in.iked - 用于 Internet 密钥交换 (Internet Key Exchange, IKE) 的守护进程
/usr/lib/inet/in.iked [-d] [-f filename] [-p level]
/usr/lib/inet/in.iked -c [-f filename]
in.iked 使用 Internet 密钥交换 (Internet Key Exchange, IKE) 协议为 IPsec 执行自动化密钥管理。
in.iked 实施以下功能:
通过预共享密钥、DSS 签名、RSA 签名或 RSA 加密进行 IKE 验证。
使用 1024、1536、2048、3072 或 4096 位公钥模数或者 256、384 或 521 位椭圆曲线模数来派生 Diffie-Hellman 密钥。
利用加密算法选项 AES 或 3DES 以及散列选项 HMAC-SHA1 或 HMAC-SHA2 系列提供验证保护。in.iked 中的加密限于 IKE 验证和密钥交换。有关 IPsec 保护选项的信息,请参见 ipsecesp(4P) 手册页。
通过以下 smf(7) 服务可管理 in.iked:
svc:/network/ipsec/ike
该服务交付时处于禁用状态,因为需要先创建配置文件,然后才能启用该服务。有关该文件的格式,请参见 ike.config(5)。
有关管理 smf(7) 服务的信息,请参见“服务管理工具”。
in.iked 使用 PF_KEY 套接字侦听来自网络的传入 IKE 请求以及传出通信请求。有关更多信息,请参见 pf_key(4P) 手册页。
in.iked 有两个用于 IKE 管理和诊断的支持程序:ikeadm(8) 和 ikecert(8)。
ikeadm(8) 命令可将 /etc/inet/ike/config 文件作为 rule 读取,然后使用门接口将配置信息传递给正在运行的 in.iked 守护进程。
example# ikeadm read rule /etc/inet/ike/config
刷新为管理 in.iked 守护进程所提供的 ike smf(7) 服务将向 in.iked 守护进程发送 SIGHUP 信号,从而将(重新)读取 /etc/inet/ike/config 并重新装入证书数据库。
前两个命令具有相同的效果,即使用最新配置更新正在运行的 IKE 守护进程。有关管理 in.iked 守护进程的详细信息,请参见“服务管理工具”。
启用 Trusted Extensions 后(请参见 labeld(8)),可以在全局区域中使用 in.iked 来协商带标签的安全关联。在使用 in.iked 且带标签的系统上,必须在 tnzonecfg 文件中将 UDP 端口 500 和 4500 配置为适用于全局区域的多级别端口(请参见《Solaris Trusted Extensions Reference Manual》中的“tnzonecfg(5)”部分)。有关将 in.iked 配置为具有标签识别功能的详细信息,请参见 ike.config(5)。
IKE 守护进程 (in.iked) 由服务管理工具 smf(7) 管理。以下服务组可管理 IPsec 组件:
svc:/network/ipsec/ipsecalgs (See ipsecalgs(8)) svc:/network/ipsec/policy (See ipsecconf(8)) svc:/network/ipsec/manual-key (See ipseckey(8)) svc:/network/ipsec/ike (see ike.config(5))
手动密钥和 ike 服务交付时处于禁用状态,因为系统管理员必须为每项服务创建配置文件,如上面列出的各个手册页中所述。
正确的管理步骤是先为每项服务创建配置文件,然后使用 svcadm(8) 启用每项服务。
ike 服务依赖 ipsecalgs 和 policy 服务。因此,应该在启用 ike 服务前启用这两项服务。如果未做到,则会导致 ike 服务进入维护模式。
如果需要更改配置,应先编辑配置文件,然后再刷新服务,如下所示:
example# svcadm refresh ike
为 ike 服务定义了以下属性:
定义 ikeadm(8) 调用可以更改或观察正在运行的 in.iked 的程度。此属性的可接受值与 –p 选项的可接受值相同。请参见“选项”部分中的 –p 说明。
定义要使用的配置文件。缺省值为 /etc/inet/ike/config。有关此文件的格式,请参见 ike.config(5) 手册页。此属性具有与 –f 标志相同的效果。请参见“选项”部分中的 –f 说明。
定义写入 debug_logfile 文件的调试输出的数量,如下所述。此选项的缺省值为 op 或 operator。该属性可控制对于重新读取配置文件等事件信息的记录。在 ikeadm(8) 手册页中列出了 debug_level 的可接受值。all 值等效于 –d 标志。请参见“选项”部分中的 –d 说明。
定义调试输出应写入的位置。在此处写入的消息来自 in.iked 中的调试代码。启动错误消息由 smf(7) 框架记录,并记录在特定于服务的日志文件中。可使用以下任一命令检查 logfile 属性:
example# svcs -l ike example# svcprop ike example# svccfg -s ike listprop
这些日志文件属性的值可能不同,在这种情况下,应该检查两个文件中是否存在错误。
当配置文件具有语法错误时,一种用于控制 in.iked 行为的布尔值。缺省值为 false,如果配置无效,会导致 in.iked 进入维护模式。
将此值设为 true 会导致 IKE 服务一直联机,但正确的操作要求管理员使用 ikeadm(8) 配置正在运行的守护进程。提供该选项是为了与以前的版本兼容。
分配了以下授权的用户可使用 svccfg(8) 修改这些属性:
solaris.smf.value.ipsec
分别使用 ikeadm 令牌登录和 ikeadm 令牌注销可以解除锁定或锁定 PKCS#11 令牌对象。可以通过 ikeadm dump certcache 观察在这些 PKCS#11 令牌对象上存储的私钥加密材料的可用性。以下授权支持用户登录 PKCS#11 令牌对象以及从中注销:
solaris.network.ipsec.ike.token.login solaris.network.ipsec.ike.token.logout
请参见 auths(1)、ikeadm(8)、user_attr(5) 和 rbac(7)。
需要先使用 svcadm(8) 刷新服务,然后新属性值才能生效。通常,可以通过 svcprop(1) 命令查看不可修改的属性。
# svccfg -s ipsec/ike setprop config/config_file = \ /new/config_file # svcadm refresh ike
可以使用 svcadm(8) 来对此服务执行管理操作(如启用、禁用、刷新和请求重新启动)。分配有以下授权的用户可以执行这些操作:
solaris.smf.manage.ipsec
可以使用 svcs(1) 命令来查询服务的状态。
in.iked 守护进程设计为在 smf(7) 管理下运行。尽管可以从命令行运行 in.iked 命令,但是不建议采用这种方法。如果要从命令行运行 in.iked 命令,应该首先禁用 ikesmf(7) 服务。有关更多信息,请参见 svcadm(8) 手册页。
支持以下选项:
检查配置文件的语法。
使用调试模式。进程会保持与控制终端的连接,并生成大量调试输出。此选项已过时。有关详细信息,请参见“服务管理工具”。
使用 filename 而非 /etc/inet/ike/config。有关该文件的格式,请参见 ike.config(5)。此选项已过时。有关详细信息,请参见“服务管理工具”。
指定特权级别 (level)。该选项可以设置 ikeadm(8) 调用可以更改或观察正在运行的 in.iked 的程度。
有效的 levels 包括:
基本级别
访问预共享密钥信息
访问加密材料
如果未指定 –p,level 将缺省为 0。
此选项已过时。有关详细信息,请参见“服务管理工具”。
该程序的映像中具有敏感的私钥加密信息。由于这些文件包含敏感的加密信息,因此在对正在运行的 in.iked 守护进程进行任何核心转储或系统转储时都应该谨慎。使用 coreadm(8) 命令可限制 in.iked 所生成的任何核心文件。
缺省配置文件。
私钥。私钥必须在 /etc/inet/ike/publickeys/ 中具有匹配的同名公钥证书。
公钥证书。这些名称仅对匹配私钥名称至关重要。
公钥证书撤销列表。
IKE 预共享的阶段 I 验证密钥。
有关下列属性的说明,请参见 attributes(7):
|
svcs(1)、ipsecesp(4P)、pf_key(4P)、ike.config(5)、attributes(7)、smf(7)、coreadm(8)、ikeadm(8)、ikecert(8)、labeld(8)、svcadm(8)、svccfg(8)
请参见《Solaris Trusted Extensions Reference Manual》中的 "tnzonecfg(5)" 部分。
由 Harkins, Dan 和 Carrel, Dave. 合著的《Internet Key Exchange (IKE)》,RFC 2409。Network Working Group 出版。1998 年 11 月。
由 Maughan, Douglas、Schertler, M.、Schneider, M. 和 Turner, J. 合著的《Internet Security Association and Key Management Protocol (ISAKMP)》,RFC 2408。Network Working Group 出版。1998 年 11 月。
由 Piper, Derrell 编著的《The Internet IP Security Domain of Interpretation for ISAKMP》,RFC 2407。Network Working Group 出版。1998 年 11 月。
由 Fu, D. 和 Solinos, J. 合著的《ECP Groups for IKE and IKEv2》,RFC 4753。Network Working Group 出版。2007 年 1 月。
由 Lepinski, M. 和 Kent, S. 合著的《Additional Diffie-Hellman Groups for Use with IETF Standards》,RFC 5114。Network Working Group 出版。2008 年 1 月。