IKE-Daemon

Der in.iked-Daemon automatisiert die Verwaltung der kryptografischen Schlüssel für IPsec auf einem Solaris-System. Der Daemon führt die Aushandlung mit einem remoten System aus, auf dem das gleiche Protokoll ausgeführt wird, um auf sichere Weise authentifiziertes Schlüsselmaterial für Sicherheitszuordnungen (SAs) bereitzustellen. Der Daemon muss auf allen Systemen ausgeführt werden, die sicher miteinander kommunizieren sollen.

Standardmäßig ist der svc:/network/ipsec/ike:default-Service nicht aktiviert. Nach der Konfiguration der /etc/inet/ike/config-Datei und der Aktivierung des ike-Service wird der in.iked-Daemon beim Booten des Systems ausgeführt.

Wenn der IKE-Daemon ausgeführt wird, authentifiziert sich das System gegenüber seiner IKE-Peer-Entität in der Phase 1 Exchange. Der Peer ist, ebenso wie die zu verwendenden Authentifizierungsmethoden, in der IKE-Richtliniendatei definiert. Als Nächstes richtet der Daemon dann die Schlüssel für den Phase 2 Exchange ein. Die IKE-Schlüssel werden in einem in der Richtliniendatei festgelegten Intervall automatisch aktualisiert. Der in.iked-Daemon empfängt eingehende IKE-Anforderungen aus dem Netzwerk und Anforderungen nach abgehendem Verkehr über den PF_KEY-Socket. Weitere Informationen finden Sie in der Manpage pf_key(7P).

Der IKE-Daemon unterstützt zwei Befehle. Der ikeadm-Befehl kann zur Anzeige und vorübergehenden Änderung der IKE-Richtlinie verwendet werden. Wenn Sie die IKE-Richtlinie dauerhaft ändern möchten, müssen Sie die Eigenschaften des ike-Service bearbeiten. Die Verfahrensweise wird unter So rufen Sie IKE PresharedKeys auf erläutert.

Mit dem Befehl ikecert können Sie die PublicKey-Datenbanken anzeigen und pflegen. Dieser Befehl dient zum Verwalten der lokalen Datenbanken ike.privatekeys und publickeys . Darüber hinaus werden mit diesem Befehl die PublicKey-Vorgänge durchgeführt und die PublicKeys auf der angehängten Hardware gespeichert.