Current File : //usr/man/zh_CN.UTF-8/man1m/in.iked.1m

'\" te
.\" Copyright (c) 2009, 2014, Oracle and/or its affiliates.All rights reserved.
.TH in.iked 1M "2014 年 2 月 13 日" "SunOS 5.11" "系统管理命令"
.SH 名称
in.iked \- 用于 Internet 密钥交换 (Internet Key Exchange, IKE) 的守护进程
.SH 用法概要
.LP
.nf
\fB/usr/lib/inet/in.iked\fR [\fB-d\fR] [\fB-f\fR \fIfilename\fR] [\fB-p\fR \fIlevel\fR]
.fi

.LP
.nf
\fB/usr/lib/inet/in.iked\fR \fB-c\fR [\fB-f\fR \fIfilename\fR]
.fi

.SH 描述
.sp
.LP
\fBin.iked\fR 使用 Internet 密钥交换 (Internet Key Exchange, \fBIKE\fR) 协议为 IPsec 执行自动化密钥管理。 
.sp
.LP
\fBin.iked\fR 实施以下功能：
.RS +4
.TP
.ie t \(bu
.el o
通过预共享密钥、\fBDSS\fR 签名、\fBRSA\fR 签名或 \fBRSA\fR 加密进行 \fBIKE\fR 验证。 
.RE
.RS +4
.TP
.ie t \(bu
.el o
使用 \fB768\fR、\fB1024\fR、\fB1536\fR、\fB2048\fR、\fB3072\fR 或 \fB4096\fR 位公钥模数或者 \fB256\fR、\fB384\fR 或 \fB521\fR 位椭圆曲线模数来派生 Diffie-Hellman 密钥。
.RE
.RS +4
.TP
.ie t \(bu
.el o
通过 \fBAES\fR、\fBDES\fR、Blowfish 或 \fB3DES\fR 加密选项以及 \fBHMAC-MD5\fR 或 \fBHMAC-SHA-1\fR 散列选项来提供验证保护。\fBin.iked\fR 中的加密限于 \fBIKE\fR 验证和密钥交换。有关 IPsec 保护选项的信息，请参见 \fBipsecesp\fR(7P)。
.RE
.sp
.LP
通过以下 \fBsmf\fR(5) 服务可管理 \fBin.iked\fR：
.sp
.in +2
.nf
svc:/network/ipsec/ike
.fi
.in -2
.sp

.sp
.LP
该服务交付时处于禁用状态，因为需要先创建配置文件，然后才能启用该服务。有关该文件的格式，请参见 \fBike.config\fR(4)。
.sp
.LP
有关管理 \fBsmf\fR(5) 服务的信息，请参见“服务管理工具”。
.sp
.LP
\fBin.iked\fR 使用 \fBPF_KEY\fR 套接字侦听来自网络的传入 \fBIKE\fR 请求以及传出通信请求。请参见 \fBpf_key\fR(7P)。 
.sp
.LP
\fBin.iked\fR 有两个用于 IKE 管理和诊断的支持程序：\fBikeadm\fR(1M) 和 \fBikecert\fR(1M)。
.sp
.LP
\fBikeadm\fR(1M) 命令可以将 \fB/etc/inet/ike/config\fR 文件读取为 \fBrule\fR，然后使用门接口将配置信息传递给正在运行的 \fBin.iked\fR 守护进程。
.sp
.in +2
.nf
example# \fBikeadm read rule /etc/inet/ike/config\fR
.fi
.in -2
.sp

.sp
.LP
刷新为管理 \fBin.iked\fR 守护进程所提供的 \fBike\fR \fBsmf\fR(5) 服务将向 \fBin.iked\fR 守护进程发送 \fBSIGHUP\fR 信号，从而将（重新）读取 \fB/etc/inet/ike/config\fR 并重新装入证书数据库。
.sp
.LP
前两个命令具有相同的效果，即使用最新配置更新正在运行的 IKE 守护进程。有关管理 \fBin.iked\fR 守护进程的详细信息，请参见“服务管理工具”。
.sp
.LP
启用 Trusted Extensions 后（请参见 \fBlabeld\fR(1M)），可以在全局区域中使用 \fBin.iked\fR 来协商带标签的安全关联。在使用 \fBin.iked\fR 且带标签的系统上，必须在 \fBtnzonecfg\fR 文件中将 UDP 端口 500 和 4500 配置为适用于全局区域的多级别端口（请参见《\fISolaris Trusted Extensions Reference Manual\fR》中的“\fBtnzonecfg(4)\fR”部分）。有关将 \fBin.iked\fR 配置为具有标签识别功能的详细信息，请参见 \fBike.config\fR(4)。
.SS "服务管理工具"
.sp
.LP
IKE 守护进程 (\fBin.iked\fR) 由服务管理工具 \fBsmf\fR(5) 管理。以下服务组可管理 IPsec 组件：
.sp
.in +2
.nf
svc:/network/ipsec/ipsecalgs   (See ipsecalgs(1M))
svc:/network/ipsec/policy      (See ipsecconf(1M))
svc:/network/ipsec/manual-key  (See ipseckey(1M))
svc:/network/ipsec/ike         (see ike.config(4))
.fi
.in -2
.sp

.sp
.LP
手动密钥和 \fBike\fR 服务交付时处于\fB禁用\fR状态，因为系统管理员必须为每项服务创建配置文件，如上面列出的各个手册页中所述。
.sp
.LP
正确的管理步骤是先为每项服务创建配置文件，然后使用 \fBsvcadm\fR(1M) 启用每项服务。
.sp
.LP
\fBike\fR 服务依赖 \fBipsecalgs\fR 和 \fBpolicy\fR 服务。因此，应该在启用 \fBike\fR 服务前启用这两项服务。如果未做到，则会导致 \fBike\fR 服务进入维护模式。
.sp
.LP
如果需要更改配置，应先编辑配置文件，然后再刷新服务，如下所示：
.sp
.in +2
.nf
example# \fBsvcadm refresh ike\fR
.fi
.in -2
.sp

.sp
.LP
为 \fBike\fR 服务定义了以下属性：
.sp
.ne 2
.mk
.na
\fB\fBconfig/admin_privilege\fR\fR
.ad
.sp .6
.RS 4n
定义 \fBikeadm\fR(1M) 调用可以更改或观察正在运行的 \fBin.iked\fR 的程度。此属性的可接受值与 \fB-p\fR 选项的可接受值相同。请参见\fB\fR“选项”部分中的 \fB-p\fR 说明。
.RE

.sp
.ne 2
.mk
.na
\fB\fBconfig/config_file\fR\fR
.ad
.sp .6
.RS 4n
定义要使用的配置文件。缺省值为 \fB/etc/inet/ike/config\fR。有关该文件的格式，请参见 \fBike.config\fR(4)。此属性具有与 \fB-f\fR 标志相同的效果。请参见\fB\fR“选项”部分中的 \fB-f\fR 说明。
.RE

.sp
.ne 2
.mk
.na
\fB\fBconfig/debug_level\fR\fR
.ad
.sp .6
.RS 4n
定义写入 \fBdebug_logfile\fR 文件的调试输出的数量，如下所述。此选项的缺省值为 \fBop\fR 或 \fBoperator\fR。该属性可控制对于重新读取配置文件等事件信息的记录。在 \fBikeadm\fR(1M) 手册页中列出了 \fBdebug_level\fR 的可接受值。\fBall\fR 值等效于 \fB-d\fR 标志。请参见\fB\fR“选项”部分中的 \fB-d\fR 说明。
.RE

.sp
.ne 2
.mk
.na
\fB\fBconfig/debug_logfile\fR\fR
.ad
.sp .6
.RS 4n
定义调试输出应写入的位置。在此处写入的消息来自 \fBin.iked\fR 中的调试代码。启动错误消息由 \fBsmf\fR(5) 框架记录，并记录在特定于服务的日志文件中。可使用以下任一命令检查 \fBlogfile\fR 属性：
.sp
.in +2
.nf
example# \fBsvcs -l ike\fR
example# \fBsvcprop ike\fR
example# \fBsvccfg -s ike listprop\fR
.fi
.in -2
.sp

这些日志文件属性的值可能不同，在这种情况下，应该检查两个文件中是否存在错误。
.RE

.sp
.ne 2
.mk
.na
\fB\fBconfig/ignore_errors\fR\fR
.ad
.sp .6
.RS 4n
当配置文件具有语法错误时，一种用于控制 \fBin.iked\fR 行为的布尔值。缺省值为 \fBfalse\fR，如果配置无效，会导致 \fBin.iked\fR 进入维护模式。
.sp
将该值设置为 \fBtrue\fR 会导致 IKE 服务保持联机状态，但正确的操作应是管理员通过 \fBikeadm\fR(1M) 配置正在运行的守护进程。提供该选项是为了与以前的版本兼容。
.RE

.sp
.LP
分配有以下授权的用户可以使用 \fBsvccfg\fR(1M) 来修改这些属性：
.sp
.in +2
.nf
solaris.smf.value.ipsec
.fi
.in -2
.sp

.sp
.LP
分别使用 \fBikeadm\fR 令牌登录和 \fBikeadm\fR 令牌注销可以解除锁定或锁定 PKCS#11 令牌对象。可以通过 \fBikeadm dump certcache\fR 观察在这些 PKCS#11 令牌对象上存储的私钥加密材料的可用性。以下授权支持用户登录 PKCS#11 令牌对象以及从中注销：
.sp
.in +2
.nf
solaris.network.ipsec.ike.token.login
solaris.network.ipsec.ike.token.logout
.fi
.in -2
.sp

.sp
.LP
请参见 \fBauths\fR(1)、\fBikeadm\fR(1M)、\fBuser_attr\fR(4) 和 \fBrbac\fR(5)。
.sp
.LP
需要先使用 \fBsvcadm\fR(1M) 刷新服务，然后新属性值才能生效。通常，可以通过 \fBsvcprop\fR(1) 命令查看不可修改的属性。
.sp
.in +2
.nf
# \fBsvccfg -s ipsec/ike setprop config/config_file = \e
/new/config_file\fR
# \fBsvcadm refresh ike\fR
.fi
.in -2
.sp

.sp
.LP
可以使用 \fBsvcadm\fR(1M) 来对此服务执行管理操作（如启用、禁用、刷新和请求重新启动）。分配有以下授权的用户可以执行这些操作：
.sp
.in +2
.nf
solaris.smf.manage.ipsec
.fi
.in -2
.sp

.sp
.LP
可以使用 \fBsvcs\fR(1) 命令来查询服务的状态。
.sp
.LP
\fBin.iked\fR 守护进程设计为在 \fBsmf\fR(5) 管理下运行。尽管可以从命令行运行 \fBin.iked\fR 命令，但是不建议采用这种方法。如果要从命令行运行 \fBin.iked\fR 命令，应该首先禁用 \fBike\fR\fBsmf\fR(5) 服务。请参见 \fBsvcadm\fR(1M)。
.SS "与位置配置文件交互"
.sp
.LP
在位置配置文件中管理 IKE 配置和激活（有关位置配置文件的更多信息，请参阅 \fBnetcfg\fR(1M)）。这些配置文件要么是固定的，表示以传统方式管理网络配置；要么是反应性的，表示自动管理网络配置，并会根据配置文件中指定的策略规则对网络环境的变化作出反应。
.sp
.LP
当固定位置（当前可能只有一个 DefaultFixed 位置）处于活动状态时，对 SMF 系统信息库所做的更改会在对其禁用时应用于此位置，因此如果在稍后重新启用该位置会恢复这些更改。
.sp
.LP
当反应性位置处于活动状态时，不应将更改直接应用于 SMF 系统信息库；这些更改不会保留在位置配置文件中，因此如果禁用该位置，或者刷新或重新启动系统的网络配置（由 \fBsvc:/network/physical:default\fR 和 \fBsvc:/network/location:default\fR 管理），更改将会丢失。应使用 \fBnetcfg\fR(1M) 命令将更改应用于位置本身；这样会将更改保存到位置配置文件系统信息库中，还会将其应用于 SMF 系统信息库（如果更改是针对当前活动的位置进行的）。
.sp
.LP
包含 IKE 配置规则的文件的名称存储在位置配置文件的\fB ike-config-file\fR 属性中。如果为此属性设置了一个值，将启用 \fBsvc:/network/ipsec/ike\fR，并应用指定的规则文件。如果未设置此属性，则将禁用该服务。
.SH 选项
.sp
.LP
支持以下选项：
.sp
.ne 2
.mk
.na
\fB\fB-c\fR\fR
.ad
.RS 15n
.rt  
检查配置文件的语法。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-d\fR\fR
.ad
.RS 15n
.rt  
使用调试模式。进程会保持与控制终端的连接，并生成大量调试输出。此选项已过时。有关详细信息，请参见“服务管理工具”。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-f\fR \fIfilename\fR\fR
.ad
.RS 15n
.rt  
使用 \fIfilename\fR 而非 \fB/etc/inet/ike/config\fR。有关该文件的格式，请参见 \fBike.config\fR(4)。此选项已过时。有关详细信息，请参见“服务管理工具”。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-p\fR \fIlevel\fR\fR
.ad
.RS 15n
.rt  
指定特权级别 (\fIlevel\fR)。该选项可以设置 \fBikeadm\fR(1M) 调用可以更改或观察正在运行的 \fBin.iked\fR 的程度。 
.sp
有效的 \fIlevels\fR 包括： 
.sp
.ne 2
.mk
.na
\fB0\fR
.ad
.RS 5n
.rt  
基本级别
.RE

.sp
.ne 2
.mk
.na
\fB1\fR
.ad
.RS 5n
.rt  
访问预共享密钥信息
.RE

.sp
.ne 2
.mk
.na
\fB2\fR
.ad
.RS 5n
.rt  
访问加密材料
.RE

如果未指定 \fB-p\fR，\fIlevel\fR 将缺省为 \fB0\fR。
.sp
此选项已过时。有关详细信息，请参见“服务管理工具”。
.RE

.SH 安全
.sp
.LP
该程序的映像中具有敏感的私钥加密信息。由于这些文件包含敏感的加密信息，因此在对正在运行的 \fBin.iked\fR 守护进程进行任何核心转储或系统转储时都应该谨慎。使用 \fBcoreadm\fR(1M) 命令可限制 \fBin.iked\fR 所生成的任何核心文件。
.SH 文件
.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/ike/config\fR\fR
.ad
.sp .6
.RS 4n
缺省配置文件。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/secret/ike.privatekeys/*\fR\fR
.ad
.sp .6
.RS 4n
私钥。私钥\fB必须\fR在 \fB/etc/inet/ike/publickeys/\fR 中具有匹配的同名公钥证书。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/ike/publickeys/*\fR\fR
.ad
.sp .6
.RS 4n
公钥证书。这些名称仅对匹配私钥名称至关重要。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/ike/crls/*\fR\fR
.ad
.sp .6
.RS 4n
公钥证书撤销列表。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/secret/ike.preshared\fR\fR
.ad
.sp .6
.RS 4n
\fBIKE\fR 预共享的阶段 I 验证密钥。
.RE

.SH 属性
.sp
.LP
有关下列属性的说明，请参见 \fBattributes\fR(5)：
.sp

.sp
.TS
tab() box;
cw(2.75i) |cw(2.75i) 
lw(2.75i) |lw(2.75i) 
.
属性类型属性值
_
可用性system/core-os
.TE

.SH 另请参见
.sp
.LP
\fBsvcs\fR(1)、\fBcoreadm\fR(1M)、\fBikeadm\fR(1M)、\fBikecert\fR(1M)、\fBlabeld\fR(1M)、\fBnetcfg\fR(1M)、\fBsvccfg\fR(1M)、\fBsvcadm\fR(1M)、\fBike.config\fR(4)、\fBattributes\fR(5)、\fBsmf\fR(5)、\fBipsecesp\fR(7P)、\fBpf_key\fR(7P)
.sp
.LP
请参见《\fISolaris Trusted Extensions Reference Manual\fR》中的 "\fBtnzonecfg(4)\fR" 部分。
.sp
.LP
由 Harkins, Dan 和 Carrel, Dave. 合著的《\fIInternet Key Exchange (IKE)\fR》，RFC 2409。Network Working Group 出版。1998 年 11 月。
.sp
.LP
由 Maughan, Douglas、Schertler, M.、Schneider, M. 和 Turner, J. 合著的《\fIInternet Security Association and Key Management Protocol (ISAKMP)\fR》，RFC 2408。Network Working Group 出版。1998 年 11 月。
.sp
.LP
由 Piper, Derrell 编著的《\fIThe Internet IP Security Domain of Interpretation for ISAKMP\fR》，RFC 2407。Network Working Group 出版。1998 年 11 月。
.sp
.LP
由 Fu, D. 和 Solinos, J. 合著的《\fIECP Groups for IKE and IKEv2\fR》，RFC 4753。Network Working Group 出版。2007 年 1 月。
.sp
.LP
由 Lepinski, M. 和 Kent, S. 合著的《\fIAdditional Diffie-Hellman Groups for Use with IETF Standards\fR》，RFC 5114。Network Working Group 出版。2008 年 1 月。