IPsec の新機能

Solaris 10 4/09: このリリース以降、サービス管理機能 (SMF) は IPsec を一連のサービスとして管理します。

デフォルトでは、システムのブート時に次の 2 つの IPsec サービスが有効になります。

• svc:/network/ipsec/policy:default

• svc:/network/ipsec/ipsecalgs:default

デフォルトでは、システムのブート時に鍵管理サービスは無効になっています。

• svc:/network/ipsec/manual-key:default

• svc:/network/ipsec/ike:default

SMF の下で IPsec ポリシーを有効にするには、次の手順を実行します。

1. ipsecinit.conf ファイルに IPsec ポリシーエントリを追加します。

2. Internet Key Exchange (IKE) を構成するか、鍵を手動で構成します。

3. IPsec ポリシーサービスをリフレッシュします。

4. 鍵管理サービスを有効にします。

SMF については、『Oracle Solaris の管理: 基本管理』の第 18 章「サービスの管理 (概要)」を参照してください。smf(5) および svcadm(1M) のマニュアルページも参照してください。

このリリース以降では、ipsecconf コマンドと ipseckey コマンドに -c オプションが追加されており、それぞれの構成ファイルの構文をチェックできます。また、IPsec と IKE を管理するための Network IPsec Management 権利プロファイルが用意されています。

Solaris 10 7/07: このリリース以降、IPsec はトンネルモードのトンネルを完全に実装し、トンネルをサポートするユーティリティーは変更されます。

• IPsec は、仮想プライベートネットワーク (VPN) 用のトンネルモードのトンネルを実装します。トンネルモードでの IPsec は、単一の NAT の背後にある複数のクライアントをサポートします。トンネルモードでの IPsec は、ほかのベンダーによって実装された IP 内 IP トンネルと相互運用できます。IPsec は、引き続きトランスポートモードのトンネルをサポートするので、以前の Solaris リリースとの互換性があります。

• トンネルを作成するための構文が簡素化されます。IPsec ポリシーを管理するために、ipsecconf コマンドが拡張されました。IPsec ポリシーの管理に ifconfig コマンドは推奨されなくなりました。

• このリリース以降、/etc/ipnodes ファイルは削除されます。ネットワークの IPv6 アドレスを構成するには、/etc/hosts ファイルを使用してください。

Solaris 10 1/06: このリリース以降では、IKE は完全に NAT-Traversal サポート (RFC 3947 と RFC 3948 を参照) に準拠します。IKE 操作は暗号化フレームワークから PKCS #11 ライブラリを使用し、パフォーマンスを向上させます。

この暗号化フレームワークは、メタスロットを使用するアプリケーションにソフトトークンキーストアを提供します。IKE がメタスロットを使用するとき、キーを格納する場所として、ディスク、接続したボード、またはソフトトークンキーストアを選択できます。

• ソフトトークンキーストアを使用する方法については、cryptoadm(1M) のマニュアルページを参照してください。

• Oracle Solaris の新機能の完全な一覧については、『Oracle Solaris 10 1/13 の新機能』を参照してください。