Befehl "ikedb"

Zweck

Mit dem Befehl "ikedb" können Sie Informationen aus der IKE-Datenbank abrufen, aktualisieren, löschen, importieren und exportieren.

Syntax

Ikedb -p[F s] [ -e Entitätsdatei ] [ XML-Datei ]

Ikedb -g[R] [ -t. Typ [ -n Name | -i ID -j ID-Typ ] ]

Ikedb -d -t. Typ [ -n Name | -i ID -j ID-Typ ]

Ikedb -c[F] [ -l linux-datei ] [ -k Datei mit geheimen Schlüsseln ] [ -f XML-Datei ]

Ikedb -x

Ikedb -o

Unterstützte LDAP-Operationen

Ikedb -R LDAP -p [ -F ]

Ikedb -R LDAP -g [ Richtlinienname ]

Ikedb -R -LDAP -o

ikedb -R LDAP -A richtlinien-Name [ -f <xml file name> ] [ -h ip/host ] -C <Dn Name>

ikedb -R LDAP -D policy-name [-h ip/host ] [ -F ]

Beschreibung

Der Befehl ikedb ermöglicht dem Benutzer, in die IKE-Datenbank zu schreiben (put) oder aus der IKE-Datenbank zu lesen (get). Das Eingabe- und Ausgabeformat ist eine XML-Datei (Extensible Markup Language). Das Format einer XML-Datei wird mit der Dokumenttypdefinition (DTD, Document Type Definition) angegeben. Mit dem Befehl ikedb kann der Benutzer die DTD anzeigen, die zum Validieren der XML-Datei beim Ausführen einer put-Operation verwendet wird. Entitätsdeklarationen können der DTD mit dem Flag -e hinzugefügt werden, aber dies ist die einzige Änderung, die an der DTD vorgenommen werden kann.

Jede externe DOCTYPE-Deklaration in der XML-Eingabedatei wird ignoriert und jede interne DOCTYPE-Deklaration kann zu einem Fehler führen. Die Regeln für das Parsing der XML-Datei unter Verwendung der DTD sind im XML-Standard angegeben. /usr/samples/ipsec enthält ein Beispiel für eine typische XML-Datei, die allgemeine Tunnelszenarien definiert.

Flags

Zur Verwendung unterstützter LDPA-Operationen konfigurieren Sie den Host als LDAP-Client.

Element	Beschreibung
-p	Führt eine put-Operation aus, die basierend auf der angegebenen XML-Datei Daten in die Datenbank schreibt. -F Erzwingt eine put-Operation, selbst wenn ein bestimmter Tunnel, ein bestimmter Zugriffsschutz, ein bestimmter Vorschlag, eine bestimmte Gruppe oder ein bestimmter vorab verteilter Schlüssel eine vorhandene Einstellung in der Datenbank überschreiben würde. Standardmäßig schlagen solche Put-Versuche fehl. Wenn ein Schalter -R angegeben ist, werden die lokalen Entitäten überschrieben, wenn der Name ein Duplikat eines Namens ist, der in einer anwendbaren Richtlinie auf dem Host in der Konfiguration angegeben ist. -s Vertauscht die lokalen und fernen IDs aller Tunnel. Dieses Flag vereinfacht den Import eines von einem Peersystem generierten Tunnels. Dieses Flag betrifft nur Tunnel. Diese Option ist ungültig, wenn die ferne ID eines Tunnels eine Gruppe ist. -e Entitätsdatei Gibt den Namen der Datei an, die die durch entitätsdateidefinierten `<!ENTITY ...>` -Zeilen enthält. Diese Zeilen werden der internen DTD hinzugefügt und ermöglichen dem Benutzer, XML-Dateien in andere XML-Dateien einzuschließen. XML-Datei Gibt die zu verwendende XML-Datei an und muss das letzte Argument sein, das in der Befehlszeile angezeigt wird. Die XML-Datei bestimmt, ob die Schreiboperation für einen Tunnel, einen Zugriffsschutz, einen Vorschlag, eine Gruppe und/oder einen vorab verteilten Schlüssel bestimmt ist. Wenn keine XML-Datei angegeben ist, wird die Eingabe aus stdin gelesen. Zur Angabe von stdin kann auch ein Minuszeichen (-) angegeben werden. -R LDAP Der gültige Wert ist LDAP. Wenn -p zusammen mit der Option -R verwendet wird, wird die put-Operation ausgeführt, indem die XML-Konfigurationsdatei, die der gültigen IPSec-Konfigurationsrichtlinie vom LDAP-Server zugeordnet wurde, importiert wird.
-H	Gibt den Hostnamen oder die IP-Adresse zusammen mit dem Flag -A oder dem Flag -D an. Die IP-Adresse kann eine IPv4- oder IPv6-Adresse sein.
-G	Führt eine get-Operation aus, die anzeigt, was in der IKE-Datenbank gespeichert ist. Die Ausgabe wird an stdout gesendet und hat das XML-Format, das für die Verarbeitung mit dem Befehl ikedb -p geeignet ist. -r Rekursiv. Wenn dieses Flag für einen Tunnel der Phase 1 angegeben wird, werden auch Informationen für alle zugehörigen Tunnel der Phase 2 und alle Zugriffsschutzmechanismen und Vorschläge zurückgegeben, die beiden Tunnelgruppen zugeordnet sind. -t Typ Gibt den Typ der angeforderten Ausgabe an. Die gültigen Werte für Typ sind alle XML-Elemente unter AIX_VPN, wie z. B. IKETunnel, IPSecProtection usw. Wenn dieses Flag nicht angegeben wird, wird die gesamte Datenbank ausgegeben. --n Name Gibt den Namen des angeforderten Objekts an. Die gültigen Werte für Name sind je nach Wert des Flags -t der Name eines Vorschlags, eines Zugriffsschutzmechanismus, eines Tunnels oder einer Gruppe. Mit dem Flag -n können mit Ausnahme von IKEPresharedKey alle Werte angegeben werden, die mit dem Flag -t angegebenen werden können. Wenn dieses Flag nicht angegeben wird, werden alle Objekte des angegebenen Typs ausgegeben. --i Ausweis Gibt die ID an, die einem vorab verteilten Schlüssel zugeordnet ist. Das Flag -i ist nur mit dem Wert IKEPresharedKey des Flags -t gültig. Wenn dieses Flag nicht angegeben wird, werden alle Objekte des angegebenen Typs ausgegeben. Das Flag -i muss zusammen mit dem Flag -y verwendet werden. -y ID-Typ Gibt den ID-Typ an, der mit dem Flag -i definiert wurde. Die gültigen ID-Typen sind alle laut XML-Datei zulässigen Typen, wie z. B. User_FQDN, IPV4_Address usw. Das Flag -y muss zusammen mit dem Flag -i verwendet werden. -R LDAP Der gültige Wert ist LDAP. Wenn das Flag -g zusammen mit dem Schalter -R verwendet wird, wird die get-Operation ausgeführt, indem die auf dem LDAP-Server gespeicherte XML-Konfigurationsdatei für die Richtlinie angezeigt wird, die dem lokalen Host zugeordnet ist. Wenn auch ein Richtlinienname angegeben wird, wird die als Teil der Richtlinie gespeicherte XML-Datei in der Standardausgabe angezeigt.
-d	Führt eine delete-Operation für das angegebene Element aus der Datenbank aus. Die Flags sind dieselben wie für das Flag -g, abgesehen davon, dass -r nicht unterstützt wird.
-C	Wird verwendet, um das in den zugeordneten Clients verwendete IPSec-Zertifikat bereitzustellen.
-c	Führt eine Konvertierung von einer Linux® IPSec-Konfigurationsdatei in eine AIX® IPSec-Konfigurationsdatei im XML-Format durch. Sie erfordert als Eingabe eine oder zwei Dateien aus der Linux -Umgebung, eine Konfigurationsdatei und möglicherweise eine Datei mit geheimen Schlüsseln mit vorab verteilten Schlüsseln. -F Erzwingt eine put-Operation, selbst wenn ein bestimmter Tunnel, ein bestimmter Zugriffsschutzmechanismus, ein bestimmter Vorschlag, eine bestimmte Gruppe oder ein bestimmter vorab verteilter Schlüssel eine bereits vorhandene Einstellung in der Datenbank überschreiben würde. Standardmäßig schlagen solche put-Versuche fehl. Das Flag -F hat keine Wirkung, wenn das Flag -f ebenfalls verwendet wird. -l Linux-Datei Gibt die Linux -Konfigurationsdatei wie von linux-dateidefiniert an. Wenn keine Datei angegeben wird, sucht das System die Datei ipsec.conf im aktuellen Verzeichnis. -k geheime_Schlüsseldatei Gibt die vorab verteilte Schlüsseldatei Linux gemäß der Definition des Parameters Datei mit geheimen Schlüsseln an. Wenn keine Datei angegeben wird, sucht das System die Datei ipsec.secrets im aktuellen Verzeichnis. -f XML-Datei Gibt die XML-Konfigurationsdatei an, in die die Linux -Konfigurationsdateien konvertiert werden. Standardmäßig wird eine put-Operation direkt in der IKE-Datenbank ausgeführt. Wenn als Dateiname ein Minuszeichen (-) angegeben wird, werden die Ergebnisse an stdout gesendet. Dieses Flag ist nicht gültig, wenn auch der Schalter "-R" in der Befehlszeile angegeben ist.
-x	Führt eine expunge-Operation in der Datenbank aus. Dieses Flag leert die Datenbank. Dieses Flag ist nicht gültig, wenn das Flag -R ebenfalls in der Befehlszeile angegeben ist.
-o	Führt eine Ausgabe der DTD aus, die alle Elemente und Attribute für eine XML-Datei angibt, die vom Befehl Ikedb verwendet wird. Die DTD wird an stdout gesendet. Wenn der Schalter -R vorhanden ist, wird die DTD, die alle Elemente und Attribute für die XML-Datei angibt, die als Teil der Konfigurationsrichtlinie in LDAP gespeichert werden dürfen, an stdout gesendet.
-A	Ordnet die mit dem Richtliniennamen bereitgestellten IP-Adressen zu. Wenn keine IP-Adressen angegeben werden, wird die erste lokale IPV6-Adresse für den lokalen Host ausgewählt und der Richtlinie zugeordnet. Die Richtlinienkonfiguration wird erzwungen, indem die XML-Datei von LDAP heruntergeladen und in die Datenbank eingefügt wird. Die so definierten Tunnel werden aktiviert. -f < -Pfad zur XML-Datei > Wenn eine XML-Datei bereitgestellt wird, wird sie als neue gültige XML-Datei für die definierte Richtlinie auf dem LDAP-Server gespeichert. Wenn die Richtlinie nicht vorhanden ist, ist dieses Flag erforderlich. -R LDAP Der gültige Wert ist LDAP. Dieser Schalter muss in der Befehlszeile angegeben werden.
-D	Hebt die Zuordnung von Konfigurationsrichtlinie und IP-Adresse auf dem LDAP-Server auf. Dieses Flag ist ohne den Schalter -R nicht gültig. Der einzige gültige Wert für den Schalter R ist LDAP. - F Wenn die letzte IP-Adresse, die der angegebenen Richtlinie zugeordnet ist, entfernt wird, bewirkt der Schalter, dass die entsprechenden Richtliniendaten (XML-Konfigurationsdatei) vom LDAP-Server gelöscht wird. Wenn dieses Flag nicht verwendet wird, wird die Richtlinie nicht vom LDAP-Server gelöscht.

Dateien

Element	Beschreibung
/usr/samples/ipsec	Enthält Beispiele für eine XML-Datei, die verschiedene Tunnelkonfigurationen definiert.

Beispiele

Geben Sie Folgendes ein, um Put -Definitionen aus einer XML-Datei, die auf einer Peermaschine generiert wurde, in die IKE-Datenbank zu übertragen und alle vorhandenen Objekte in der Datenbank mit demselben Namen zu überschreiben:
```
 ikedb -pFs peer_tunnel_conf.xml   
```
Die Datei peer_tunnel_conf.xml ist die auf einer Peermaschine generierte XML-Datei.
Geben Sie Folgendes ein, um die Definition des Tunnels der Phase 1 mit dem Namen tunnel_sys1_and_sys2 und aller abhängigen Tunnel der Phase 2 mit entsprechenden Vorschlägen und Schutzmaßnahmen abzurufen :
```
 ikedb -gr -t IKETunnel -n tunnel_sys1_and_sys2
```
Geben Sie Folgendes ein, um Löschen alle vorab verteilten Schlüssel aus der Datenbank zu verwenden:
```
 ikedb -d -t IKEPresharedKey
```
Geben Sie Folgendes ein, um den Host mit der IP-Adresse 10.10.10.1 der Konfigurationsrichtlinie "Abfrage mit Zertifikat" /C=US/O=IBM/CN=test01.austin.ibm.com mit der XML-Datei ldap.xml zuzuordnen :
```
ikedb -R LDAP -A Pol1  -f  ldap.xml  -h 10.10.10.1 -C /C=US/O=IBM/CN=test01.austin.ibm.com
```