Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2014 年 7 月
 
 

IKE 用のラベル拡張

    Trusted Extensions システムの IKE では、ラベルを認識するピアとの SA 用ラベルのネゴシエーションがサポートされています。このメカニズムを制御するには、/etc/inet/ike/config ファイル内で次のキーワードを使用します。

  • label_aware – in.iked デーモンによる Trusted Extensions ラベルインタフェースの使用と、ピアとのラベルのネゴシエーションを可能にします。

  • single_label – ピアが SA 用ラベルのネゴシエーションをサポートしないことを示します。

  • multi_label – ピアが SA 用ラベルのネゴシエーションをサポートすることを示します。IKE は、2 つのノード間のトラフィック内で新しいラベルを検出するたびに、新しい SA を作成します。

  • wire_label inner – ワイヤーラベルが内部ラベルと同じであるようなラベル付き SA を、in.iked デーモンに作成させます。デーモンが cipso ピアとネゴシエーションを行う場合の鍵管理ラベルは、ADMIN_LOW になります。デーモンがラベルなしピアとネゴシエーションを行う場合の鍵管理ラベルは、そのピアのデフォルトラベルになります。伝送パケットにラベル付き IP オプションを追加する際には、通常の Trusted Extensions 規則に従います。

  • wire_label label 内部ラベルの値にかかわらず、ワイヤーラベルが label に設定されたラベル付き SA を in.iked デーモンに作成させます。in.iked デーモンは、指定されたラベルで鍵管理のネゴシエーションを実行します。伝送パケットにラベル付き IP オプションを追加する際には、通常の Trusted Extensions 規則に従います。

  • wire_label none label wire_label label に似た動作になりますが、SA の下で伝送される IKE パケットやデータパケットでラベル付き IP オプションが抑制される点が異なります。

詳細は、ike.config(4) のマニュアルページを参照してください。