IKE デーモンは、動的 IPSec トンネルを管理し、IP フィルター操作と IPSec のモニターと制御のためのネットワーク管理インターフェース (NMI) を提供します。 IKE デーモンは NMI モニター要求を処理するので、IP フィルター、手動セキュリティー・アソシエーション、または動的セキュリティー・アソシエーション用のモニター・データを収集するために実行している必要があります。
IKE デーモンを構成するには、以下のステップを実行します。
構成データ・セットまたはファイルを見つけるために IKE デーモンが使用する検索順序は、次のとおりです。
さまざまな EBCDIC コード・ページを使用して、構成ファイル内のステートメントを指定することができます。IKED_CODEPAGE 環境変数を使用して、使用したいコード・ページを指定します。デフォルトのコード・ページは IBM-1047 です。
_BPX_JOBNAME について詳しくは、「z/OS UNIX System Services 計画」を参照してください。
PORT
500 UDP IKED
4500 UDP IKED
//IKED PROC
//*
//* IBM Communications Server for z/OS
//* SMP/E distribution name: EZBIKPRC
//*
//* 5650-ZOS Copyright IBM Corp. 2005, 2013
//* Licensed Materials - Property of IBM
//* "Restricted Materials of IBM"
//* Status = CSV2R1
//*
//*
//IKED EXEC PGM=IKED,REGION=0K,TIME=NOLIMIT,
// PARM='ENVAR("_CEE_ENVFILE_S=DD:STDENV")/'
//*
//* Provide environment variables to run with the desired
//* configuration. As an example, the data set or file specified by
//* STDENV could contain:
//*
//* IKED_FILE=/etc/security/iked.conf2
//* IKED_CTRACE_MEMBER=CTIIKE01
//* IKED_CODEPAGE=IBM-1047
//*
//*
//* If you want to include comments in the data set or
//* z/OS UNIX file, specify the _CEE_ENVFILE_COMMENT
//* environment variable as the first environment variable
//* in the data set or file. The value specified for
//* the _CEE_ENVFILE_COMMENT variable is the comment character.
//* For example, if you want to use the pound sign, #, as
//* the comment character, specify this as the first
//* statement:
//* _CEE_ENVFILE_COMMENT=#
//*
//* For information on the above environment variables, refer to the
//* IP Configuration Reference.
//*
//STDENV DD DUMMY
//* Sample MVS data set containing environment variables:
//*STDENV DD DSN=TCPIP.IKED.ENV(IKED),DISP=SHR
//* Sample HFS file containing environment variables:
//*STDENV DD PATH='/etc/security/iked.env',PATHOPTS=(ORDONLY)
//*
//* Output written to stdout and stderr goes to the data set or
//* file specified with SYSPRINT or SYSOUT, respectively.
//SYSPRINT DD SYSOUT=*
//SYSOUT DD SYSOUT=*
サンプルの AT-TLS ポリシーは /usr/lpp/tcpip/samples/pagent_TTLS.conf に収められています。
z/OS スタックに対して、2 つのタイプの IP フィルター・ポリシーを定義できます。
NSS サーバーとの IKE デーモン・トラフィックを許可する IPSECRule 定義を含むデフォルト・ポリシーの例は、次のとおりです。
IPSEC LOGENable
; Rule SrcAddr DstAddr Logging Protocol SrcPort DestPort Routing Secclass
; OSPF protocol used by Omproute
IPSECRule * * NOLOG PROTO OSPF
; IGMP protocol used by Omproute
IPSECRule * * NOLOG PROTO 2
; DNS queries to UDP port 53
IPSECRule * * NOLOG PROTO UDP SRCPort * DESTport 53
; Administrative access
IPSECRule * 9.1.1.2 LOG SECCLASS 100
; IKE daemon access to the Network Security Server
IPSECRule * * LOG TCP SRCPort * DESTport 4159
; IKE daemon access to the Network Security Server
IPSEC6Rule * * LOG TCP SRCPort * DESTport 4159
ENDIPSEC
IKE デーモンと NSS サーバーとの通信を許可する、IPv4 用の IpFilterRule ステートメント、IPv6 用の IpFilterRule ステートメント、および IpGenericFilterAction ステートメントの例は、次のとおりです。
IpFilterRule NssTrafficIPv4
{
IpSourceAddr all4
IpDestAddr all4
IpService
{
SourcePortRange 1024 65535
DestinationPortRange 4159
Protocol tcp
Direction bidirectional OutboundConnect
Routing local
}
IpGenericFilterActionRef permit-nolog
}
IpFilterRule NssTrafficIPv6
{
IpSourceAddr all6
IpDestAddr all6
IpService
{
SourcePortRange 1024 65535
DestinationPortRange 4159
Protocol tcp
Direction bidirectional InboundConnect
Routing local
}
IpGenericFilterActionRef permit-nolog
}
IpGenericFilterAction permit-nolog
{
IpFilterAction permit
IpFilterLogging no
}