevo el Paso 1 para ver las teclas.

Devuelva al daemon IKE el nivel de privilegios base.
1. Después de ver las claves, devuelva al nivel de privilegios el valor predeterminado.
  # svccfg -s ike setprop config/admin_privilege=base
2. Actualice y, a continuación, reinicie IKE.
  # svcadm refresh ike ; svcadm restart ike

Ejemplo 23–2 Verificación de las claves IKE compartidas previamente en una versión anterior a Solaris 10 4/09

En el siguiente ejemplo, el administrador está consultando claves en un sistema Solaris que no ejecuta la versión actual de Solaris. El administrador desea comprobar que las claves de este sistema son idénticas a las del sistema de comunicación. Después de comprobar que las claves de los dos sistemas son idénticos, el administrador restablece el nivel de privilegios a 0.

En primer lugar, el administrador determina el nivel de privilegios del daemon in.iked.

adm1 # /usr/sbin/ikeadm get priv
Current privilege level is 0x0, base privileges enabled

Debido a que el nivel de privilegios no es 0x1 o 0x2, el administrador detiene el daemon in.iked y, a continuación, aumenta el nivel de privilegios a 2.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

El administrador muestra las claves.

adm1 # ikeadm dump preshared
PSKEY: Preshared key (24 bytes): f47cb…/192
LOCIP: AF_INET: port 0, 192.168.116.16 (adm1).
REMIP: AF_INET: port 0, 192.168.13.213 (com1).

El administrador inicia sesión remota en el sistema de comunicación y determina que las claves sean idénticas.
A continuación, el administrador restablece el nivel básico de privilegios.
# ikeadm set priv base