'\" te .\" Copyright (c) 2009, 2012, Oracle and/or its affiliates. All rights reserved. .TH ipsecalgs 1M "2010 年 7 月 28 日" "SunOS 5.11" "システム管理コマンド" .SH 名前 ipsecalgs \- IPsec のプロトコルおよびアルゴリズムテーブルの構成 .SH 形式 .LP .nf \fBipsecalgs\fR .fi .LP .nf \fBipsecalgs\fR \fB-l\fR .fi .LP .nf \fBipsecalgs\fR \fB-s\fR .fi .LP .nf \fBipsecalgs\fR \fB-a\fR [\fB-P\fR \fIprotocol-number\fR | \fB-p\fR \fIprotocol-name\fR] \fB-k\fR \fIkeylen-list\fR [\fB-i\fR \fIinc\fR] [\fB-K\fR \fIdefault-keylen\fR] \fB-b\fR \fIblocklen-list\fR \fB-n\fR \fIalg-names\fR \fB-N\fR \fIalg-number\fR \fB-m\fR \fImech-name\fR [\fB-I\fR \fIinitialization-vector_length\fR] [\fB-M\fR \fIMAC-length\fR] [\fB-S\fR \fIlength-of-salt\fR] [\fB-F\fR \fIflags\fR] [\fB-f\fR] [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-P\fR \fIprotocol-number\fR \fB-p\fR \fIprotocol-name\fR [\fB-e\fR \fIexec-mode\fR] [\fB-f\fR] [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-r\fR \fB-p\fR \fIprotocol-name\fR [] \fB-n\fR \fIalg-name\fR [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-r\fR \fB-p\fR \fIprotocol-name\fR [] \fB-N\fR \fIalg-number\fR [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-R\fR \fB-P\fR \fIprotocol-number\fR [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-R\fR \fB-p\fR \fIprotocol-name\fR [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-e\fR \fIexec-mode\fR \fB-P\fR \fIprotocol-number\fR [\fB-s\fR] .fi .LP .nf \fBipsecalgs\fR \fB-e\fR \fIexec-mode\fR \fB-p\fR \fIprotocol-name\fR [\fB-s\fR] .fi .SH 機能説明 .sp .LP \fBipsecalgs\fR コマンドは、\fB/etc/inet/ipsecalgs\fR に格納されている IPsec のプロトコルとアルゴリズムを照会および変更するために使用します。\fBipsecalgs\fR コマンドを使用して次を実行できます。 .RS +4 .TP .ie t \(bu .el o 現在定義されている IPsec のプロトコルとアルゴリズムの一覧表示 .RE .RS +4 .TP .ie t \(bu .el o IPsec のプロトコル定義の変更 .RE .RS +4 .TP .ie t \(bu .el o IPsec のアルゴリズム定義の変更 .RE .sp .LP \fB/etc/inet/ipsecalgs\fR ファイルは\fB絶対に\fR手動で編集しないでください。有効な IPsec のプロトコルおよびアルゴリズムは、ISAKMP DOI に記述されています。『\fIRFC 2407\fR』を参照してください。一般的な意味では、解釈ドメイン (DOI) はデータ形式、ネットワークトラフィック交換タイプ、およびセキュリティー関連情報 (セキュリティーポリシー、暗号化アルゴリズム、暗号化モードなど) の命名規約を定義します。\fBipsecalgs\fR では、DOI はアルゴリズムとそれらが属するプロトコルの命名および番号設定の規約を定義します。これらの番号は、IANA (Internet Assigned Numbers Authority) によって定義されます。個々のアルゴリズムは 1 つのプロトコルに属します。アルゴリズムの情報には、サポートされている鍵長、ブロックまたは MAC 長、およびそのアルゴリズムに対応する暗号メカニズムの名前が含まれます。これらの情報は、IPsec モジュール \fBipsecesp\fR(7P) および \fBipsecah\fR(7P) が IPsec トラフィックに適用できる認証および暗号化アルゴリズムを決定するために使用します。 .sp .LP 次のプロトコルが事前に定義されています。 .sp .ne 2 .mk .na \fB\fBIPSEC_PROTO_ESP\fR\fR .ad .RS 19n .rt IPsec がデータの機密性を提供するために使用できる暗号化アルゴリズム (変換) を定義します。 .RE .sp .ne 2 .mk .na \fB\fBIPSEC_PROTO_AH\fR\fR .ad .RS 19n .rt IPsec が認証を提供するために使用できる認証アルゴリズム (変換) を定義します。 .RE .sp .LP アルゴリズムエントリによって指定されたメカニズム名は、有効な Solaris 暗号化フレームワークのメカニズムと一致する必要があります。\fBcryptoadm\fR(1M) コマンドを使用して、利用可能なメカニズムの一覧を取得できます。 .sp .LP アプリケーションは、\fBgetipsecalgbyname\fR(3NSL)、\fBgetipsecalgbynum\fR(3NSL)、\fBgetipsecprotobyname\fR(3NSL)、および \fBgetipsecprotobynum\fR(3NSL) の各関数を使用して、サポートされているアルゴリズムとそれらに関連するプロトコルを取得できます。 .sp .LP プロトコルおよびアルゴリズムに対する変更によって、デフォルトでは \fB/etc/inet/ipsecalgs\fR 構成ファイルの内容のみが更新されます。新しい定義を IPsec の処理で使用するためには、\fB-s\fR オプションを使用してカーネルに変更を伝達する必要があります。システム再起動時に \fBipsecalgs\fR の構成をカーネルと同期する方法については、「\fB注意事項\fR」を参照してください。 .sp .LP \fBipsecalgs\fR を引数なしで呼び出すと、\fB/etc/inet/ipsecalgs\fR で現在定義されているマッピングの一覧が表示されます。対応するカーネルのプロトコルおよびアルゴリズムのテーブルは、\fB-l\fR オプションを使用して取得できます。 .SH オプション .sp .LP \fBipsecalgs\fR は次のオプションをサポートします。 .sp .ne 2 .mk .na \fB\fB-a\fR\fR .ad .sp .6 .RS 4n \fB-P\fR オプションで指定されたプロトコルのアルゴリズムを追加します。アルゴリズム名は、\fB-n\fR オプションで指定されます。サポートされている鍵長とブロックサイズは、\fB-k\fR、\fB-i\fR、および \fB-b\fR オプションで指定されます。 .RE .sp .ne 2 .mk .na \fB\fB-b\fR\fR .ad .sp .6 .RS 4n アルゴリズムのブロックまたは MAC 長 (バイト単位) を指定します。複数のブロック長を設定するには、値をコンマで区切ります。 .RE .sp .ne 2 .mk .na \fB\fB-e\fR\fR .ad .sp .6 .RS 4n 暗号化ハードウェアプロバイダが存在しない場合の、指定されたプロトコルに対する暗号化要求の実行モードを指定します。\fBcryptoadm\fR(1M) を参照してください。\fIexec-mode\fR には次のいずれかの値を指定できます。 .sp .ne 2 .mk .na \fB\fBsync\fR\fR .ad .RS 9n .rt 暗号化ハードウェアプロバイダが存在しない場合に、暗号化要求が同期的に処理されます。この実行モードでは、使用可能な暗号化ハードウェアプロバイダが存在しない場合に、待ち時間の短縮につながります。 .RE .sp .ne 2 .mk .na \fB\fBasync\fR\fR .ad .RS 9n .rt 暗号化ハードウェアプロバイダが存在しない場合に、暗号化要求が常に非同期的に処理されます。この実行では、利用可能な暗号化ハードウェアプロバイダが存在しない場合に、マルチ CPU システムのリソース利用率が向上しますが、待ち時間が長くなる可能性があります。 .RE このオプションは、新しいプロトコルを定義するとき、または既存のプロトコルの実行モードを変更するときに指定できます。デフォルトでは、暗号化ハードウェアプロバイダが存在しない場合は \fBsync\fR 実行モードが使用されます。 .RE .sp .ne 2 .mk .na \fB\fB-f\fR\fR .ad .sp .6 .RS 4n \fB-a\fR オプションとともに使用すると、同じ名前または番号のエントリがすでに存在する場合に、アルゴリズムまたはプロトコルが強制的に追加されます。 .RE .sp .ne 2 .mk .na \fB\fB-i\fR\fR .ad .sp .6 .RS 4n 有効な鍵長の増分値 (ビット単位) を指定します。このオプションは、\fB-k\fR オプションによってアルゴリズムの有効な鍵長が範囲で指定された場合に使用する必要があります。 .RE .sp .ne 2 .mk .na \fB\fB-K\fR\fR .ad .sp .6 .RS 4n アルゴリズムのデフォルトの鍵長 (ビット単位) を指定します。\fB-K\fR オプションが指定されない場合は、最小の鍵長が次のように決定されます。 .RS +4 .TP .ie t \(bu .el o サポートされている鍵長が範囲で指定されている場合は、デフォルトの鍵長が最小の鍵長になります。 .RE .RS +4 .TP .ie t \(bu .el o サポートされている鍵長が列挙で指定されている場合は、デフォルトの鍵長が最初に指定された鍵長になります。 .RE .RE .sp .ne 2 .mk .na \fB\fB-k\fR\fR .ad .sp .6 .RS 4n アルゴリズムでサポートされている鍵長 (ビット単位) を指定します。サポートされている鍵長を列挙または範囲で指定できます。 .sp \fB-i\fR オプションがない場合は、\fB-k\fR によってサポートされている鍵長を列挙で指定します。この場合、\fIkeylen-list\fR は次のようにコンマで区切られた 1 つ以上の鍵長の一覧で構成されます。 .sp .in +2 .nf 128,192,256 .fi .in -2 .sp 指定される鍵長は増分的である必要はなく、\fB-K\fR オプションが使用されない場合は、最初に指定された鍵長がそのアルゴリズムのデフォルトの鍵長として使用されます。 .sp \fB-i\fR オプションがある場合は、\fB-k\fR によってそのアルゴリズムでサポートされている鍵長の範囲を指定します。最小の鍵長と最大の鍵長は、次のようにダッシュ文字 (\fB-\fR) で区切られている必要があります。 .sp .in +2 .nf 32-448 .fi .in -2 .sp .RE .sp .ne 2 .mk .na \fB\fB-l\fR\fR .ad .sp .6 .RS 4n カーネルのアルゴリズムテーブルを表示します。 .RE .sp .ne 2 .mk .na \fB\fB-m\fR\fR .ad .sp .6 .RS 4n アルゴリズムに対応する暗号化フレームワークのメカニズムの名前を指定します。暗号化フレームワークのメカニズムについては、\fBcryptoadm\fR(1M) のマニュアルページを参照してください。 .RE .sp .ne 2 .mk .na \fB\fB-N\fR\fR .ad .sp .6 .RS 4n アルゴリズム番号を指定します。プロトコルのアルゴリズム番号は一意である必要があります。アルゴリズム番号は IANA によって管理されています。『\fIRFC 2407\fR』を参照してください。 .RE .sp .ne 2 .mk .na \fB\fB-n\fR\fR .ad .sp .6 .RS 4n アルゴリズムの名前を 1 つ以上指定します。\fB-a\fR オプションでアルゴリズムを追加するときは、次のように \fIalg-names\fR に 1 つの文字列または文字列のコンマ区切りリストを含めます。 .sp .in +2 .nf des-cbs,des .fi .in -2 .sp \fB-r\fR オプションとともに使用してアルゴリズムを削除するときは、\fIalg-names\fR に有効なアルゴリズム名のいずれかを含めます。 .RE .sp .ne 2 .mk .na \fB\fB-P\fR\fR .ad .sp .6 .RS 4n \fIprotocol-number\fR に指定した番号のプロトコルを、\fB-p\fR オプションに指定した名前で追加します。このオプションは、\fB-a\fR および \fB-R\fR オプションと組み合わせて IPsec のプロトコルを指定するときにも使用します。プロトコル番号は IANA によって管理されています。『\fIRFC 2407\fR』を参照してください。 .RE .sp .ne 2 .mk .na \fB\fB-p\fR\fR .ad .sp .6 .RS 4n IPsec プロトコルの名前を指定します。 .RE .sp .ne 2 .mk .na \fB\fB-R\fR\fR .ad .sp .6 .RS 4n アルゴリズムテーブルから IPsec プロトコルを削除します。プロトコルは、\fB-P\fR オプションを使用して番号で指定することも、\fB-p\fR オプションを使用して名前で指定することもできます。このプロトコルに関連付けられたアルゴリズムも削除されます。 .RE .sp .ne 2 .mk .na \fB\fB-r\fR\fR .ad .sp .6 .RS 4n アルゴリズムに対するマッピングを削除します。アルゴリズムは、\fB-N\fR オプションを使用してアルゴリズム番号で指定することも、\fB-A\fR オプションを使用してアルゴリズム名で指定することもできます。 .RE .sp .ne 2 .mk .na \fB\fB-s\fR\fR .ad .sp .6 .RS 4n カーネルを \fB/etc/inet/ipsecalgs\fR の内容と同期します。\fB/etc/inet/ipsecalgs\fR の内容は常に更新されますが、\fB-s\fR を使用しないかぎり新しい情報はカーネルに渡されません。システム再起動時に \fBipsecalgs\fR の構成をカーネルと同期する方法については、「\fB注意事項\fR」を参照してください。 .RE .sp .LP 次のオプションを使用して、省略可能なパラメータを構成できます。現在のところ、これらは 1 つの操作で暗号化と認証を提供する複合モードのアルゴリズムに対してのみ使用されます。 .sp .ne 2 .mk .na \fB\fB-I\fR\fR .ad .sp .6 .RS 4n 初期化ベクトル (IV) の長さ (バイト単位)。デフォルトの IV 長はブロック長と同じです。 .RE .sp .ne 2 .mk .na \fB\fB-M\fR\fR .ad .sp .6 .RS 4n 複合モードのアルゴリズムの MAC または ICV の長さ (バイト単位)。 .RE .sp .ne 2 .mk .na \fB\fB-S\fR\fR .ad .sp .6 .RS 4n アルゴリズムに必要なソルトのバイト数。ソルトは、鍵管理メカニズムによって提供される必要があります。 .RE .sp .ne 2 .mk .na \fB\fB-F\fR\fR .ad .sp .6 .RS 4n アルゴリズムのフラグ。これらは、カーネル内でのセキュリティータスク (特に認証) の処理方法に影響を与えます。これらは、\fBipseckey\fR(1M) および \fBipsecconf\fR(1M) でも使用されます。フラグは、トークンのコンマ区切りリストとして指定できます。次の例を参照してください。次のトークンがサポートされています。 .sp .ne 2 .mk .na \fB\fBCOUNTERMODE\fR\fR .ad .sp .6 .RS 4n このアルゴリズムはカウンタモードを使用します。 .RE .sp .ne 2 .mk .na \fB\fBCOMBINED\fR\fR .ad .sp .6 .RS 4n このアルゴリズムは暗号化と認証を同じ操作で提供します。 .RE .sp .ne 2 .mk .na \fB\fBCCM\fR\fR .ad .sp .6 .RS 4n この暗号化フレームワークのメカニズムには \fBCK_AES_CCM_PARAMS\fR 構造体が必要です。 .RE .sp .ne 2 .mk .na \fB\fBGMAC\fR\fR .ad .sp .6 .RS 4n この暗号化フレームワークのメカニズムには \fBCK_AES_GMAC_PARAMS\fR 構造体が必要です。 .RE .sp .ne 2 .mk .na \fB\fBGCM\fR\fR .ad .sp .6 .RS 4n この暗号化フレームワークのメカニズムには \fBCK_AES_GCM_PARAMS\fR 構造体が必要です。 .RE .sp .ne 2 .mk .na \fB\fBCBC\fR\fR .ad .sp .6 .RS 4n このフラグは、アルゴリズムが暗号ブロック連鎖を使用することを示します。この暗号化フレームワークのメカニズムにはパラメータ構造体は必要ありません。これはデフォルトでもあり、このフラグは省略できます。 .RE アルゴリズムのフラグは、\fB-l\fR オプションで表示できます。 .RE .SH 使用例 .LP \fB例 1 \fRIPsec 暗号化のプロトコルを追加する .sp .LP 次の例は、IPsec 暗号化のプロトコルを追加する方法を示しています。 .sp .in +2 .nf example# \fBipsecalgs -P 3 -p "IPSEC_PROTO_ESP"\fR .fi .in -2 .sp .LP \fB例 2 \fRBlowfish アルゴリズムを追加する .sp .LP 次の例は、Blowfish アルゴリズムを追加する方法を示しています。 .sp .in +2 .nf example# \fBipsecalgs -a -P 3 -k 32-488 -K 128 -i 8 -n "blowfish" \e -b 8 -N 7 -m CKM_BF_CBC\fR .fi .in -2 .sp .LP \fB例 3 \fRカーネルのアルゴリズムテーブルを更新する .sp .LP 次の例は、カーネルのアルゴリズムテーブルを現在定義されているプロトコルおよびアルゴリズム定義で更新します。 .sp .in +2 .nf example# \fBsvcadm refresh ipsecalgs\fR .fi .in -2 .sp .LP \fB例 4 \fRAES Galois/Counter Mode (GCM) アルゴリズムを追加する .sp .LP 次のコマンドによって、このアルゴリズムが追加されます。 .sp .in +2 .nf example# \fBipsecalgs -a -P3 -k 128-256 -K 128 -i 64 -N 20 -b 16 \e\fR \fB-n "aes-gcm16,aes-gcm" -m CKM_AES_GCM -M 16 -I 8 -S 4 \e\fR \fB-F GCM,COMBINED,COUNTER\fR .fi .in -2 .sp .SH ファイル .sp .ne 2 .mk .na \fB\fB/etc/inet/ipsecalgs\fR\fR .ad .sp .6 .RS 4n 構成された IPsec プロトコルおよびアルゴリズム定義を含むファイル。このファイルは手動で編集しないでください。 .RE .SH 属性 .sp .LP 属性についての詳細は、マニュアルページの \fBattributes\fR(5) を参照してください。 .sp .sp .TS tab() box; cw(2.75i) |cw(2.75i) lw(2.75i) |lw(2.75i) . 属性タイプ属性値 _ 使用条件system/core-os _ インタフェースの安定性確実 .TE .SH 関連項目 .sp .LP \fBcryptoadm\fR(1M), \fBipsecconf\fR(1M), \fBipseckey\fR(1M), \fBsvcadm\fR(1M), \fBgetipsecalgbyname\fR(3NSL), \fBgetipsecprotobyname\fR(3NSL), \fBike.config\fR(4), \fBattributes\fR(5), \fBsmf\fR(5), \fBipsecah\fR(7P), \fBipsecesp\fR(7P) .sp .LP Piper、Derrell 著、『\fIRFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP\fR』、Network Working Group 発行、1998 年 11 月 .SH 注意事項 .sp .LP プロトコルまたはアルゴリズム定義が削除または変更されると、それらの定義に依存するサービスが使用不可能になることがあります。たとえば、\fBIPSEC_PROTO_ESP\fR プロトコルが削除されると、IPsec でパケットを暗号化および復号化できません。 .sp .LP システム起動時の \fBipsecalgs\fR の構成とカーネルとの同期は、次の \fBsmf\fR(5) サービスによって提供されます。 .sp .in +2 .nf svc:/network/ipsec/ipsecalgs:default .fi .in -2 .sp .sp .LP IPsec のサービスは次のように提供されます。 .sp .in +2 .nf svc:/network/ipsec/policy:default (enabled) svc:/network/ipsec/ipsecalgs:default (enabled) svc:/network/ipsec/manual-key:default (disabled) svc:/network/ipsec/ike:default (disabled) .fi .in -2 .sp .sp .LP 無効な状態で提供されるサービスは、有効にする前にシステム管理者がそれらの構成ファイルを作成する必要があるため、そのような方法で提供されます。\fBipseckey\fR(1M) および \fBike.config\fR(4) を参照してください。\fBpolicy\fR サービスのデフォルトポリシーでは、すべてのトラフィックが IPsec 保護なしで通過できます。\fBipsecconf\fR(1M) を参照してください。 .sp .LP 正しい管理手順では、各サービスの構成ファイルを作成してから、次の例に示すように \fBsvcadm\fR(1M) を使用して各サービスを有効にします。 .sp .in +2 .nf example# \fBsvcadm enable ipsecalgs\fR .fi .in -2 .sp .sp .LP サービスステータスを照会するには、\fBsvcs\fR(1) コマンドを使用します。 .sp .LP \fBipsecalgs\fR の構成を変更した場合は、次のようにして新しい構成を再同期するべきです。 .sp .in +2 .nf example# \fBsvcadm refresh ipsecalgs\fR .fi .in -2 .sp .sp .LP 有効化、無効化、リフレッシュ、再起動要求など、このサービスに対する管理操作は、\fBsvcadm\fR(1M) を使用して実行できます。次に示す承認を割り当てられたユーザーは、これらの操作を実行できます。 .sp .in +2 .nf solaris.smf.manage.ipsec .fi .in -2 .sp .sp .LP \fBauths\fR(1)、\fBuser_attr\fR(4)、\fBrbac\fR(5) を参照してください。 .sp .LP \fBipsecalgs\fR \fBsmf\fR(5) サービスにはユーザーが構成できるプロパティーはありません。 .sp .LP \fBsmf\fR(5) フレームワークは、サービス固有のログファイルにエラーを記録します。\fBlogfile\fR プロパティーを調べるには、次のいずれかのコマンドを使用します。 .sp .in +2 .nf example# \fBsvcs -l ipsecalgs\fR example# \fBsvcprop ipsecalgs\fR example# \fBsvccfg -s ipsecalgs listprop\fR .fi .in -2 .sp .sp .LP このコマンドは、動作するために \fBsys_ip_config\fR 権限が必要であり、したがって大域ゾーンおよび排他的 IP ゾーンで実行できます。すべての共有 IP ゾーンは同じ利用可能なアルゴリズムのセットを共有しますが、\fBipsecconf\fR(1M) を使用して、さまざまな共有 IP ゾーンで異なるアルゴリズムを使用するシステムポリシーを設定できます。すべての排他的 IP ゾーンには独自のアルゴリズムのセットがあります。