在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

IKEv1 守护进程

in.iked 守护进程可以自动管理 IPsec SA,包括保护使用 IPsec 的包的加密密钥。此守护进程与运行 IKEv1 协议的对等方系统安全地协商 ISAKMP SA 和 IPsec SA。

缺省情况下,svc:/network/ipsec/ike:default 服务未启用。配置 /etc/inet/ike/config 文件并启用 ike:default 服务后,SMF 会在系统引导时启动 in.iked 守护进程。除了 /etc/inet/ike/config 文件外,其他配置存储在其他文件和数据库中,或者作为 SMF 属性。有关更多信息,请参见IKEv1 实用程序和文件ike.preshared(4)ikecert(1M) 以及 in.iked(1M) 手册页。

启用 ike:default 服务后,in.iked 守护进程可以读取配置文件,侦听来自 IKE 对等方的外部请求以及来自 IPsec 的内部 SA 请求。

对于来自 IKEv1 对等方的外部请求,ike:default 服务的配置可以确定守护进程的响应方式。内部请求通过 PF_KEY 接口路由。此接口可以处理 IPsec 内核部分(存储 IPsec SA 并执行包加密和解密)与密钥管理守护进程 in.iked(在其用户级中运行)之间的通信。当内核需要 SA 保护包时,它会通过 PF_KEY 接口向 in.iked 守护进程发送一条消息。有关更多信息,请参见 pf_key(7P) 手册页。

有两个命令支持 IKEv1 守护进程。ikeadm 命令可以向正在运行的守护进程提供命令行接口。ikecert 命令管理磁盘和硬件上的证书数据库、ike.privatekeyspublickeys

有关这些命令的更多信息,请参见 in.iked(1M)ikeadm(1M)ikecert(1M) 手册页。