/usr/lib/inet/in.iked [-d] [-f filename] [-p level]
/usr/lib/inet/in.iked -c [-f filename]
in.iked 使用 Internet 密钥交换 (Internet Key Exchange, IKE) 协议为 IPsec 执行自动化密钥管理。
in.iked 实施以下功能:
通过预共享密钥、DSS 签名、RSA 签名或 RSA 加密进行 IKE 验证。
使用 768、1024、1536、2048、3072 或 4096 位公钥模数或者 256、384 或 521 位椭圆曲线模数来派生 Diffie-Hellman 密钥。
通过 AES、DES、Blowfish 或 3DES 加密选项以及 HMAC-MD5 或 HMAC-SHA-1 散列选项来提供验证保护。in.iked 中的加密限于 IKE 验证和密钥交换。有关 IPsec 保护选项的信息,请参见 ipsecesp(7P)。
通过以下 smf(5) 服务可管理 in.iked:
svc:/network/ipsec/ike
该服务交付时处于禁用状态,因为需要先创建配置文件,然后才能启用该服务。有关该文件的格式,请参见 ike.config(4)。
有关管理 smf(5) 服务的信息,请参见“服务管理工具”。
in.iked 使用 PF_KEY 套接字侦听来自网络的传入 IKE 请求以及传出通信请求。请参见 pf_key(7P)。
in.iked 有两个用于 IKE 管理和诊断的支持程序:ikeadm(1M) 和 ikecert(1M)。
ikeadm(1M) 命令可以将 /etc/inet/ike/config 文件读取为 rule,然后使用门接口将配置信息传递给正在运行的 in.iked 守护进程。
example# ikeadm read rule /etc/inet/ike/config
刷新为管理 in.iked 守护进程所提供的 ike smf(5) 服务将向 in.iked 守护进程发送 SIGHUP 信号,从而将(重新)读取 /etc/inet/ike/config 并重新装入证书数据库。
前两个命令具有相同的效果,即使用最新配置更新正在运行的 IKE 守护进程。有关管理 in.iked 守护进程的详细信息,请参见“服务管理工具”。
启用 Trusted Extensions 后(请参见 labeld(1M)),可以在全局区域中使用 in.iked 来协商带标签的安全关联。在使用 in.iked 且带标签的系统上,必须在 tnzonecfg 文件中将 UDP 端口 500 和 4500 配置为适用于全局区域的多级别端口(请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(4)”部分)。有关将 in.iked 配置为具有标签识别功能的详细信息,请参见 ike.config(4)。
IKE 守护进程 (in.iked) 由服务管理工具 smf(5) 管理。以下服务组可管理 IPsec 组件:
svc:/network/ipsec/ipsecalgs (See ipsecalgs(1M)) svc:/network/ipsec/policy (See ipsecconf(1M)) svc:/network/ipsec/manual-key (See ipseckey(1M)) svc:/network/ipsec/ike (see ike.config(4))
手动密钥和 ike 服务交付时处于禁用状态,因为系统管理员必须为每项服务创建配置文件,如上面列出的各个手册页中所述。
正确的管理步骤是先为每项服务创建配置文件,然后使用 svcadm(1M) 启用每项服务。
ike 服务依赖 ipsecalgs 和 policy 服务。因此,应该在启用 ike 服务前启用这两项服务。如果未做到,则会导致 ike 服务进入维护模式。
如果需要更改配置,应先编辑配置文件,然后再刷新服务,如下所示:
example# svcadm refresh ike
为 ike 服务定义了以下属性:
定义 ikeadm(1M) 调用可以更改或观察正在运行的 in.iked 的程度。此属性的可接受值与 –p 选项的可接受值相同。请参见“选项”部分中的 –p 说明。
定义要使用的配置文件。缺省值为 /etc/inet/ike/config。有关该文件的格式,请参见 ike.config(4)。此属性具有与 –f 标志相同的效果。请参见“选项”部分中的 –f 说明。
定义写入 debug_logfile 文件的调试输出的数量,如下所述。此选项的缺省值为 op 或 operator。该属性可控制对于重新读取配置文件等事件信息的记录。在 ikeadm(1M) 手册页中列出了 debug_level 的可接受值。all 值等效于 –d 标志。请参见“选项”部分中的 –d 说明。
定义调试输出应写入的位置。在此处写入的消息来自 in.iked 中的调试代码。启动错误消息由 smf(5) 框架记录,并记录在特定于服务的日志文件中。可使用以下任一命令检查 logfile 属性:
example# svcs -l ike example# svcprop ike example# svccfg -s ike listprop
这些日志文件属性的值可能不同,在这种情况下,应该检查两个文件中是否存在错误。
当配置文件具有语法错误时,一种用于控制 in.iked 行为的布尔值。缺省值为 false,如果配置无效,会导致 in.iked 进入维护模式。
将该值设置为 true 会导致 IKE 服务保持联机状态,但正确的操作应是管理员通过 ikeadm(1M) 配置正在运行的守护进程。提供该选项是为了与以前的版本兼容。
分配有以下授权的用户可以使用 svccfg(1M) 来修改这些属性:
solaris.smf.value.ipsec
分别使用 ikeadm 令牌登录和 ikeadm 令牌注销可以解除锁定或锁定 PKCS#11 令牌对象。可以通过 ikeadm dump certcache 观察在这些 PKCS#11 令牌对象上存储的私钥加密材料的可用性。以下授权支持用户登录 PKCS#11 令牌对象以及从中注销:
solaris.network.ipsec.ike.token.login solaris.network.ipsec.ike.token.logout
请参见 auths(1)、ikeadm(1M)、user_attr(4) 和 rbac(5)。
需要先使用 svcadm(1M) 刷新服务,然后新属性值才能生效。通常,可以通过 svcprop(1) 命令查看不可修改的属性。
# svccfg -s ipsec/ike setprop config/config_file = \ /new/config_file # svcadm refresh ike
可以使用 svcadm(1M) 来对此服务执行管理操作(如启用、禁用、刷新和请求重新启动)。分配有以下授权的用户可以执行这些操作:
solaris.smf.manage.ipsec
可以使用 svcs(1) 命令来查询服务的状态。
in.iked 守护进程设计为在 smf(5) 管理下运行。尽管可以从命令行运行 in.iked 命令,但是不建议采用这种方法。如果要从命令行运行 in.iked 命令,应该首先禁用 ikesmf(5) 服务。请参见 svcadm(1M)。
在位置配置文件中管理 IKE 配置和激活(有关位置配置文件的更多信息,请参阅netcfg(1M))。这些配置文件要么是固定的,表示以传统方式管理网络配置;要么是反应性的,表示自动管理网络配置,并会根据配置文件中指定的策略规则对网络环境的变化作出反应。
当固定位置(当前可能只有一个 DefaultFixed 位置)处于活动状态时,对 SMF 系统信息库所做的更改会在对其禁用时应用于此位置,因此如果在稍后重新启用该位置会恢复这些更改。
当反应性位置处于活动状态时,不应将更改直接应用于 SMF 系统信息库;这些更改不会保留在位置配置文件中,因此如果禁用该位置,或者刷新或重新启动系统的网络配置(由 svc:/network/physical:default 和 svc:/network/location:default 管理),更改将会丢失。应使用netcfg(1M)命令将更改应用于位置本身;这样会将更改保存到位置配置文件系统信息库中,还会将其应用于 SMF 系统信息库(如果更改是针对当前活动的位置进行的)。
包含 IKE 配置规则的文件的名称存储在位置配置文件的 ike-config-file 属性中。如果为此属性设置了一个值,将启用 svc:/network/ipsec/ike,并应用指定的规则文件。如果未设置此属性,则将禁用该服务。
支持以下选项:
检查配置文件的语法。
使用调试模式。进程会保持与控制终端的连接,并生成大量调试输出。此选项已过时。有关详细信息,请参见“服务管理工具”。
使用 filename 而非 /etc/inet/ike/config。有关该文件的格式,请参见 ike.config(4)。此选项已过时。有关详细信息,请参见“服务管理工具”。
指定特权级别 (level)。该选项可以设置 ikeadm(1M) 调用可以更改或观察正在运行的 in.iked 的程度。
有效的 levels 包括:
基本级别
访问预共享密钥信息
访问加密材料
如果未指定 –p,level 将缺省为 0。
此选项已过时。有关详细信息,请参见“服务管理工具”。
该程序的映像中具有敏感的私钥加密信息。由于这些文件包含敏感的加密信息,因此在对正在运行的 in.iked 守护进程进行任何核心转储或系统转储时都应该谨慎。使用 coreadm(1M) 命令可限制 in.iked 所生成的任何核心文件。
缺省配置文件。
私钥。私钥必须在 /etc/inet/ike/publickeys/ 中具有匹配的同名公钥证书。
公钥证书。这些名称仅对匹配私钥名称至关重要。
公钥证书撤销列表。
IKE 预共享的阶段 I 验证密钥。
有关下列属性的说明,请参见 attributes(5):
|
svcs(1)、coreadm(1M)、ikeadm(1M)、ikecert(1M)、labeld(1M)、netcfg(1M)、svccfg(1M)、svcadm(1M)、ike.config(4)、attributes(5)、smf(5)、ipsecesp(7P)、pf_key(7P)
请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(4)”部分。
由 Harkins, Dan 和 Carrel, Dave. 合著的《Internet Key Exchange (IKE)》,RFC 2409。Network Working Group 出版。1998 年 11 月。
由 Maughan, Douglas、Schertler, M.、Schneider, M. 和 Turner, J. 合著的《Internet Security Association and Key Management Protocol (ISAKMP)》,RFC 2408。Network Working Group 出版。1998 年 11 月。
由 Piper, Derrell 编著的《The Internet IP Security Domain of Interpretation for ISAKMP》,RFC 2407。Network Working Group 出版。1998 年 11 月。
由 Fu, D. 和 Solinos, J. 合著的《ECP Groups for IKE and IKEv2》,RFC 4753。Network Working Group 出版。2007 年 1 月。
由 Lepinski, M. 和 Kent, S. 合著的《Additional Diffie-Hellman Groups for Use with IETF Standards》,RFC 5114。Network Working Group 出版。2008 年 1 月。