请告诉我们如何提高我们的文档：

过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
--选择-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) 其他语言 其他

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见？

前往问卷调查不。谢谢。

in.iked

- 用于 Internet 密钥交换 (Internet Key Exchange, IKE) 的守护进程

用法概要

/usr/lib/inet/in.iked [-d] [-f filename] [-p level]

/usr/lib/inet/in.iked -c [-f filename]

描述

in.iked 使用 Internet 密钥交换 (Internet Key Exchange, IKE) 协议为 IPsec 执行自动化密钥管理。

in.iked 实施以下功能：

• 通过预共享密钥、DSS 签名、RSA 签名或 RSA 加密进行 IKE 验证。

• 使用 768、1024、1536、2048、3072 或 4096 位公钥模数或者 256、384 或 521 位椭圆曲线模数来派生 Diffie-Hellman 密钥。

• 通过 AES、DES、Blowfish 或 3DES 加密选项以及 HMAC-MD5 或 HMAC-SHA-1 散列选项来提供验证保护。in.iked 中的加密限于 IKE 验证和密钥交换。有关 IPsec 保护选项的信息，请参见 ipsecesp(7P)。

通过以下 smf(5) 服务可管理 in.iked：

svc:/network/ipsec/ike

该服务交付时处于禁用状态，因为需要先创建配置文件，然后才能启用该服务。有关该文件的格式，请参见 ike.config(4)。

有关管理 smf(5) 服务的信息，请参见“服务管理工具”。

in.iked 使用 PF_KEY 套接字侦听来自网络的传入 IKE 请求以及传出通信请求。请参见 pf_key(7P)。

in.iked 有两个用于 IKE 管理和诊断的支持程序：ikeadm(1M) 和 ikecert(1M)。

ikeadm(1M) 命令可以将 /etc/inet/ike/config 文件读取为 rule，然后使用门接口将配置信息传递给正在运行的 in.iked 守护进程。

example# ikeadm read rule /etc/inet/ike/config

刷新为管理 in.iked 守护进程所提供的 ike smf(5) 服务将向 in.iked 守护进程发送 SIGHUP 信号，从而将（重新）读取 /etc/inet/ike/config 并重新装入证书数据库。

前两个命令具有相同的效果，即使用最新配置更新正在运行的 IKE 守护进程。有关管理 in.iked 守护进程的详细信息，请参见“服务管理工具”。

启用 Trusted Extensions 后（请参见 labeld(1M)），可以在全局区域中使用 in.iked 来协商带标签的安全关联。在使用 in.iked 且带标签的系统上，必须在 tnzonecfg 文件中将 UDP 端口 500 和 4500 配置为适用于全局区域的多级别端口（请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(4)”部分）。有关将 in.iked 配置为具有标签识别功能的详细信息，请参见 ike.config(4)。

服务管理工具

IKE 守护进程 (in.iked) 由服务管理工具 smf(5) 管理。以下服务组可管理 IPsec 组件：

svc:/network/ipsec/ipsecalgs   (See ipsecalgs(1M))
svc:/network/ipsec/policy      (See ipsecconf(1M))
svc:/network/ipsec/manual-key  (See ipseckey(1M))
svc:/network/ipsec/ike         (see ike.config(4))

手动密钥和 ike 服务交付时处于禁用状态，因为系统管理员必须为每项服务创建配置文件，如上面列出的各个手册页中所述。

正确的管理步骤是先为每项服务创建配置文件，然后使用 svcadm(1M) 启用每项服务。

ike 服务依赖 ipsecalgs 和 policy 服务。因此，应该在启用 ike 服务前启用这两项服务。如果未做到，则会导致 ike 服务进入维护模式。

如果需要更改配置，应先编辑配置文件，然后再刷新服务，如下所示：

example# svcadm refresh ike

为 ike 服务定义了以下属性：

config/admin_privilege

定义 ikeadm(1M) 调用可以更改或观察正在运行的 in.iked 的程度。此属性的可接受值与 -p 选项的可接受值相同。请参见“选项”部分中的 -p 说明。

config/config_file

定义要使用的配置文件。缺省值为 /etc/inet/ike/config。有关该文件的格式，请参见 ike.config(4)。此属性具有与 -f 标志相同的效果。请参见“选项”部分中的 -f 说明。

config/debug_level

定义写入 debug_logfile 文件的调试输出的数量，如下所述。此选项的缺省值为 op 或 operator。该属性可控制对于重新读取配置文件等事件信息的记录。在 ikeadm(1M) 手册页中列出了 debug_level 的可接受值。all 值等效于 -d 标志。请参见“选项”部分中的 -d 说明。

config/debug_logfile

定义调试输出应写入的位置。在此处写入的消息来自 in.iked 中的调试代码。启动错误消息由 smf(5) 框架记录，并记录在特定于服务的日志文件中。可使用以下任一命令检查 logfile 属性：

example# svcs -l ike
example# svcprop ike
example# svccfg -s ike listprop

这些日志文件属性的值可能不同，在这种情况下，应该检查两个文件中是否存在错误。

config/ignore_errors

当配置文件具有语法错误时，一种用于控制 in.iked 行为的布尔值。缺省值为 false，如果配置无效，会导致 in.iked 进入维护模式。

将该值设置为 true 会导致 IKE 服务保持联机状态，但正确的操作应是管理员通过 ikeadm(1M) 配置正在运行的守护进程。提供该选项是为了与以前的版本兼容。

分配有以下授权的用户可以使用 svccfg(1M) 来修改这些属性：

solaris.smf.value.ipsec

分别使用 ikeadm 令牌登录和 ikeadm 令牌注销可以解除锁定或锁定 PKCS#11 令牌对象。可以通过 ikeadm dump certcache 观察在这些 PKCS#11 令牌对象上存储的私钥加密材料的可用性。以下授权支持用户登录 PKCS#11 令牌对象以及从中注销：

solaris.network.ipsec.ike.token.login
solaris.network.ipsec.ike.token.logout

请参见 auths(1)、ikeadm(1M)、user_attr(4) 和 rbac(5)。

需要先使用 svcadm(1M) 刷新服务，然后新属性值才能生效。通常，可以通过 svcprop(1) 命令查看不可修改的属性。

# svccfg -s ipsec/ike setprop config/config_file = \
/new/config_file
# svcadm refresh ike

可以使用 svcadm(1M) 来对此服务执行管理操作（如启用、禁用、刷新和请求重新启动）。分配有以下授权的用户可以执行这些操作：

solaris.smf.manage.ipsec

可以使用 svcs(1) 命令来查询服务的状态。

in.iked 守护进程设计为在 smf(5) 管理下运行。尽管可以从命令行运行 in.iked 命令，但是不建议采用这种方法。如果要从命令行运行 in.iked 命令，应该首先禁用 ikesmf(5) 服务。请参见 svcadm(1M)。

选项

支持以下选项：

-c

检查配置文件的语法。

-d

使用调试模式。进程会保持与控制终端的连接，并生成大量调试输出。此选项已过时。有关详细信息，请参见“服务管理工具”。

-f filename

使用 filename 而非 /etc/inet/ike/config。有关该文件的格式，请参见 ike.config(4)。此选项已过时。有关详细信息，请参见“服务管理工具”。

-p level

指定特权级别 (level)。该选项可以设置 ikeadm(1M) 调用可以更改或观察正在运行的 in.iked 的程度。

有效的 levels 包括：

0

基本级别

1

访问预共享密钥信息

2

访问加密材料

如果未指定 -p，level 将缺省为 0。

此选项已过时。有关详细信息，请参见“服务管理工具”。

安全

该程序的映像中具有敏感的私钥加密信息。由于这些文件包含敏感的加密信息，因此在对正在运行的 in.iked 守护进程进行任何核心转储或系统转储时都应该谨慎。使用 coreadm(1M) 命令可限制 in.iked 所生成的任何核心文件。

文件

/etc/inet/ike/config

缺省配置文件。

/etc/inet/secret/ike.privatekeys/*

私钥。私钥必须在 /etc/inet/ike/publickeys/ 中具有匹配的同名公钥证书。

/etc/inet/ike/publickeys/*

公钥证书。这些名称仅对匹配私钥名称至关重要。

/etc/inet/ike/crls/*

公钥证书撤销列表。

/etc/inet/secret/ike.preshared

IKE 预共享的阶段 I 验证密钥。

属性

有关下列属性的说明，请参见 attributes(5)：

另请参见

svcs(1)、coreadm(1M)、ikeadm(1M)、ikecert(1M)、labeld(1M)、svccfg(1M)、svcadm(1M)、ike.config(4)、attributes(5)、smf(5)、ipsecesp(7P)、pf_key(7P)

请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(4)”部分。

由 Harkins, Dan 和 Carrel, Dave. 合著的《Internet Key Exchange (IKE)》，RFC 2409。Network Working Group 出版。1998 年 11 月。

由 Maughan, Douglas、Schertler, M.、Schneider, M. 和 Turner, J. 合著的《Internet Security Association and Key Management Protocol (ISAKMP)》，RFC 2408。Network Working Group 出版。1998 年 11 月。

由 Piper, Derrell 编著的《The Internet IP Security Domain of Interpretation for ISAKMP》，RFC 2407。Network Working Group 出版。1998 年 11 月。

由 Fu, D. 和 Solinos, J. 合著的《ECP Groups for IKE and IKEv2》，RFC 4753。Network Working Group 出版。2007 年 1 月。

由 Lepinski, M. 和 Kent, S. 合著的《Additional Diffie-Hellman Groups for Use with IETF Standards》，RFC 5114。Network Working Group 出版。2008 年 1 月。