ipsecconf コマンド

ホストの IPsec ポリシーを構成するには、ipsecconf コマンドを使用します。このコマンドを実行してポリシーを設定すると、IPsec ポリシーのエントリがカーネル内に作成されます。システムは、これらのエントリを使用して、インバウンドおよびアウトバウンドの IP データグラムすべてがポリシーに沿っているかどうかを検査します。転送されたデータグラムは、このコマンドで追加されたポリシー検査の対象外になります。また、ipsecconf コマンドはセキュリティーポリシーデータベース (SPD) を構成します。

• 転送されたパケットを保護する方法については、ifconfig(1m) と tun(7M) を参照してください。

• IPsec ポリシーオプションについては、ipsecconf(1M) のマニュアルページを参照してください。

• ipsecconf コマンドを使用してシステム間のトラフィックを保護する方法については、「IKE の設定 (作業マップ)」を参照してください。

ipsecconf コマンドを呼び出すには、スーパーユーザーになるか、同等の役割を引き受ける必要があります。このコマンドは、両方向のトラフィックを保護するエントリを受け入れます。このコマンドは、片方向だけのトラフィックを保護するエントリも受け入れます。

ローカルアドレスとリモートアドレスというパターンのポリシーエントリは、1 つのポリシーエントリで両方向のトラフィックを保護します。たとえば、指定されたホストに対して方向が指定されていない場合、laddr host1 と raddr host2 というパターンを含むエントリは、両方向のトラフィックを保護します。そのため、各ホストにポリシーエントリを 1 つだけ設定すれば済みます。

ソースアドレスから宛先アドレスへというパターンのポリシーエントリは、1 方向のみのトラフィックを保護します。たとえば、saddr host1 daddr host2 というパターンのポリシーエントリは、インバウンドかアウトバウンドのどちらかのトラフィックのみを保護します。両方向ともは保護しません。したがって、両方向のトラフィックを保護するには、saddr host2 daddr host1 とという先ほどとは逆方向のエントリを ipsecconf コマンドに渡す必要があります。

マシンがブートするときに IPsec ポリシーが確実にアクティブになるようにするには、IPsec ポリシーファイル /etc/inet/ipsecinit.conf を作成します。このファイルは、ネットワークサービスが起動するときに読み取られます。IPsec ポリシーファイルを作成する方法については、「IPsec によるトラフィックの保護 (作業マップ)」を参照してください。

Solaris 10 4/09 リリース以降では、-c オプションを指定して ipsecconf コマンドを実行すると、引数として指定した IPsec ポリシーファイルの構文がチェックされます。

ipsecconf コマンドで追加されたポリシーエントリには持続性がなく、システムのリブート時に失われます。システムの起動時に IPsec ポリシーが確実にアクティブになるようにするには、/etc/inet/ipsecinit.conf ファイルにポリシーエントリを追加します。現在のリリースでは、policy サービスを更新するか有効にします。Solaris 10 4/09 リリースより前のリリースでは、リブートするか ipsecconf コマンドを使用します。例については、「IPsec によるトラフィックの保護 (作業マップ)」を参照してください。