JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
マニュアルページセクション 1M: システム管理コマンド     Oracle Solaris 11.1 Information Library (日本語)
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

紹介

System Administration Commands - パート 1

6to4relay(1M)

acct(1M)

acctadm(1M)

acctcms(1M)

acctcon1(1M)

acctcon(1M)

acctcon2(1M)

acctdisk(1M)

acctdusg(1M)

acctmerg(1M)

accton(1M)

acctprc1(1M)

acctprc(1M)

acctprc2(1M)

acctsh(1M)

acctwtmp(1M)

acpihpd(1M)

adbgen(1M)

add_allocatable(1M)

addbadsec(1M)

add_drv(1M)

aimanifest(1M)

arp(1M)

asradm(1M)

asr-notify(1M)

atohexlabel(1M)

audit(1M)

auditconfig(1M)

auditd(1M)

auditrecord(1M)

auditreduce(1M)

auditstat(1M)

audit_warn(1M)

automount(1M)

automountd(1M)

autopush(1M)

bart(1M)

beadm(1M)

boot(1M)

bootadm(1M)

bootconfchk(1M)

bootparamd(1M)

busstat(1M)

captoinfo(1M)

catman(1M)

cfgadm(1M)

cfgadm_ac(1M)

cfgadm_cardbus(1M)

cfgadm_fp(1M)

cfgadm_ib(1M)

cfgadm_pci(1M)

cfgadm_sata(1M)

cfgadm_sbd(1M)

cfgadm_scsi(1M)

cfgadm_sdcard(1M)

cfgadm_shp(1M)

cfgadm_sysctrl(1M)

cfgadm_usb(1M)

chargefee(1M)

chat(1M)

check-hostname(1M)

check-permissions(1M)

chk_encodings(1M)

chroot(1M)

cimworkshop(1M)

ckpacct(1M)

clear_locks(1M)

clinfo(1M)

closewtmp(1M)

clri(1M)

comsat(1M)

configCCR(1M)

consadm(1m)

console-reset(1M)

coreadm(1M)

cpustat(1M)

croinfo(1M)

cron(1M)

cryptoadm(1M)

datadm(1M)

dcopy(1M)

dcs(1M)

dd(1M)

ddu(1M)

ddu-text(1M)

devchassisd(1M)

devfsadm(1M)

devfsadmd(1M)

device_allocate(1M)

device_remap(1M)

devinfo(1M)

devlinks(1M)

devnm(1M)

devprop(1M)

df(1M)

dfmounts(1M)

dfmounts_nfs(1M)

dfshares(1M)

dfshares_nfs(1M)

df_ufs(1M)

dhcpagent(1M)

dhcpconfig(1M)

dhcpmgr(1M)

dhtadm(1M)

dig(1M)

directoryserver(1M)

diskinfo(1M)

disks(1M)

diskscan(1M)

dispadmin(1M)

distro_const(1M)

dladm(1M)

dlmgmtd(1M)

dlstat(1M)

dmesg(1M)

dminfo(1M)

dns-sd(1M)

dnssec-dsfromkey(1M)

dnssec-keyfromlabel(1M)

dnssec-keygen(1M)

dnssec-makekeyset(1M)

dnssec-signkey(1M)

dnssec-signzone(1M)

dodisk(1M)

domainname(1M)

drd(1M)

drvconfig(1M)

dsbitmap(1M)

dscfg(1M)

dscfgadm(1M)

dscfglockd(1M)

dsstat(1M)

dsvclockd(1M)

dtrace(1M)

dumpadm(1M)

editmap(1M)

edquota(1M)

eeprom(1M)

efdaemon(1M)

embedded_su(1M)

emCCR(1M)

emocmrsp(1M)

etrn(1M)

fbconfig(1M)

fbconf_xorg(1M)

fcadm(1M)

fcinfo(1M)

fdetach(1M)

fdisk(1M)

ff(1M)

ff_ufs(1M)

fingerd(1M)

fiocompress(1M)

flowadm(1M)

flowstat(1M)

fmadm(1M)

fmd(1M)

fmdump(1M)

fmstat(1M)

fmthard(1M)

format(1M)

fruadm(1M)

fsck(1M)

fsck_pcfs(1M)

fsck_udfs(1M)

fsck_ufs(1M)

fsdb(1M)

fsdb_udfs(1M)

fsdb_ufs(1M)

fsflush(1M)

fsirand(1M)

fssnap(1M)

fssnap_ufs(1M)

fsstat(1M)

fstyp(1M)

fuser(1M)

fwflash(1M)

fwtmp(1M)

getdevpolicy(1M)

getent(1M)

gettable(1M)

getty(1M)

gkadmin(1M)

groupadd(1M)

groupdel(1M)

groupmod(1M)

growfs(1M)

grpck(1M)

gsscred(1M)

gssd(1M)

hald(1M)

hal-device(1M)

hal-fdi-validate(1M)

hal-find(1M)

hal-find-by-capability(1M)

hal-find-by-property(1M)

hal-get-property(1M)

hal-set-property(1M)

halt(1M)

hextoalabel(1M)

host(1M)

hostconfig(1M)

hotplug(1M)

hotplugd(1M)

htable(1M)

ickey(1M)

id(1M)

idmap(1M)

idmapd(1M)

idsconfig(1M)

ifconfig(1M)

if_mpadm(1M)

ifparse(1M)

iiadm(1M)

iicpbmp(1M)

iicpshd(1M)

ikeadm(1M)

ikecert(1M)

ilbadm(1M)

ilbd(1M)

ilomconfig(1M)

imqadmin(1M)

imqbrokerd(1M)

imqcmd(1M)

imqdbmgr(1M)

imqkeytool(1M)

imqobjmgr(1M)

imqusermgr(1M)

in.chargend(1M)

in.comsat(1M)

in.daytimed(1M)

in.dhcpd(1M)

in.discardd(1M)

in.echod(1M)

inetadm(1M)

inetconv(1M)

inetd(1M)

in.fingerd(1M)

infocmp(1M)

in.iked(1M)

init(1M)

init.sma(1M)

init.wbem(1M)

inityp2l(1M)

in.lpd(1M)

in.mpathd(1M)

in.named(1M)

in.ndpd(1M)

in.rarpd(1M)

in.rdisc(1M)

in.rexecd(1M)

in.ripngd(1M)

in.rlogind(1M)

in.routed(1M)

in.rshd(1M)

in.rwhod(1M)

install(1M)

installadm(1M)

installboot(1M)

installf(1M)

installgrub(1M)

in.stdiscover(1M)

in.stlisten(1M)

in.talkd(1M)

in.telnetd(1M)

in.tftpd(1M)

in.timed(1M)

intrd(1M)

intrstat(1M)

in.uucpd(1M)

iostat(1M)

ipaddrsel(1M)

ipadm(1M)

ipf(1M)

ipfs(1M)

ipfstat(1M)

ipmgmtd(1M)

ipmon(1M)

ipmpstat(1M)

ipnat(1M)

ippool(1M)

ipqosconf(1M)

ipsecalgs(1M)

ipsecconf(1M)

ipseckey(1M)

iscsiadm(1M)

isns(1M)

isnsadm(1M)

itadm(1M)

itu(1M)

js2ai(1M)

k5srvutil(1M)

kadb(1M)

kadmin(1M)

kadmind(1M)

kadmin.local(1M)

kcfd(1M)

kclient(1M)

kdb5_ldap_util(1M)

kdb5_util(1M)

kdcmgr(1M)

kernel(1M)

keyserv(1M)

killall(1M)

kmem_task(1M)

kmscfg(1M)

kprop(1M)

kpropd(1M)

kproplog(1M)

krb5kdc(1M)

ksslcfg(1M)

kstat(1M)

ktkt_warnd(1M)

labeld(1M)

labelit(1M)

labelit_hsfs(1M)

labelit_udfs(1M)

labelit_ufs(1M)

lastlogin(1M)

latencytop(1M)

ldapaddent(1M)

ldap_cachemgr(1M)

ldapclient(1M)

ldmad(1M)

link(1M)

llc2_loop(1M)

lldpadm(1M)

lldpd(1M)

lms(1M)

locator(1M)

lockd(1M)

lockfs(1M)

lockstat(1M)

lofiadm(1M)

logadm(1M)

logins(1M)

lshal(1M)

System Administration Commands - パート 2

System Administration Commands - パート 3

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

ikeadm

- インターネット鍵交換 (IKE) のパラメータおよび状態の操作

形式

ikeadm [-np]
ikeadm [-np] get [debug | priv | stats | defaults]
ikeadm [-np] set [debug | priv] [level] [file]
ikeadm [-np] [get | del] [p1 | rule | preshared] [id]
ikeadm [-np] add [rule | preshared] { description }
ikeadm [-np] token [login | logout] PKCS#11_Token_Object
ikeadm [-np] [read | write] [rule | preshared | certcache] file
ikeadm [-np] dump [p1 | rule | preshared | certcache | groups
     | encralgs | authalgs]
ikeadm [-np] flush [p1 | certcache]
ikeadm help
     [get | set | add | del | read | write | dump | flush | token]

機能説明

ikeadm ユーティリティーは、インターネット鍵交換 (IKE) プロトコルデーモン in.iked(1M) から情報を取得したり、その構成を操作したりします。

ikeadm は、サポートされる 1 つ以上のオブジェクトタイプに対して実行可能な一連の操作をサポートしています。ikeadm は、引数なしで呼び出されると対話型モードに入り、標準出力にプロンプトを出力したあと、ファイルの終わりに達するまで標準入力からコマンドを受け入れます。

ikeadm は機密性の高いキーイング情報を操作するため、このコマンドを使用するにはスーパーユーザーである必要があります。さらに、使用可能なコマンドの一部では、デーモンが特権モードで動作している必要がありますが、その動作が確立されるのは、デーモンの起動時です。

このコマンドを安全に使用する方法の詳細については、セキュリティーを参照してください。

オプション

サポートしているオプションは、次のとおりです。

-n

アクションの報告時に、ホスト名やネットワーク名をシンボルで出力できないようにします。これは、すべてのネームサーバーが停止したか、またはその他の理由で到達不能になった場合などに役立ちます。

-p

パラノイド。セキュリティーアソシエーションを保存する場合でもキーイング材料を一切出力しません。このフラグが有効になると、実際の 16 進数値の代わりに X を出力します。

使用法

コマンド

次のコマンドがサポートされています。

add

指定されたオブジェクトを追加します。このオプションを使用すると、現在の (実行中の) in.iked の構成に新しいポリシールールや事前共有鍵を追加できます。新しい事前共有鍵を追加する場合、キーイング材料がコマンドに含まれるため、コマンド行からコマンドを呼び出すことはできません。追加するルールや鍵を指定するには、「ID 形式」セクションで説明する適切な ID-値ペアを使用します。

del

in.iked の現在の構成から、特定の 1 つまたは複数のオブジェクトを削除します。この操作は、IKE (第 1 段階) SA、ポリシールール、および事前共有鍵で使用できます。削除するオブジェクトの指定方法については、「ID 形式」を参照してください。

dump

in.iked が認識しているタイプのうち、指定されたタイプのオブジェクトをすべて表示します。このオプションを使用すると、第 1 段階 SA、ポリシールール、事前共有鍵、実装された Diffie-Helman グループ、第 1 段階で使用可能な暗号化アルゴリズムと認証アルゴリズム、証明書キャッシュのすべてを表示できます。このコマンドでは大量の出力が生成される可能性があります。

flush

in.iked から IKE (第 1 段階) SA またはキャッシュ内の証明書をすべて削除します。

certcache をフラッシュすると、(その副作用として) 追加または削除された新しい証明書がすべて IKE に更新されます。

get

指定されたオブジェクトを検索して表示します。現在のデバッグレベルまたは特権レベル、デーモンのグローバル統計やデフォルト値、特定の IKE (第 1 段階) SA、特定のポリシールール、または特定の事前共有鍵を表示するために使用できます。最後の 3 つのオブジェクトタイプでは識別情報を渡す必要があります。各オブジェクトタイプの適切な指定方法については後述します。

help

コマンドの簡単なサマリーを出力します。ただし、特定のコマンドが指定された場合は、そのコマンドに関する情報を出力します。

read

in.iked の現在の構成を更新するために、デフォルトの場所または指定されたファイルのいずれかからポリシールールまたは事前共有鍵を読み取ります。

set

現在のデバッグレベルまたは特権レベルを調整します。デバッグレベルを変更する場合、出力ファイルを指定することもできます。デーモンがバックグラウンドで動作しており、ファイルへの出力を現在行なっていない場合は、出力ファイルを指定する必要があります。特権レベルを変更する場合は、アクセスレベルを下げるための調整しか行うことができません。ikeadm を使用してレベルを上げることはできません。

write

in.iked の現在のポリシールールセットまたは事前共有鍵セットを指定されたファイルに書き込みます。書き込み先のファイルを指定する必要があります。このコマンドは、既存の構成ファイルを上書きするために使用するべきではありません。

token

PKCS#11 トークンオブジェクトにログインしてキーイング材料へのアクセスを許可するか、ログアウトしてキーイング材料へのアクセスを無効にします。

token は、次の承認を持つ通常ユーザーとして実行できます。

  • token ログイン: solaris.network.ipsec.ike.token.login

  • token ログアウト: solaris.network.ipsec.ike.token.logout

オブジェクトタイプ

debug

デーモンのデバッグレベルを指定します。これにより、デーモンから提供される、操作に関する出力の量や種類が決まります。デバッグレベルは実際にはビットマスクであり、その個々のビットによってそれぞれ異なるタイプの情報が有効化されます。

説明
フラグ
ニックネーム
証明書管理
0x0001
cert
鍵管理
0x0002
key
操作可能
0x0004
op
第 1 段階 SA の作成
0x0008
phase1
第 2 段階 SA の作成
0x0010
phase2
PF_KEY インタフェース
0x0020
pfkey
ポリシー管理
0x0040
policy
指定構築
0x0080
prop
ドアインタフェース
0x0100
door
構成ファイルの処理
0x0200
config
ラベルの処理
0x0400
ラベル
すべてのデバッグフラグ
0x07ff
all

デバッグレベルを指定する場合、数値 (10 進または 16 進)、ニックネーム文字列のどちらを指定してもかまいません。たとえば、880x58phase1+phase2+policy はすべて同等であり、第 1 段階 SA 作成、第 2 段階 SA 作成、およびポリシー管理のデバッグを有効にします。ニックネーム文字列を使用して特定タイプの情報を除外することもできます。all-op は、操作メッセージ以外のすべてのデバッグを有効にする効果を持ちますが、これは数値 10190x3fb と同等になります。

priv

デーモンのアクセス特権レベルを指定します。指定できる値は次のとおりです。

Description                  Level   Nickname
Base level                   0       base
Access to preshared key info 1       modkeys
Access to keying material    2       keymat

デフォルトでは、in.iked はベースレベルで起動されます。コマンド行オプションを使用すると、より高いレベルでデーモンを起動できます。ikeadm では、レベルを下げることはできますが、レベルを上げることはできません。

目的の特権レベルを指定する場合は、数値レベルとニックネームのどちらを使用してもかまいません。

事前共有鍵の取得、追加、削除、ダンプ、読み取り、または書き込みを行うには、少なくとも事前共有鍵情報へのアクセスを許可する特権レベルが必要になります。ただし、(get または dump のいずれかのコマンドを使用して) 事前共有鍵を表示する際に鍵自体が使用可能になるのは、特権レベルがキーイング材料へのアクセスを許可する場合だけです。第 1 段階 SA を表示する場合も、これと同様です。

stats

デーモンのグローバル統計であり、第 1 段階 SA 作成の成功と失敗の両方をカバーします。

報告される統計情報には次が含まれます。

  • ローカルエンティティーが開始した P1 SA の現在の数

  • ローカルエンティティーがレスポンダになった P1 SA の現在の数

  • ブート以降にローカルエンティティーが開始した P1 SA の合計数

  • ブート以降にローカルエンティティーがレスポンダになった P1 SA の合計数

  • ブート以降にローカルエンティティーがイニシエータになった試行 P1 SA の合計数。失敗した試行も含まれます。

  • ブート以降にローカルエンティティーがレスポンダになった試行 P1 SA の合計数。失敗した試行も含まれます。

  • P1 SA を開始しようとして失敗した合計回数 (ピアが応答しなかったためにエラーが発生した場合)

  • P1 SA を開始しようとして失敗した合計回数 (ピアが応答した場合)

  • ピアがイニシエータになった失敗 P1 SA の合計数

  • PKCS#11 ライブラリが使用中かどうかと、使用中の場合はその読み込まれた PKCS#11 ライブラリ例 11を参照してください。

defaults

in.iked デーモンで使用されるデフォルト値を表示します。値の中には、デーモンの構成ファイルでオーバーライドできるものもあります (ike.config(4) を参照)。それらの値では、get defaults の出力時にトークン名が表示されます。出力には、構成トークンがデフォルトを変更した箇所が反映されます。

デフォルト値は、ピアシステムから有効な代替案が提出された場合は無視される可能性があります。また、ike.config で確立されたルール単位の値でオーバーライドされる可能性もあります。そのような場合も、get defaults コマンドは、デフォルトのオーバーライドに使用された値ではなく、デフォルト値を表示し続けます。

p1

IKE 第 1 段階 SA。p1 オブジェクトは IP アドレスペアまたは cookie ペアのいずれかで識別されますが、その識別形式については後述します。

rule

IKE ポリシールール。指定されたローカルアイデンティティーとリモートアイデンティティーとの間の第 1 段階 SA で使用可能なセキュリティー特性を定義します。ルールはラベルで識別されますが、その識別形式については後述します。

preshared

事前共有鍵。ローカルとリモートの識別、および適用可能な IKE モードも含まれます。事前共有鍵は IP アドレスペア、アイデンティティーペアのいずれかで識別されますが、その識別形式については後述します。

ID 形式

adddelget などのコマンドでは、コマンド行に追加情報を指定する必要があります。削除コマンドと取得コマンドで必要になるのは、特定のオブジェクトを識別する最小限の情報だけです。追加コマンドでは完全なオブジェクトを指定する必要があります。

最小限の識別はほとんどの場合、値のペアによって実現されます。IP アドレスの場合、ローカルアドレスのあとにリモートアドレスを指定しますが、その形式は IPv4 アドレス用のドット表記、IPv6 アドレス用のコロン区切り 16 進数形式、またはホスト名データベース内に存在するホスト名のいずれかになります。複数のアドレスに展開されるホスト名を指定した場合、アドレスの可能な各組み合わせについて、要求された操作が1 度に複数回実行されます。

アイデンティティーペアは、ローカルのタイプ-値ペアとそれに続くリモートのタイプ-値ペアとで構成されます。有効なタイプは次のとおりです。

prefix

アドレスの接頭辞。

fqdn

完全修飾ドメイン名。

domain

ドメイン名。fqdn の同義語です。

user_fqdn

user@fqdn という形式のユーザーアイデンティティー。

mailbox

user_fqdn の同義語。

cookie ペアは、第 1 段階セキュリティーアソシエーション (SA) の作成時にその SA に割り当てられた 2 つの cookie で構成され、1 つがイニシエータ用、もう 1 つがレスポンダ用です。cookie は 64 ビットの数値です。

最後に、(ポリシールールの識別子として使用される) ラベルは、ルール作成時にルールに割り当てられる文字列です。

追加コマンドでのルールや事前共有鍵の記述形式は、in.iked 構成ファイルの形式規則に従います。どちらも、中括弧 ({}) で囲まれた一連の ID-値ペアから構成されます。ルールや事前共有鍵の形式の詳細については、ike.config(4)ike.preshared(4) を参照してください。

セキュリティー

ikeadm コマンドを使用すると、特権ユーザーが暗号化キーイング情報を入力できます。そのような情報に悪意のあるユーザーがアクセスできると、IPsec トラフィックのセキュリティーが損なわれます。ikeadm コマンドを使用する際には、次の問題を考慮するようにしてください。

送信元アドレスがネットワーク経由で検索可能なホストである場合に、ネームシステム自体の安全性が損なわれると、使用されているすべての名前が信用できなくなります。

セキュリティーの脆弱性はしばしば、ツール自体に原因があるのではなく、ツールの間違った適用方法に原因があります。管理者には、ikeadm コマンドの使用時に十分な注意を払うことをお勧めします。もっとも安全な操作モードはおそらく、コンソール上やその他の物理的に接続された TTY 上で作業を行うことです。

このテーマの追加情報については、Bruce Schneier 著『Applied Cryptography: Protocols, Algorithms, and Source Code in C』に含まれる Matt Blaze 氏の後書きを参照してください。

使用例

例 1 すべての第 1 段階セキュリティーアソシエーションの削除

次のコマンドは、すべての第 1 段階セキュリティーアソシエーションを削除します。

example# ikeadm flush p1

例 2 すべての第 1 段階セキュリティーアソシエーションの表示

次のコマンドは、すべての第 1 段階セキュリティーアソシエーションを表示します。

example# ikeadm dump p1

例 3 特定の第 1 段階セキュリティーアソシエーションの削除

次のコマンドは、指定された第 1 段階セキュリティーアソシエーションを削除します。

example# ikeadm del p1 local_ip remote_ip

例 4 ファイルからのルールの追加

次のコマンドはファイルからルールを追加します。

example# ikeadm add rule rule_file

例 5 事前共有鍵の追加

次のコマンドは事前共有鍵を追加します。

example# ikeadm
     ikeadm> add preshared { localidtype ip localid local_ip
             remoteidtype ip remoteid remote_ip ike_mode main
             key 1234567890abcdef1234567890abcdef }

例 6 すべての事前共有鍵のファイルへの保存

次のコマンドは、すべての事前共有鍵をファイルに保存します。

example# ikeadm write preshared target_file

例 7 特定のルールの表示

次のコマンドは特定のルールを表示します。

example# ikeadm get rule rule_label

例 8 ike.config からの新しいルールの読み込み

次のコマンドは、ike.config ファイルから新しいルールを読み込みます。

example# ikeadm read rules

例 9 特権レベルの引き下げ

次のコマンドは特権レベルを引き下げます。

example# ikeadm set priv base

例 10 デバッグレベルの表示

次のコマンドは現在のデバッグレベルを表示します

example# ikeadm get debug

例 11 stats を使用したハードウェアアクセラレータの確認

次の例は、統計情報の末尾に省略可能な行が含まれる様子を示したものです。この行は該当する場合に、IKE が PKCS#11 ライブラリを使用して公開鍵の処理を高速化しているかどうかを示します。

example# ikeadm get stats
Phase 1 SA counts:
Current:  initiator:     0    responder:      0
Total:    initiator:    21   responder:      27
Attempted:initiator:    21   responder:      27
Failed:   initiator:     0   responder:       0
             initiator fails include 0 time-out(s)
PKCS#11 library linked in from /opt/system/core-osonn/lib/libpkcs11.so
example# 

例 12 証明書キャッシュの表示

次のコマンドは証明書キャッシュを表示し、該当する場合は関連する秘密鍵のステータスも表示します。

example# ikeadm dump certcache

例 13 PKCS#11 トークンへのログイン

次のコマンドは、PKCS#11 トークンオブジェクトにログインして秘密鍵のロックを解除する方法を示したものです。

example# ikeadm token login "Sun Metaslot"
Enter PIN for PKCS#11 token:
ikeadm: PKCS#11 operation successful

終了ステータス

次の終了ステータスが返されます。

0

正常終了。

0 以外

エラーが発生した。対応するエラーメッセージが標準エラーに書き込まれます。

属性

属性についての詳細は、マニュアルページの attributes(5) を参照してください。

属性タイプ
属性値
使用条件
system/core-os
インタフェースの安定性
インタフェースではない

関連項目

in.iked(1M), ike.config(4), ike.preshared(4), attributes(5), ipsec(7P)

Schneier, Bruce 著『Applied Cryptography: Protocols, Algorithms, and Source Code in C』、第 2 版、John Wiley & Sons, New York, NY、1996 年

注意事項

in.iked は大域ゾーンと排他的 IP ゾーンでのみ実行可能なので、このコマンドは共有 IP ゾーンでは役立ちません。