in.iked 守护进程可以自动管理 IPsec SA,包括保护使用 IPsec 的包的加密密钥。此守护进程与运行 IKEv1 协议的对等方系统安全地协商 ISAKMP SA 和 IPsec SA。
缺省情况下,svc:/network/ipsec/ike:default 服务未启用。配置 /etc/inet/ike/config 文件并启用 ike:default 服务后,SMF 会在系统引导时启动 in.iked 守护进程。除了 /etc/inet/ike/config 文件外,其他配置存储在其他文件和数据库中,或者作为 SMF 属性。有关更多信息,请参见IKEv1 实用程序和文件 和 ike.preshared(4)、ikecert(1M) 以及 in.iked(1M) 手册页。
启用 ike:default 服务后,in.iked 守护进程可以读取配置文件,侦听来自 IKE 对等方的外部请求以及来自 IPsec 的内部 SA 请求。
对于来自 IKEv1 对等方的外部请求,ike:default 服务的配置可以确定守护进程的响应方式。内部请求通过 PF_KEY 接口路由。此接口可以处理 IPsec 内核部分(存储 IPsec SA 并执行包加密和解密)与密钥管理守护进程 in.iked(在其用户级中运行)之间的通信。当内核需要 SA 保护包时,它会通过 PF_KEY 接口向 in.iked 守护进程发送一条消息。有关更多信息,请参见 pf_key(7P) 手册页。
有两个命令支持 IKEv1 守护进程。ikeadm 命令可以向正在运行的守护进程提供命令行接口。ikecert 命令管理磁盘和硬件上的证书数据库、ike.privatekeys 和 publickeys。
有关这些命令的更多信息,请参见 in.iked(1M)、ikeadm(1M) 和 ikecert(1M) 手册页。