IPsec ポリシーファイルと手動鍵を保持しているファイルの名前を表示できます。
IPsec 構成ファイルの名前を表示するには:
% svccfg -s policy listprop config/config_file config/config_file astring /etc/inet/ipsecinit.conf
IPsec の手動鍵を保持しているファイルの名前を表示するには:
% svccfg -s manual-key listprop config/config_file config/config_file astring /etc/inet/secret/ipseckeys
IKE サービスのプロパティー、IKE 状態および IKE デーモンオブジェクトの要素、および証明書検証ポリシーを表示できます。両方の IKE サービスを実行している場合は、サービスごとの情報または両方のサービスの情報を表示できます。これらのコマンドは、テスト、トラブルシューティング、およびモニター中に役立ちます。
IKE サービスインスタンスのプロパティーの表示 – 出力には、構成ファイルの名前を含む IKEv2 サービスの構成可能なプロパティーが表示されます。
% svccfg -s ipsec/ike:ikev2 listprop config config application config/allow_keydump boolean false config/config_file astring /etc/inet/ike/ikev2.config config/ignore_errors boolean false config/kmf_policy astring /etc/inet/ike/kmf-policy.xml config/max_child_sas integer 0 config/max_threads integer 0 config/min_threads integer 0 config/preshared_file astring /etc/inet/ike/ikev2.preshared config/response_wait_time integer 30 config/value_authorization astring solaris.smf.value.ipsec config/debug_logfile astring config/debug_level astring op
次の例の出力には、IKEv1 サービスの構成可能なプロパティーが表示されています。:default サービスインスタンスは指定しないでください。
% svccfg -s ipsec/ike listprop config config application config/admin_privilege astring base config/config_file astring /etc/inet/ike/config config/debug_level astring op config/debug_logfile astring /var/log/in.iked.log config/ignore_errors boolean false config/value_authorization astring solaris.smf.value.ipsec
IKE デーモンの現在の状態の表示 – 次の例の出力には、ikeadm コマンドの引数が表示されています。これらの引数はデーモンの現在の状態を表示します。
% ikeadm help ... get debug|priv|stats|p1|ikesa|rule|preshared|defaults [identifier] dump p1|ikesa|rule|preshared|certcache|groups|encralgs|authalgs read rule|preshared [filename] help [get|set|add|del|dump|flush|read|write|token|help]
ikeadm コマンドに対する特定の引数の構文の表示 – コマンド引数の構文を表示するには、help サブコマンドを使用します。例:
% ikeadm help read This command reads a new configuration file into in.iked, discarding the old configuration info. Sets of data that may be read include: rule all phase 1/ikesa rules preshared all preshared keys A filename may be provided to specify a source file other than the default.
事前共有鍵の表示 – IKEv1 および IKEv2 の事前共有鍵を表示できます。
IKEv2 の場合:
# ikeadm -v2 dump preshared
IKEv1 の場合:
# ikeadm set priv keymat # ikeadm -v1 dump preshared PSKEY: Rule label: "Test PSK 197 to 56" PSKEY: Local pre-shared key (80 bytes): 74206272696c6c696720...3/584 PSKEY: Remote pre-shared key (80 bytes): 74206272696c6c696720...3/584 Completed dump of preshared keys
IKE SA の表示 – 出力には、SA、変換、ローカルシステムとリモートシステム、およびその他の詳細に関する情報が含まれます。通信が要求されていない場合は、SA が存在しないため、表示する情報がありません。
# ikeadm -v2 dump ikesa IKESA: SPIs: Local 0xd3db95689459cca4 Remote 0xb5878717f5cfa877 ... XFORM: Encryption alg: aes-cbc(256..256); Authentication alg: hmac-sha512 ... LOCIP: AF_INET: port 500, 10.1.2.3 (example-3). ... REMIP: AF_INET: port 500, 10.1.4.5 (ex-2). ... LIFTM: SA expires in 11459 seconds (3.18 hours) ... STATS: 0 IKE SA rekeys since initial AUTH. LOCID: Initiator identity, type FQDN ... CHILD: ESP Inbound SPI: 0x94841ca3, Outbound SPI 0x074ae1e5 ... Completed dump of IKE SA info
アクティブな IKE ルールの表示 – リストされる IKE ルールは使用中でない場合がありますが、使用は可能です。
# ikeadm -v2 dump rule GLOBL: Label 'Test Rule1 for PSK', key manager cookie 1 GLOBL: Local auth method=pre-shared key GLOBL: Remote auth method=pre-shared key GLOBL: childsa_pfs=false GLOBL: authentication_lifetime=86400 seconds (1.00 day) GLOBL: childsa_lifetime=120 seconds (2.00 minutes) GLOBL: childsa_softlife=108 seconds (1.80 minute) GLOBL: childsa_idletime=60 seconds GLOBL: childsa_lifetime_kb=122880 kilobytes (120.00 MB) GLOBL: childsa_softlife_kb=110592 kilobytes (108.00 MB) LOCIP: IP address range(s): LOCIP: 10.142.245.197 REMIP: IP address range(s): REMIP: 10.134.64.56 LOCID: Identity descriptors: LOCID: Includes: LOCID: fqdn="gloria@ms.mag" REMID: Identity descriptors: REMID: Includes: REMID: fqdn="gloria@ms.mag" XFRMS: Available Transforms: XF 0: Encryption alg: aes-cbc(128..256); Authentication alg: hmac-sha512 XF 0: PRF: hmac-sha512 ; Diffie-Hellman Group: 2048-bit MODP (group 14) XF 0: IKE SA lifetime before rekey: 14400 seconds (4.00 hours) Completed dump of policy rules
IKEv2 の証明書検証ポリシーの表示 – dbfile および policy の値を指定する必要があります。
動的にダウンロードされる CRL は、応答者タイムアウトの調整に管理者の介入が必要になる場合があります。
次の例の出力では、証明書に組み込まれた URI から CRL がダウンロードされたあと、リストがキャッシュされます。キャッシュに期限切れの CRL が含まれている場合は、新しい CRL がダウンロードされて古い CRL を上書きします。
# kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default … Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true … CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: www-proxy.cagate.example.com:80 Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true …
静的にダウンロードされる CRL は、管理者が頻繁に確認する必要があります。
管理者が次の値に CRL エントリを設定すると、その管理者は CRL の手動ダウンロード、ディレクトリの入力、および現在の CRL の維持に責任を負います。
… Directory: /var/user/ikeuser/crls Download and cache CRL: false Proxy: [not set] …