IKE 서비스의 등록 정보, IKE 상태 및 IKE 데몬 객체의 요소, 인증서 검증 정책을 볼 수 있습니다. 두 IKE 서비스를 모두 실행 중인 경우 서비스별로 정보를 표시하거나 두 서비스 정보를 모두 표시할 수 있습니다. 이러한 명령은 테스트, 문제 해결 및 모니터링 중에 유용할 수 있습니다.
IKE 서비스 인스턴스의 등록 정보 보기 – 출력에는 구성 파일의 이름을 비롯해 IKEv2 서비스에 대해 구성 가능한 속성이 표시됩니다.
% svccfg -s ipsec/ike:ikev2 listprop config config application config/allow_keydump boolean false config/config_file astring /etc/inet/ike/ikev2.config config/ignore_errors boolean false config/kmf_policy astring /etc/inet/ike/kmf-policy.xml config/max_child_sas integer 0 config/max_threads integer 0 config/min_threads integer 0 config/preshared_file astring /etc/inet/ike/ikev2.preshared config/response_wait_time integer 30 config/value_authorization astring solaris.smf.value.ipsec config/debug_logfile astring config/debug_level astring op
다음 예의 출력에는 IKEv1 서비스에 대해 구성 가능한 등록 정보가 표시됩니다. :default 서비스 인스턴스를 지정하지 마십시오.
% svccfg -s ipsec/ike listprop config config application config/admin_privilege astring base config/config_file astring /etc/inet/ike/config config/debug_level astring op config/debug_logfile astring /var/log/in.iked.log config/ignore_errors boolean false config/value_authorization astring solaris.smf.value.ipsec
IKE 데몬의 현재 상태 보기 – 다음 예의 출력에는 ikeadm 명령의 인수가 표시됩니다. 이러한 인수를 사용하면 데몬의 현재 상태가 표시됩니다.
% ikeadm help ... get debug|priv|stats|p1|ikesa|rule|preshared|defaults [identifier] dump p1|ikesa|rule|preshared|certcache|groups|encralgs|authalgs read rule|preshared [filename] help [get|set|add|del|dump|flush|read|write|token|help]
ikeadm 명령의 특정 인수에 대한 구문 표시 – help 하위 명령을 사용하여 명령 인수 구문을 표시합니다. 예를 들면 다음과 같습니다.
% ikeadm help read This command reads a new configuration file into in.iked, discarding the old configuration info. Sets of data that may be read include: rule all phase 1/ikesa rules preshared all preshared keys A filename may be provided to specify a source file other than the default.
미리 공유한 키 보기 - IKEv1 및 IKEv2에 대한 미리 공유한 키를 볼 수 있습니다.
IKEv2의 경우:
# ikeadm -v2 dump preshared
IKEv1의 경우:
# ikeadm set priv keymat # ikeadm -v1 dump preshared PSKEY: Rule label: "Test PSK 197 to 56" PSKEY: Local pre-shared key (80 bytes): 74206272696c6c696720...3/584 PSKEY: Remote pre-shared key (80 bytes): 74206272696c6c696720...3/584 Completed dump of preshared keys
IKE SA 보기 – 출력에는 SA, 변환, 로컬 및 원격 시스템에 대한 정보와 기타 세부 정보가 포함됩니다. 통신을 요청하지 않은 경우 SA가 없으므로 표시할 정보가 없습니다.
# ikeadm -v2 dump ikesa IKESA: SPIs: Local 0xd3db95689459cca4 Remote 0xb5878717f5cfa877 ... XFORM: Encryption alg: aes-cbc(256..256); Authentication alg: hmac-sha512 ... LOCIP: AF_INET: port 500, 10.1.2.3 (example-3). ... REMIP: AF_INET: port 500, 10.1.4.5 (ex-2). ... LIFTM: SA expires in 11459 seconds (3.18 hours) ... STATS: 0 IKE SA rekeys since initial AUTH. LOCID: Initiator identity, type FQDN ... CHILD: ESP Inbound SPI: 0x94841ca3, Outbound SPI 0x074ae1e5 ... Completed dump of IKE SA info
활성 IKE 규칙 보기 – 나열된 IKE 규칙은 사용 중이 아닐 수 있지만 사용 가능한 상태입니다.
# ikeadm -v2 dump rule GLOBL: Label 'Test Rule1 for PSK', key manager cookie 1 GLOBL: Local auth method=pre-shared key GLOBL: Remote auth method=pre-shared key GLOBL: childsa_pfs=false GLOBL: authentication_lifetime=86400 seconds (1.00 day) GLOBL: childsa_lifetime=120 seconds (2.00 minutes) GLOBL: childsa_softlife=108 seconds (1.80 minute) GLOBL: childsa_idletime=60 seconds GLOBL: childsa_lifetime_kb=122880 kilobytes (120.00 MB) GLOBL: childsa_softlife_kb=110592 kilobytes (108.00 MB) LOCIP: IP address range(s): LOCIP: 10.142.245.197 REMIP: IP address range(s): REMIP: 10.134.64.56 LOCID: Identity descriptors: LOCID: Includes: LOCID: fqdn="gloria@ms.mag" REMID: Identity descriptors: REMID: Includes: REMID: fqdn="gloria@ms.mag" XFRMS: Available Transforms: XF 0: Encryption alg: aes-cbc(128..256); Authentication alg: hmac-sha512 XF 0: PRF: hmac-sha512 ; Diffie-Hellman Group: 2048-bit MODP (group 14) XF 0: IKE SA lifetime before rekey: 14400 seconds (4.00 hours) Completed dump of policy rules
IKEv2에서 인증서 검증 정책 보기 – dbfile 값과 policy 값을 지정해야 합니다.
동적으로 다운로드되는 CRL에서는 관리자가 개입하여 응답자 시간 초과를 조정해야 합니다.
다음 예의 출력에서는 인증서에 포함된 URI에서 CRL이 다운로드된 다음 목록이 캐시됩니다. 캐시에 만료된 CRL이 포함된 경우 새 CRL이 다운로드되어 이전 CRL을 대체합니다.
# kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default … Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true … CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: www-proxy.cagate.example.com:80 Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true …
정적으로 다운로드되는 CRL은 관리자가 주기적으로 주의를 기울여야 합니다.
관리자가 CRL 항목을 다음 값으로 설정하는 경우 관리자는 CRL을 수동으로 다운로드하고, 디렉토리를 채우고, 현재 CRL을 유지 관리해야 합니다.
… Directory: /var/user/ikeuser/crls Download and cache CRL: false Proxy: [not set] …