ikedb 命令

在线编辑

用途

检索、更新、删除、导入和导出 IKE 数据库中的信息。

语法

池数据库 -p[F] [ -e 实体文件 ] [ XML 文件 ]

池数据库 -g[R] [ -t 类型 [ -n 名称 | -一 标识 -是 标识类型 ] ]

池数据库 -d -t 类型 [ -n 名称 | -一 标识 -是 标识类型 ]

池数据库 -c[F] [ -我 linux 文件 ] [ -k 密钥-文件 ] [ - XML 文件 ]

池数据库 -x

池数据库 -o

LDAP 支持的操作

池数据库 -R LDAP -p [ -F ]

池数据库 -R LDAP -g [ 策略名称 ]

池数据库 -R LDAP -o

ikedb -RLDAP-A policy-name[-f<xml 文件名> ] [-hip/host ]-C<Dn Name>

ikedb -RLDAP-D policy-name [-h] [-F]

描述

ikedb 命令允许用户写入(put)IKE 数据库或从(get)IKE 数据库中读取。 输入和输出格式是可扩展标记语言(XML)文件。 通过文档类型定义(DTD)指定 XML 文件格式。 当执行放入操作时,ikedb 命令允许用户查看用来验证 XML 文件的 DTD。 仅可对 DTD 执行如下操作来修改它:使用 -e 标志添加实体声明到 DTD。

忽略输入 XML 文件中任意外部 DOCTYPE 声明并且任意内部 DOCTYPE 声明可能导致错误。 使用 DTD 解析 XML 文件所遵循的规则在 XML 标准中指定。 /usr/samples/ipsec 具有一个典型 XML 文件的样本,该文件定义了公共隧道方案。

标志

要使用 LDAP 支持的操作,请将主机配置为 LDAP 客户机。

描述
-p

根据给定的 XML-file 执行 put 操作来写入数据库。

-F
强制执行 put,即使是指定的隧道、保护、建议、组或预共享密钥将覆盖数据库中已存在的隧道。 缺省值为 put 尝试失败次数。 当 -R 开关存在时,如果名称是指定为配置中主机上适用策略一部分的名称副本,那么将覆盖本地实体。
-s
交换所有隧道的本地和远程标识。 此标志简化导入由对等系统生成的隧道这一过程。 此标志只影响隧道。 如果任意隧道的远程标识是一个组的,那么该选项非法。
--e 实体文件
指定包含由 entity-file定义的 <!ENTITY ...> 行的文件的名称。 添加这些行到内部 DTD 并且允许在别的 XML 文件包含 XML 文件。
XML 文件
指定使用的 XML-file 并且必须是显示在命令行中最后的参数。 XML-file 确定是否写到隧道、保护、建议、组、预共享密钥或所有这些内容。 如果没有指定 XML-file ,从 stdin 读取输入。 -(连字符)也能用于指定 stdin
-R LDAP
有效值为 LDAP。 将 -p-R 开关结合使用时,通过从 LDAP 服务器导入与适用的 IPSec 配置策略相关联的 XML 配置文件来完成 put 操作。
-h 指定具有 -A 标志或 -D 标志的主机名或 IP 地址。 IP 地址可以是 IPv4 或 IPv6。
-g 执行 get 显示 IKE 数据库的存储内容。 输出发送到 stdout 并且使用 XML 格式,适合用 ikedb -p 进行处理的情况。
-r
使用递归。 如果为阶段 1 隧道指定了该标志志,也返回所有关联的阶段 2 隧道、所有与两个隧道集有关的保护和建议的信息。
--t
指定被请求的输出的 typeType 可以是 AIX_VPN 下的任意 XML 元素值,例如 IKETunnelIPSecProtection 等等。 如果省略,输出完整数据库。
-名称
指定被请求对象的 nameName 可以是建议、保护、隧道或组的名称,取决于 -t 标志值。 -n 标志对 -t 标志指定的所有值都有效,除了 IKEPresharedKey。 如果省略,输出指定的 type 全部对象。
--i ID
指定与预共享密钥有关的 ID-i 标志仅对-t 标志的 IKEPresharedKey 值有效。 如果省略,输出指定的 type 全部对象。 -i 标志必须和 -y 标志合用。
--y ID 类型
指定由 -一 标志定义的 标识类型 。 ID-type 可能是 XML 文件中允许的合法类型之一,诸如 User_FQDNIPV4_Address 等等。 -y 标志必须和 -i 标志协同使用。
-R LDAP
有效值为 LDAP。 将 -g 标志与 -R 开关结合使用时,通过针对与本地主机相关联的策略,显示存储在 LDAP 服务器上的 XML 配置文件。 如果也提供策略名称,那么会在标准输出上显示存储为策略一部分的 XML 文件。
-d 在数据库中指定项上执行 delete。 该标志和 -g 标志一样,除了不支持 -r
-C 用于提供在关联客户机中使用的 IPSec 证书。
-c

将Linux®IPSec 配置文件转换为 XML 格式的AIXIPSec 配置文件。 它需要一个或两个来自 Linux 环境的文件作为输入,这是一个配置文件,可能还需要一个包含预先共享密钥的私钥文件。

-F
强制执行 put,即使是指定的隧道、保护、建议、组或预共享密钥将覆盖数据库中已存在的隧道。 缺省值是 put 尝试失败。 如果也使用 -f 标志,-F 标志无效。
--l linux-file
指定 Linux 配置文件 (由 linux 文件定义)。 如果未指定文件,系统在当前目录中查找 ipsec.conf 文件。
--k 秘密文件
指定 Linux 预先共享密钥文件 (由 密钥-文件 参数定义)。 如果未指定文件,系统在当前目录中查找 ipsec.secrets 文件。
--f XML 文件
指定要将 Linux 配置文件转换为的 XML 配置文件。 缺省行为是对直接对 IKE 数据库执行 put 操作。 如果文件名具有连字符 (-),那么会将结果发送至标准输出。 如果命令行上也存在 -R 开关,那么此标志无效。
-x 对数据库执行擦除操作。 此标志会清空数据库。 如果命令行上也存在 -R 标志,那么此标志无效。
-O 执行 DTD 的 output,这个 DTD 指定 XML 文件的所有元素和属性,此文件由 ikedb 命令使用。 发送 DTD 到 stdout。 如果存在 -R 开关,那么为 XML 文件(允许存储为 LDAP 上配置策略的一部分)指定所有元素和属性的 DTD 会发送至 stdout
-一个

将提供的 IP 地址与策略名称相关联。 如果不提供任何 IP 地址,那么为本地主机选择第一个本地 IPV6 地址并将其与策略相关联。 通过从 LDAP 下载 XML 文件并将其放入数据库来实施策略配置。 会激活因此而定义的隧道。

--f< XML 文件的路径 >
如果提供 XML 文件,那么它会在 LDAP 服务器上存储为适用于所定义策略的新 XML。 如果策略不存在,那么需要此标志。
-R LDAP
有效值为 LDAP。 必须在命令行上提供此开关。
-D

在 LDAP 服务器上解除配置策略与 IP 的关联。

没有 -R 开关,此标志无效。 R 开关的唯一有效值为 LDAP。

- F
如果除去与指定的策略相关联的最后一个 IP 地址,那么此开关会促使从 LDAP 服务器中删除相应的策略数据(XML 配置文件)。 如果不使用此标志,那么不会从 LDAP 服务器中删除该策略。

文件

描述
/usr/samples/ipsec 设置不同隧道配置的 XML 文件的示例。

示例

  1. 要将定义从在对等机器上生成的 XML 文件放入到 IKE 数据库,并且覆盖数据库中以相同名称存在的对象,请输入:
     ikedb -pFs peer_tunnel_conf.xml

    peer_tunnel_conf.xml 是对等机器上生成的 XML 文件。

  2. 获取 名为 tunnel_sys1_and_sys2 的阶段 1 隧道和具有相应建议和保护的所有从属阶段 2 隧道的定义,请输入:
     ikedb -gr -t IKETunnel -n tunnel_sys1_and_sys2
  3. 要从数据库中删除所有预共享密钥,请输入:
     ikedb -d -t IKEPresharedKey
  4. 要将 IP 地址为 10.10.10.1 的主机与名为 Poll 的配置策略与证书 /C=US/O=IBM/CN=test01.austin.ibm.com 与 xml 文件 ldap.xml 关联 ,请输入:
    ikedb -R LDAP -A Pol1  -f  ldap.xml  -h 10.10.10.1 -C /C=US/O=IBM/CN=test01.austin.ibm.com