手册页部分 1M: 系统管理命令

退出打印视图

更新时间: 2014 年 7 月
 
 

in.iked(1M)

名称

in.iked - 用于 Internet 密钥交换 (Internet Key Exchange, IKE) 的守护进程

用法概要

/usr/lib/inet/in.iked [-d] [-f filename] [-p level]
/usr/lib/inet/in.iked -c [-f filename]

描述

in.iked 使用 Internet 密钥交换 (Internet Key Exchange, IKE) 协议为 IPsec 执行自动化密钥管理。

in.iked 实施以下功能:

  • 通过预共享密钥、DSS 签名、RSA 签名或 RSA 加密进行 IKE 验证。

  • 使用 76810241536204830724096 位公钥模数或者 256384521 位椭圆曲线模数来派生 Diffie-Hellman 密钥。

  • 通过 AES、DES、Blowfish 或 3DES 加密选项以及 HMAC-MD5HMAC-SHA-1 散列选项来提供验证保护。in.iked 中的加密限于 IKE 验证和密钥交换。有关 IPsec 保护选项的信息,请参见 ipsecesp(7P)

通过以下 smf(5) 服务可管理 in.iked

svc:/network/ipsec/ike

该服务交付时处于禁用状态,因为需要先创建配置文件,然后才能启用该服务。有关该文件的格式,请参见 ike.config(4)

有关管理 smf(5) 服务的信息,请参见“服务管理工具”。

in.iked 使用 PF_KEY 套接字侦听来自网络的传入 IKE 请求以及传出通信请求。请参见 pf_key(7P)

in.iked 有两个用于 IKE 管理和诊断的支持程序:ikeadm(1M)ikecert(1M)

ikeadm(1M) 命令可以将 /etc/inet/ike/config 文件读取为 rule,然后使用门接口将配置信息传递给正在运行的 in.iked 守护进程。

example# ikeadm read rule /etc/inet/ike/config

刷新为管理 in.iked 守护进程所提供的 ike smf(5) 服务将向 in.iked 守护进程发送 SIGHUP 信号,从而将(重新)读取 /etc/inet/ike/config 并重新装入证书数据库。

前两个命令具有相同的效果,即使用最新配置更新正在运行的 IKE 守护进程。有关管理 in.iked 守护进程的详细信息,请参见“服务管理工具”。

启用 Trusted Extensions 后(请参见 labeld(1M)),可以在全局区域中使用 in.iked 来协商带标签的安全关联。在使用 in.iked 且带标签的系统上,必须在 tnzonecfg 文件中将 UDP 端口 500 和 4500 配置为适用于全局区域的多级别端口(请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(4)”部分)。有关将 in.iked 配置为具有标签识别功能的详细信息,请参见 ike.config(4)

服务管理工具

IKE 守护进程 (in.iked) 由服务管理工具 smf(5) 管理。以下服务组可管理 IPsec 组件:

svc:/network/ipsec/ipsecalgs   (See ipsecalgs(1M))
svc:/network/ipsec/policy      (See ipsecconf(1M))
svc:/network/ipsec/manual-key  (See ipseckey(1M))
svc:/network/ipsec/ike         (see ike.config(4))

手动密钥和 ike 服务交付时处于禁用状态,因为系统管理员必须为每项服务创建配置文件,如上面列出的各个手册页中所述。

正确的管理步骤是先为每项服务创建配置文件,然后使用 svcadm(1M) 启用每项服务。

ike 服务依赖 ipsecalgspolicy 服务。因此,应该在启用 ike 服务前启用这两项服务。如果未做到,则会导致 ike 服务进入维护模式。

如果需要更改配置,应先编辑配置文件,然后再刷新服务,如下所示:

example# svcadm refresh ike

ike 服务定义了以下属性:

config/admin_privilege

定义 ikeadm(1M) 调用可以更改或观察正在运行的 in.iked 的程度。此属性的可接受值与 –p 选项的可接受值相同。请参见“选项”部分中的 –p 说明。

config/config_file

定义要使用的配置文件。缺省值为 /etc/inet/ike/config。有关该文件的格式,请参见 ike.config(4)。此属性具有与 –f 标志相同的效果。请参见“选项”部分中的 –f 说明。

config/debug_level

定义写入 debug_logfile 文件的调试输出的数量,如下所述。此选项的缺省值为 opoperator。该属性可控制对于重新读取配置文件等事件信息的记录。在 ikeadm(1M) 手册页中列出了 debug_level 的可接受值。all 值等效于 –d 标志。请参见“选项”部分中的 –d 说明。

config/debug_logfile

定义调试输出应写入的位置。在此处写入的消息来自 in.iked 中的调试代码。启动错误消息由 smf(5) 框架记录,并记录在特定于服务的日志文件中。可使用以下任一命令检查 logfile 属性:

example# svcs -l ike
example# svcprop ike
example# svccfg -s ike listprop

这些日志文件属性的值可能不同,在这种情况下,应该检查两个文件中是否存在错误。

config/ignore_errors

当配置文件具有语法错误时,一种用于控制 in.iked 行为的布尔值。缺省值为 false,如果配置无效,会导致 in.iked 进入维护模式。

将该值设置为 true 会导致 IKE 服务保持联机状态,但正确的操作应是管理员通过 ikeadm(1M) 配置正在运行的守护进程。提供该选项是为了与以前的版本兼容。

分配有以下授权的用户可以使用 svccfg(1M) 来修改这些属性:

solaris.smf.value.ipsec

分别使用 ikeadm 令牌登录和 ikeadm 令牌注销可以解除锁定或锁定 PKCS#11 令牌对象。可以通过 ikeadm dump certcache 观察在这些 PKCS#11 令牌对象上存储的私钥加密材料的可用性。以下授权支持用户登录 PKCS#11 令牌对象以及从中注销:

solaris.network.ipsec.ike.token.login
solaris.network.ipsec.ike.token.logout

请参见 auths(1)ikeadm(1M)user_attr(4)rbac(5)

需要先使用 svcadm(1M) 刷新服务,然后新属性值才能生效。通常,可以通过 svcprop(1) 命令查看不可修改的属性。

# svccfg -s ipsec/ike setprop config/config_file = \
/new/config_file
# svcadm refresh ike

可以使用 svcadm(1M) 来对此服务执行管理操作(如启用、禁用、刷新和请求重新启动)。分配有以下授权的用户可以执行这些操作:

solaris.smf.manage.ipsec

可以使用 svcs(1) 命令来查询服务的状态。

in.iked 守护进程设计为在 smf(5) 管理下运行。尽管可以从命令行运行 in.iked 命令,但是不建议采用这种方法。如果要从命令行运行 in.iked 命令,应该首先禁用 ikesmf(5) 服务。请参见 svcadm(1M)

与位置配置文件交互

在位置配置文件中管理 IKE 配置和激活(有关位置配置文件的更多信息,请参阅netcfg(1M))。这些配置文件要么是固定的,表示以传统方式管理网络配置;要么是反应性的,表示自动管理网络配置,并会根据配置文件中指定的策略规则对网络环境的变化作出反应。

当固定位置(当前可能只有一个 DefaultFixed 位置)处于活动状态时,对 SMF 系统信息库所做的更改会在对其禁用时应用于此位置,因此如果在稍后重新启用该位置会恢复这些更改。

当反应性位置处于活动状态时,不应将更改直接应用于 SMF 系统信息库;这些更改不会保留在位置配置文件中,因此如果禁用该位置,或者刷新或重新启动系统的网络配置(由 svc:/network/physical:defaultsvc:/network/location:default 管理),更改将会丢失。应使用netcfg(1M)命令将更改应用于位置本身;这样会将更改保存到位置配置文件系统信息库中,还会将其应用于 SMF 系统信息库(如果更改是针对当前活动的位置进行的)。

包含 IKE 配置规则的文件的名称存储在位置配置文件的 ike-config-file 属性中。如果为此属性设置了一个值,将启用 svc:/network/ipsec/ike,并应用指定的规则文件。如果未设置此属性,则将禁用该服务。

选项

支持以下选项:

–c

检查配置文件的语法。

–d

使用调试模式。进程会保持与控制终端的连接,并生成大量调试输出。此选项已过时。有关详细信息,请参见“服务管理工具”。

–f filename

使用 filename 而非 /etc/inet/ike/config。有关该文件的格式,请参见 ike.config(4)。此选项已过时。有关详细信息,请参见“服务管理工具”。

–p level

指定特权级别 (level)。该选项可以设置 ikeadm(1M) 调用可以更改或观察正在运行的 in.iked 的程度。

有效的 levels 包括:

0

基本级别

1

访问预共享密钥信息

2

访问加密材料

如果未指定 –plevel 将缺省为 0

此选项已过时。有关详细信息,请参见“服务管理工具”。

安全

该程序的映像中具有敏感的私钥加密信息。由于这些文件包含敏感的加密信息,因此在对正在运行的 in.iked 守护进程进行任何核心转储或系统转储时都应该谨慎。使用 coreadm(1M) 命令可限制 in.iked 所生成的任何核心文件。

文件

/etc/inet/ike/config

缺省配置文件。

/etc/inet/secret/ike.privatekeys/*

私钥。私钥必须/etc/inet/ike/publickeys/ 中具有匹配的同名公钥证书。

/etc/inet/ike/publickeys/*

公钥证书。这些名称仅对匹配私钥名称至关重要。

/etc/inet/ike/crls/*

公钥证书撤销列表。

/etc/inet/secret/ike.preshared

IKE 预共享的阶段 I 验证密钥。

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
system/core-os

另请参见

svcs(1)coreadm(1M)ikeadm(1M)ikecert(1M)labeld(1M)netcfg(1M)svccfg(1M)svcadm(1M)ike.config(4)attributes(5)smf(5)ipsecesp(7P)pf_key(7P)

请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(4)”部分。

由 Harkins, Dan 和 Carrel, Dave. 合著的《Internet Key Exchange (IKE)》,RFC 2409。Network Working Group 出版。1998 年 11 月。

由 Maughan, Douglas、Schertler, M.、Schneider, M. 和 Turner, J. 合著的《Internet Security Association and Key Management Protocol (ISAKMP)》,RFC 2408。Network Working Group 出版。1998 年 11 月。

由 Piper, Derrell 编著的《The Internet IP Security Domain of Interpretation for ISAKMP》,RFC 2407。Network Working Group 出版。1998 年 11 月。

由 Fu, D. 和 Solinos, J. 合著的《ECP Groups for IKE and IKEv2》,RFC 4753。Network Working Group 出版。2007 年 1 月。

由 Lepinski, M. 和 Kent, S. 合著的《Additional Diffie-Hellman Groups for Use with IETF Standards》,RFC 5114。Network Working Group 出版。2008 年 1 月。