Affichage des clés IKE prépartagées

Par défaut, la commande ikeadm vous empêche de consulter les clés réelles dans le fichier de vidage d'une SA phase 1. L'affichage des clés est utile lors du débogage.

Pour afficher les clés réelles, vous devez augmenter le niveau de privilège du démon. Pour obtenir une description des niveaux de privilège, reportez-vous à la section Commande d'administration du protocole IKE .

Pour effectuer cette procédure sur une version antérieure à la version Solaris 10 4/09, voir l'Exemple 23–2.

Avant de commencer

IKE est configuré et le service ike est en cours d'exécution.

1. Affichez les clés IKE prépartagées.

   # ikeadm ikeadm> dump preshared

2. Si une erreur se produit, vous devez augmenter le niveau de privilège du démon in.iked.

   1. Augmentez le niveau de privilège du démon in.iked dans le référentiel SMF.

      # svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat

   2. Augmentez le niveau de privilège du démon in.iked en cours d'exécution.

      # svcadm refresh ike ; svcadm restart ike

   3. (Facultatif) Confirmez que le niveau de privilège est keymat.

      # svcprop -p config/admin_privilege ike keymat

   4. Affichez les clés en exécutant de nouveau l'Étape 1.

3. Réappliquez le niveau de privilège de base au démon IKE.

   1. Après l'affichage des clés, rétablissez le niveau de privilège à sa valeur par défaut.

      # svccfg -s ike setprop config/admin_privilege=base

   2. Actualisez, puis redémarrez IKE.

      # svcadm refresh ike ; svcadm restart ike

Exemple 23–2 Vérification des clés IKE prépartagées dans une version antérieure à la version Solaris 10 4/09

Dans l'exemple suivant, l'administrateur affiche les clés sur un système Solaris n'exécutant pas la version actuelle de Solaris. L'administrateur souhaite vérifier que les clés de ce système sont identiques aux clés du système communicant. Après avoir vérifié que les clés sont identiques sur les deux systèmes, l'administrateur rétablit le niveau de privilège sur 0.

• Tout d'abord, l'administrateur détermine le niveau de privilège du démon in.iked.

  adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

• Le niveau de privilège n'étant pas 0x1 ni 0x2, l'administrateur arrête le démon in.iked, puis augmente le niveau de privilège sur 2.

  adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• L'administrateur affiche les clés.

  adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).

• L'administrateur se connecte à distance au système communicant et détermine si les clés sont identiques.

• L'administrateur rétablit ensuite le niveau de privilège de base.

  # ikeadm set priv base