in.iked - インターネット鍵交換 (IKE) のデーモン
/usr/lib/inet/in.iked [-d] [-f filename] [-p level]
/usr/lib/inet/in.iked -c [-f filename]
in.iked は、インターネット鍵交換 (IKE) プロトコルを使用して IPsec の自動鍵管理を実行します。
in.iked には次が実装されています。
事前共有鍵、DSS 署名、RSA 署名、RSA 暗号化のいずれかによる IKE 認証。
1024、1536、2048、3072、4096 ビットの公開鍵係数、または 256、384、521 ビットの楕円曲線係数のいずれかを使用した Diffie-Hellman 鍵の派生。
暗号化を AES と 3DES から選択し、ハッシュを HMAC-SHA1 と HMAC-SHA2 のファミリから選択した認証保護。in.iked での暗号化は、IKE 認証および鍵交換に限定されています。IPsec 保護の選択については、ipsecesp(4P) のマニュアルページを参照してください。
in.iked は、次の smf(7) サービスによって管理されています。
svc:/network/ipsec/ike
このサービスは、サービスを有効にする前に構成ファイルを作成する必要があるため、無効になっています。このファイルの形式については、ike.config(5) を参照してください。
smf(7) サービスの管理については、「サービス管理機能」を参照してください。
in.iked は、PF_KEY ソケットを使用して、ネットワークから着信する IKE 要求とアウトバウンドトラフィックの要求を待機します。詳細は、pf_key(4P) のマニュアルページを参照してください。
in.iked には、IKE の管理と診断に使用する ikeadm(8) と ikecert(8) という 2 つのサポートプログラムがあります。
ikeadm(8) コマンドは、/etc/inet/ike/config ファイルを rule として読み取り、doors インタフェースを使用して実行中の in.iked デーモンに構成情報を渡すことができます。
example# ikeadm read rule /etc/inet/ike/config
in.iked デーモンを管理するために提供されている ike smf(7) サービスをリフレッシュすると、in.iked デーモンに SIGHUP シグナルが送信され、デーモンが /etc/inet/ike/config を (再度) 読み取って証明書データベースを再読み込みします。
前の 2 つのコマンドには、実行中の IKE デーモンが最新の構成で更新されるという同じ効果があります。in.iked デーモンの管理の詳細は、「サービス管理機能」を参照してください。
Trusted Extensions が有効になっている場合 (labeld(8) を参照) は、大域ゾーンで in.iked を使用して、ラベル付きセキュリティーアソシエーションのネゴシエーションを行うことができます。ラベル付きシステムで in.iked を使用する場合は、tnzonecfg ファイルで UDP ポート 500 および 4500 を大域ゾーンのマルチレベルポートとして構成する必要があります (『Solaris Trusted Extensions リファレンスマニュアル』に含まれている tnzonecfg(5) を参照)。ラベルを認識するように in.iked を構成する方法の詳細は、ike.config(5) を参照してください。
IKE デーモン (in.iked) は、サービス管理機能 smf(7) によって管理されます。次の一連のサービスは、IPsec のコンポーネントを管理します。
svc:/network/ipsec/ipsecalgs (See ipsecalgs(8)) svc:/network/ipsec/policy (See ipsecconf(8)) svc:/network/ipsec/manual-key (See ipseckey(8)) svc:/network/ipsec/ike (see ike.config(5))
前述のマニュアルページで説明されているように、manual-key および ike サービスは、システム管理者が各サービスの構成ファイルを作成する必要があるため、disabled になっています。
正しい管理手順としては、各サービスの構成ファイルを作成してから、svcadm(8) を使用して各サービスを有効にします。
ike サービスは、ipsecalgs および policy サービスに対して依存関係があります。これらのサービスは、ike サービスより前に有効にすべきです。そうしないと、ike サービスは保守モードに移行します。
構成を変更する必要がある場合は、構成ファイルを編集してから、次のようにしてサービスをリフレッシュします。
example# svcadm refresh ike
ike サービスには次のプロパティーが定義されています。
ikeadm(8) の呼び出しによって実行中の in.iked を変更または監視できるレベルを定義します。このプロパティーに設定可能な値は –p オプションと同じです。「オプション」の –p の説明を参照してください。
使用する構成ファイルを定義します。デフォルト値は /etc/inet/ike/config です。このファイルの形式については、ike.config(5) のマニュアルページを参照してください。このプロパティーには –f フラグと同じ効果があります。「オプション」の –f の説明を参照してください。
後述の debug_logfile ファイルに書き込まれるデバッグ出力の量を定義します。これに対するデフォルト値は op または operator です。このプロパティーは、構成ファイルの再読み取りなどのイベントに関する情報の記録を制御します。debug_level に設定可能な値は、ikeadm(8) のマニュアルページに一覧表示されています。値 all は –d フラグと同等です。「オプション」の –d の説明を参照してください。
デバッグ出力の書き込み先を定義します。ここに書き込まれるメッセージは、in.iked 内のデバッグコードに由来します。起動時のエラーメッセージは、smf(7) フレームワークによって記録され、サービス固有のログファイルに記録されます。logfile プロパティーを調べるには、次のいずれかのコマンドを使用します。
example# svcs -l ike example# svcprop ike example# svccfg -s ike listprop
これらのログファイルのプロパティーの値は異なる場合があり、その場合は両方のファイルでエラーを検査すべきです。
構成ファイルに構文エラーがあった場合に in.iked の動作を制御するブール値。デフォルト値は false で、構成が無効だった場合は in.iked が保守モードに移行します。
この値を true に設定すると、IKE サービスはオンライン状態のままになりますが、正常に動作させるには、管理者が ikeadm(8) を使用して実行中のデーモンを構成する必要があります。このオプションは以前のリリースとの互換性のために提供されています。
これらのプロパティーは、次の承認を割り当てられたユーザーが svccfg(8) を使用して変更できます。
solaris.smf.value.ipsec
PKCS#11 トークンオブジェクトをロック解除またはロックするには、ikeadm トークンのログインと ikeadm トークンのログアウトをそれぞれ使用します。これらの PKCS#11 トークンオブジェクトに格納された秘密鍵材料の可用性は、ikeadm dump certcache を使用して監視できます。次の承認によって、ユーザーは PKCS#11 トークンオブジェクトのログインまたはログアウトができます。
solaris.network.ipsec.ike.token.login solaris.network.ipsec.ike.token.logout
auths(1)、ikeadm(8)、user_attr(5)、rbac(7) を参照してください。
新しいプロパティー値を有効にするには、svcadm(8) を使用してサービスをリフレッシュする必要があります。変更不可能な一般プロパティーは、svcprop(1) コマンドを使用して表示できます。
# svccfg -s ipsec/ike setprop config/config_file = \ /new/config_file # svcadm refresh ike
有効化、無効化、リフレッシュ、再起動要求など、このサービスに対する管理アクションは、svcadm(8) を使用して実行できます。次に示す承認を割り当てられたユーザーは、これらの操作を実行できます。
solaris.smf.manage.ipsec
サービスステータスを照会するには、svcs(1) コマンドを使用します。
in.iked デーモンは、smf(7) の管理下で実行されるように設計されています。in.iked コマンドはコマンド行から実行できますが、これは推奨されていません。in.iked をコマンド行から実行する場合は、最初に ike smf(7) サービスを無効にすべきです。詳細は、svcadm(8) のマニュアルページを参照してください。
サポートしているオプションは、次のとおりです。
構成ファイルの構文を検査します。
デバッグモードを使用します。プロセスが制御端末に接続されたままになり、大量のデバッグ出力が生成されます。このオプションは推奨されていません。詳細は、「サービス管理機能」を参照してください。
/etc/inet/ike/config の代わりに filename を使用します。このファイルの形式については、ike.config(5) を参照してください。このオプションは推奨されていません。詳細は、「サービス管理機能」を参照してください。
特権レベル (level) を指定します。このオプションは、ikeadm(8) の呼び出しによって実行中の in.iked に関してどの程度を変更または監視できるかを設定します。
有効な level は次のとおりです。
ベースレベル
事前共有鍵情報へのアクセス
キーイング材料へのアクセス
–p が指定されなかった場合、level はデフォルトの 0 に設定されます。
このオプションは推奨されていません。詳細は、「サービス管理機能」を参照してください。
このプログラムのイメージには、機密性の高い秘密鍵情報が含まれています。実行中の in.iked デーモンのコアダンプやシステムダンプには機密性の高い鍵情報が含まれているため、これらのファイルには注意してください。in.iked によって生成されるコアファイルを制限するには、coreadm(8) コマンドを使用します。
デフォルトの構成ファイル。
秘密鍵。秘密鍵に対応する同じファイル名の公開鍵証明書が /etc/inet/ike/publickeys/ に存在する必要があります。
公開鍵証明書。名前については、対応する秘密鍵の名前との関連だけが重要です。
公開鍵証明書失効リスト。
フェーズ 1 認証の IKE 事前共有シークレット。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
svcs(1), ipsecesp(4P), pf_key(4P), ike.config(5), attributes(7), smf(7), coreadm(8), ikeadm(8), ikecert(8), labeld(8), svcadm(8), svccfg(8)
『Solaris Trusted Extensions リファレンスマニュアル』に含まれている tnzonecfg(5) を参照してください。
Dan Harkins および Dave Carrel 著、『RFC 2409, Internet Key Exchange (IKE)』、Network Working Group 発行、1998 年 11 月
Maughan、Douglas、Schertler, M.、Schneider, M.、Turner, J. 著、『RFC 2408, Internet Security Association and Key Management Protocol (ISAKMP)』、Network Working Group 発行、1998 年 11 月
Piper、Derrell 著、『RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP』、Network Working Group 発行、1998 年 11 月
Fu, D.、Solinos, J. 著、『RFC 4753, ECP Groups for IKE and IKEv2』、Network Working Group 発行、2007 年 1 月
Lepinski, M.、Kent, S. 著、『RFC 5114, Additional Diffie-Hellman Groups for Use with IETF Standards』、Network Working Group 発行、2008 年 1 月