IKE デーモンを構成するためのステップ

IKE デーモンは、動的 IPSec トンネルを管理し、IP フィルター操作と IPSec のモニターと制御のためのネットワーク管理インターフェース (NMI) を提供します。 IKE デーモンは NMI モニター要求を処理するので、IP フィルター、手動セキュリティー・アソシエーション、または動的セキュリティー・アソシエーション用のモニター・データを収集するために実行している必要があります。

手順

IKE デーモンを構成するには、以下のステップを実行します。

IKE デーモン構成ファイルを作成します。 /usr/lpp/tcpip/samples/iked.conf に、サンプル構成ファイルを収めてあります。
構成データ・セットまたはファイルを見つけるために IKE デーモンが使用する検索順序は、次のとおりです。
1. 環境変数 IKED_FILE が定義されている場合、IKE デーモンはその値を MVS™ データ・セットまたは z/OS® UNIX ファイルの名前として使用して、構成データにアクセスします。
2. /etc/security/iked.conf
さまざまな EBCDIC コード・ページを使用して、構成ファイル内のステートメントを指定することができます。IKED_CODEPAGE 環境変数を使用して、使用したいコード・ページを指定します。デフォルトのコード・ページは IBM-1047 です。
_BPX_JOBNAME 環境変数を設定します (オプション)。 z/OS シェルから IKE デーモンを開始するときは、環境変数 _BPX_JOBNAME を設定してください。これにより、IKE デーモン用のポートを予約するときに、特定のジョブ名を使用できるようになります。この名前は、STOP または MODIFY コンソール・コマンドでも使用できます。
_BPX_JOBNAME について詳しくは、「z/OS UNIX System Services 計画」を参照してください。
ポートを予約します。 PROFILE.TCPIP 内の PORT ステートメントを更新して、IKE デーモン用にポート 500 および 4500 を予約します。IKE デーモン・カタログ式プロシージャーを含むメンバーの名前、または _BPX_JOBNAME を使用して設定された名前を追加します。
```
PORT
                 500 UDP IKED
                 4500 UDP IKED
```

IKE デーモン・カタログ式プロシージャーを更新します。 IKE デーモンをプロシージャーにより開始する場合は、SEZAINST(IKED) 内の以下のサンプルをシステムまたは認識される PROCLIB にコピーすることにより、カタログ式プロシージャーを作成します。IKE デーモン・パラメーターを指定し、使用しているローカル構成に合わせてデータ・セット名を変更してください。

//IKED     PROC
//*
//* IBM Communications Server for z/OS
//* SMP/E distribution name: EZBIKPRC
//*
//* 5650-ZOS Copyright IBM Corp. 2005, 2013
//* Licensed Materials - Property of IBM
//* "Restricted Materials of IBM"
//* Status = CSV2R1
//*
//*
//IKED     EXEC PGM=IKED,REGION=0K,TIME=NOLIMIT,
//       PARM='ENVAR("_CEE_ENVFILE_S=DD:STDENV")/'
//*
//* Provide environment variables to run with the desired
//* configuration.  As an example, the data set or file specified by
//* STDENV could contain:
//*
//*   IKED_FILE=/etc/security/iked.conf2
//*   IKED_CTRACE_MEMBER=CTIIKE01
//*   IKED_CODEPAGE=IBM-1047
//*
//*
//*   If you want to include comments in the data set or
//*   z/OS UNIX file, specify the _CEE_ENVFILE_COMMENT
//*   environment variable as the first environment variable
//*   in the data set or file.  The value specified for
//*   the _CEE_ENVFILE_COMMENT variable is the comment character.
//*   For example, if you want to use the pound sign, #, as
//*   the comment character, specify this as the first
//*   statement:
//*     _CEE_ENVFILE_COMMENT=#
//*
//* For information on the above environment variables, refer to the
//* IP Configuration Reference.
//*
//STDENV   DD DUMMY
//* Sample MVS data set containing environment variables:
//*STDENV   DD DSN=TCPIP.IKED.ENV(IKED),DISP=SHR
//* Sample HFS file containing environment variables:
//*STDENV   DD PATH='/etc/security/iked.env',PATHOPTS=(ORDONLY)
//*
//* Output written to stdout and stderr goes to the data set or
//* file specified with SYSPRINT or SYSOUT, respectively.
//SYSPRINT DD SYSOUT=*
//SYSOUT   DD SYSOUT=*

IKE デーモンを外部セキュリティー・マネージャーに対して許可します。ステップ 3: IKE デーモンを外部セキュリティー・マネージャーに対して許可を参照してください。
syslogd を構成して開始します。 IKE デーモンは、syslogd にメッセージを書き込むときに、local4 機能を使用します。パフォーマンス上の目的により、syslogd では基礎ファイル・システムとして z/OS ファイル・システムを使用する必要があります。 syslogd についての詳細は、syslog デーモンの構成を参照してください。
ヒント: IKE デーモンから別のホストの syslogd にメッセージを転送するように、システム・ロギング・デーモン (syslogd) を構成することができます。別のホストへの syslog メッセージの転送については、「z/OS Communications Server: IP 構成解説書」を参照してください。スタックが NSS クライアントとして構成される場合、IKE デーモンから、NSS サーバーのシステムで実行されている syslogd に syslog メッセージを転送できると便利です。このように syslogd を構成すると、NSS クライアントに関連したすべての IKE メッセージを、NSS サーバーのメッセージと同じログ・ファイル内に入れることができます。
IKE デーモン環境変数を更新します (オプション)。以下の環境変数は IKE デーモンにより使用されるもので、これらは特定のインストール済み環境に合わせて調整できます。
IKED_CODEPAGE

IKED_CODEPAGE 変数を使用して、構成ファイルの読み取り時に使用される EBCDIC コード・ページを指定します。IKE 環境変数およびサポートされるコード・ページについての詳細は、「z/OS Communications Server: IP 構成解説書」を参照してください。

IKED_CTRACE_MEMBER

IKE デーモンは IKED_CTRACE_MEMBER 変数を使用して、IKE デーモンの CTRACE カスタマイズ用の parmlib メンバーを見つけます。IKE デーモン用の TCP/IP サービス・コンポーネント・トレースについて詳しくは、「z/OS Communications Server: IP Diagnosis Guide」を参照してください。

IKED_FILE

IKE デーモンは、IKE デーモン構成ファイルの検索順序の中で IKED_FILE 変数を使用します。この構成ファイルを見つけるために使用する検索順序についての詳細は、ステップ 1 を参照してください。
IKE デーモンを TCP/IP スタック初期化アクセス制御用にセットアップします (オプション)。複数 TCP/IP スタックを参照してください。
IKE デーモンをデジタル署名モード認証用にセットアップします (オプション)。ステップ 6: IKE デーモンをデジタル署名認証用にセットアップ (オプション) を参照してください。
NSS サーバーとの通信を保護する AT-TLS ポリシーを定義します。 IKE デーモンは、NSS サーバーと IKE デーモン間の通信が、Application Transparent Transport Layer Security (AT-TLS) を使用して保護されることを要求します。スタックが NSS クライアントとして構成される場合、この通信を保護するために AT-TLS 規則を定義する必要があります。スタックの AT-TLS 処理を使用可能にするには、TCP/IP プロファイル内の TCPCONFIG ステートメントで TTLS パラメーターを指定します。特定の AT-TLS ポリシーはポリシー・エージェント構成ファイルで構成されます。AT-TLS の使用可能化および AT-TLS ポリシーの構成について詳しくは、Application Transparent Transport Layer Security のデータ保護を参照してください。
ヒント: TLS 暗号化を必要とする暗号スイートのみが NSS サーバーと交換されるように、AT-TLS ポリシーを定義してください。暗号スイートを暗号化を必要とするものに制限できない場合、非トラステッド・ネットワーク全体で機密情報が平文で流出するおそれがあります。

規則: AT-TLS ポリシーは、IKE デーモンが NSS サーバーとの通信に使用するスタックごとに定義する必要があります。

サンプルの AT-TLS ポリシーは /usr/lpp/tcpip/samples/pagent_TTLS.conf に収められています。

規則: TTLSRule ステートメントの RemotePortRange 値には、IKE デーモン構成ファイル内の NetworkSecurityServer port パラメーターまたは NetworkSecurityServerBackup port パラメーターで指定された値が含まれていなければなりません。
NSS サーバーとの通信を可能にする IP フィルター・ポリシーを定義します (オプション)。スタックが NSS クライアントとして構成される場合、この通信を使用可能にするために、そのスタックの IP フィルター・ポリシーを定義する必要があります。 IKE デーモンは、TCP プロトコルを使用して NSS クライアントと通信します。デフォルトでは、NSS サーバーはポート 4159 を listen します。IKE デーモンは、一時ポートを使用して NSS クライアントに接続します。一時ポートは通常、1024 から 65355 の範囲内です。
z/OS スタックに対して、2 つのタイプの IP フィルター・ポリシーを定義できます。
- デフォルトの IP フィルター・ポリシーは TCP/IP プロファイルで定義されます。IKE デーモンと NSS サーバー間の通信を許可するためにデフォルトの IP フィルター・ポリシーを更新することは、オプションです。デフォルトの IP フィルター・ポリシーが有効になるのは、IP セキュリティー・フィルター・ポリシーをロードできない場合、または ipsec -f default コマンドが実行されている場合のみです。デフォルトの IP フィルター・ポリシーの定義方法について詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
  NSS サーバーとの IKE デーモン・トラフィックを許可する IPSECRule 定義を含むデフォルト・ポリシーの例は、次のとおりです。
```
IPSEC LOGENable
; Rule      SrcAddr DstAddr   Logging Protocol   SrcPort    DestPort     Routing Secclass

; OSPF protocol used by Omproute
  IPSECRule *       *         NOLOG   PROTO OSPF

; IGMP protocol used by Omproute
  IPSECRule *       *         NOLOG   PROTO 2

; DNS queries to UDP port 53
  IPSECRule *       *         NOLOG   PROTO UDP  SRCPort *  DESTport 53

; Administrative access
  IPSECRule *       9.1.1.2   LOG                                                SECCLASS 100

; IKE daemon access to the Network Security Server
  IPSECRule *       *         LOG     TCP        SRCPort *  DESTport 4159

; IKE daemon access to the Network Security Server
  IPSEC6Rule *      *         LOG     TCP        SRCPort *  DESTport 4159

ENDIPSEC
```
  規則: フィルター規則内の DESTport 値には、IKE デーモン構成ファイル内で NetworkSecurityServer port パラメーターまたは NetworkSecurityServerBackup port パラメーターに対して指定された値が含まれていなければなりません。
- IP セキュリティー・フィルター・ポリシーは、ポリシー・エージェント構成ファイルで定義されます。 IKE デーモンと NSS サーバー間の通信を許可するには、IP セキュリティー・フィルター・ポリシーを更新する必要があります。 IP セキュリティー・ポリシー・ファイルの定義方法について詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
  IKE デーモンと NSS サーバーとの通信を許可する、IPv4 用の IpFilterRule ステートメント、IPv6 用の IpFilterRule ステートメント、および IpGenericFilterAction ステートメントの例は、次のとおりです。
```
  IpFilterRule             NssTrafficIPv4
  {
      IpSourceAddr             all4
      IpDestAddr               all4
      IpService
      {
         SourcePortRange        1024 65535
         DestinationPortRange   4159
         Protocol               tcp
         Direction              bidirectional OutboundConnect
         Routing                local
      }
      IpGenericFilterActionRef  permit-nolog
  }

  IpFilterRule             NssTrafficIPv6
  {
     IpSourceAddr             all6
     IpDestAddr               all6
     IpService
     {
        SourcePortRange        1024 65535
        DestinationPortRange   4159
        Protocol               tcp
        Direction              bidirectional InboundConnect
        Routing                local
     }
     IpGenericFilterActionRef  permit-nolog
  }

  IpGenericFilterAction     permit-nolog
  {  
     IpFilterAction           permit
     IpFilterLogging          no
  }
```
  規則: IpService ステートメントの DestinationPortRange 値には、IKE デーモン構成ファイル内の NetworkSecurityServer port パラメーターまたは NetworkSecurityServerBackup port パラメーターで指定された値が含まれていなければなりません。