IKE 情報の表示

IKE サービスのプロパティー、IKE 状態および IKE デーモンオブジェクトの要素、および証明書検証ポリシーを表示できます。両方の IKE サービスを実行している場合は、サービスごとの情報または両方のサービスの情報を表示できます。これらのコマンドは、テスト、トラブルシューティング、およびモニター中に役立ちます。

• IKE サービスインスタンスのプロパティーの表示 – 出力には、構成ファイルの名前を含む IKEv2 サービスの構成可能なプロパティーが表示されます。

  ---

  注 -  IPsec、IKEv2、または IKEv1 サービスの config グループ内のプロパティーを変更できるか、またはプロパティーを変更すべきかどうかを確認するには、ipsecconf(1M)、in.ikev2d(1M)、および in.iked(1M) のマニュアルページを確認してください。たとえば、IKEv2 構成ファイルは特殊な権限で作成され、ikeuser によって所有されます。権限とファイルの所有者は決して変更しないでください。

  ---

  % svccfg -s ipsec/ike:ikev2 listprop config
  config                      application
  config/allow_keydump       boolean     false
  config/config_file         astring     /etc/inet/ike/ikev2.config
  config/ignore_errors       boolean     false
  config/kmf_policy          astring     /etc/inet/ike/kmf-policy.xml
  config/max_child_sas       integer     0
  config/max_threads         integer     0
  config/min_threads         integer     0
  config/preshared_file      astring     /etc/inet/ike/ikev2.preshared
  config/response_wait_time  integer     30
  config/value_authorization astring     solaris.smf.value.ipsec
  config/debug_logfile       astring
  config/debug_level         astring     op

  次の例の出力には、IKEv1 サービスの構成可能なプロパティーが表示されています。:default サービスインスタンスは指定しないでください。

  % svccfg -s ipsec/ike listprop config
  config                      application
  config/admin_privilege     astring     base
  config/config_file         astring     /etc/inet/ike/config
  config/debug_level         astring     op
  config/debug_logfile       astring     /var/log/in.iked.log
  config/ignore_errors       boolean     false
  config/value_authorization astring     solaris.smf.value.ipsec

• IKE デーモンの現在の状態の表示 – 次の例の出力には、ikeadm コマンドの引数が表示されています。これらの引数はデーモンの現在の状態を表示します。

  ---

  注 -  ikeadm コマンドを使用するには、IKE デーモンを実行している必要があります。

  ---

  % ikeadm help
  ...
          get   debug|priv|stats|p1|ikesa|rule|preshared|defaults [identifier]
          dump  p1|ikesa|rule|preshared|certcache|groups|encralgs|authalgs
          read  rule|preshared [filename]
          help  [get|set|add|del|dump|flush|read|write|token|help]

• ikeadm コマンドに対する特定の引数の構文の表示 – コマンド引数の構文を表示するには、help サブコマンドを使用します。例:

  % ikeadm help read
  This command reads a new configuration file into
  in.iked, discarding the old configuration info.
  
  Sets of data that may be read include:
          rule            all phase 1/ikesa rules
          preshared       all preshared keys
  
  A filename may be provided to specify a source file
  other than the default.

• 事前共有鍵の表示 – IKEv1 および IKEv2 の事前共有鍵を表示できます。

  ---

  注 -  1 つの IKE バージョンのみを実行している場合は、–v オプションを省略できます。

  ---

  IKEv2 の場合:

  # ikeadm -v2 dump preshared

  IKEv1 の場合:

  # ikeadm set priv keymat
  # ikeadm -v1 dump preshared
  
  PSKEY: Rule label: "Test PSK 197 to 56"
  PSKEY: Local pre-shared key (80 bytes): 74206272696c6c696720...3/584
  PSKEY: Remote pre-shared key (80 bytes): 74206272696c6c696720...3/584
  
  Completed dump of preshared keys

• IKE SA の表示 – 出力には、SA、変換、ローカルシステムとリモートシステム、およびその他の詳細に関する情報が含まれます。通信が要求されていない場合は、SA が存在しないため、表示する情報がありません。

  # ikeadm -v2 dump ikesa
  IKESA: SPIs: Local 0xd3db95689459cca4  Remote 0xb5878717f5cfa877
  ...
  XFORM: Encryption alg: aes-cbc(256..256); Authentication alg: hmac-sha512
  ...
  LOCIP: AF_INET: port 500, 10.1.2.3 (example-3).
  ...
  REMIP: AF_INET: port 500, 10.1.4.5 (ex-2).
  ...
  LIFTM: SA expires in 11459 seconds (3.18 hours)
  ...
  STATS: 0 IKE SA rekeys since initial AUTH.
  LOCID: Initiator identity, type FQDN
  ...
  CHILD: ESP Inbound SPI: 0x94841ca3, Outbound SPI 0x074ae1e5
  ...
  Completed dump of IKE SA info

• アクティブな IKE ルールの表示 – リストされる IKE ルールは使用中でない場合がありますが、使用は可能です。

  # ikeadm -v2 dump rule
  
  GLOBL: Label 'Test Rule1 for PSK', key manager cookie 1
  GLOBL: Local auth method=pre-shared key
  GLOBL: Remote auth method=pre-shared key
  
  GLOBL: childsa_pfs=false
  GLOBL: authentication_lifetime=86400 seconds (1.00 day)
  GLOBL: childsa_lifetime=120 seconds (2.00 minutes)
  GLOBL: childsa_softlife=108 seconds (1.80 minute)
  GLOBL: childsa_idletime=60 seconds
  GLOBL: childsa_lifetime_kb=122880 kilobytes (120.00 MB)
  GLOBL: childsa_softlife_kb=110592 kilobytes (108.00 MB)
  LOCIP: IP address range(s):
  LOCIP: 10.142.245.197
  REMIP: IP address range(s):
  REMIP: 10.134.64.56
  LOCID: Identity descriptors:
  LOCID: Includes:
  LOCID:       fqdn="gloria@ms.mag"
  REMID: Identity descriptors:
  REMID: Includes:
  REMID:       fqdn="gloria@ms.mag"
  XFRMS: Available Transforms:
  
  XF  0: Encryption alg: aes-cbc(128..256); Authentication alg: hmac-sha512
  XF  0: PRF: hmac-sha512 ; Diffie-Hellman Group: 2048-bit MODP (group 14)
  XF  0: IKE SA lifetime before rekey: 14400 seconds (4.00 hours)
  
  Completed dump of policy rules

• IKEv2 の証明書検証ポリシーの表示 – dbfile および policy の値を指定する必要があります。

  • 動的にダウンロードされる CRL は、応答者タイムアウトの調整に管理者の介入が必要になる場合があります。

    次の例の出力では、証明書に組み込まれた URI から CRL がダウンロードされたあと、リストがキャッシュされます。キャッシュに期限切れの CRL が含まれている場合は、新しい CRL がダウンロードされて古い CRL を上書きします。

    # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
    …
    Validation Policy Information:
        Maximum Certificate Revocation Responder Timeout: 10
        Ignore Certificate Revocation Responder Timeout: true
    …
        CRL:
            Base filename: [not set]
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: true
            CRL specific proxy override: www-proxy.cagate.example.com:80
            Ignore CRL signature: false
            Ignore CRL validity date: false
    IPsec policy bypass on outgoing connections: true
    …

  • 静的にダウンロードされる CRL は、管理者が頻繁に確認する必要があります。

    管理者が次の値に CRL エントリを設定すると、その管理者は CRL の手動ダウンロード、ディレクトリの入力、および現在の CRL の維持に責任を負います。

    …
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: false
            Proxy: [not set]
    …