IPsec の新機能

Solaris 10 4/09: このリリース以降、サービス管理機能 (SMF) は IPsec を一連のサービスとして管理します。

デフォルトでは、システムの起動時に次の 2 つの IPsec サービスが有効になります。

• svc:/network/ipsec/policy:default

• svc:/network/ipsec/ipsecalgs:default

デフォルトでは、システムの起動時に鍵管理サービスは無効になっています。

• svc:/network/ipsec/manual-key:default

• svc:/network/ipsec/ike:default

SMF の下で IPsec ポリシーを有効にするには、次の手順を実行します。

1. ipsecinit.conf ファイルに IPsec ポリシーエントリを追加します。

2. Internet Key Exchange (IKE) を構成するか、鍵を手動で構成します。

3. IPsec ポリシーサービスを更新します。

4. 鍵管理サービスを有効にします。

SMF の詳細については、『Solaris のシステム管理 (基本編)』の第 18 章「サービスの管理 (概要)」を参照してください。smf(5) および svcadm(1M) のマニュアルページも参照してください。

このリリース以降では、ipsecconf コマンドと ipseckey コマンドに -c オプションが追加されており、それぞれの構成ファイルの構文をチェックできます。また、IPsec と IKE を管理するための Network IPsec Management 権利プロファイルが用意されています。

Solaris 10 7/07: このリリース以降、IPsec はトンネルモードのトンネルを完全に実装し、トンネルをサポートするユーティリティーは変更されます。

• IPsec は、仮想プライベートネットワーク (VPN) 用のトンネルモードのトンネルを実装します。トンネルモードでの IPsec は、単一の NAT の背後にある複数のクライアントをサポートします。トンネルモードでの IPsec は、ほかのベンダーによって実装された IP 内 IP トンネルと相互運用できます。IPsec は、引き続きトランスポートモードのトンネルをサポートするので、以前の Solaris リリースとの互換性を持っています。

• トンネルを作成するための構文が簡素化されます。IPsec ポリシーを管理するために、ipsecconf コマンドが拡張されました。IPsec ポリシーの管理に ifconfig コマンドは推奨されなくなりました。

• このリリース以降、/etc/ipnodes ファイルは削除されます。ネットワークの IPv6 アドレスを構成するには、/etc/hosts ファイルを使用してください。

Solaris 10 1/06: このリリース以降では、IKE は完全に NAT-Traversal サポート (RFC 3947 とRFC 3948 を参照) に準拠します。IKE 操作は暗号化フレームワークから PKCS #11 ライブラリを使用し、パフォーマンスを向上させます。

この暗号化フレームワークは、メタスロットを使用するアプリケーションにソフトトークンキーストアを提供します。IKE がメタスロットを使用するとき、キーを格納する場所として、ディスク、接続したボード、またはソフトトークンキーストアを選択できます。

• ソフトトークンキーストアを使用する方法については、cryptoadm(1M) のマニュアルページを参照してください。

• Solaris の新機能の完全な一覧や各 Solaris リリースの説明については、『Oracle Solaris 10 9/10 の新機能』を参照してください。