ipsec コマンド

z/OS® UNIX ipsec コマンドは、ローカル TCP/IP スタックおよび IKE デーモンに関する IP セキュリティー情報、またはローカル NSS サーバーの IPSec ネットワーク管理サービスを使用するネットワーク・セキュリティー・サービス (NSS) IPSec クライアントに関する IP セキュリティー情報を表示し、変更します。 TCP/IP スタックは、スタックの IKE デーモンの構成ファイルに NssStackConfig ステートメントを追加することで NSS IPSec クライアントとして構成できます。詳しくは、「z/OS Communications Server: IP 構成ガイド」を参照してください。 NSS クライアントは、ローカルの z/OS システムまたは別の z/OS システムに常駐できます。

また、ipsec コマンドを使用して、TCP/IP スタックと Defense Manager デーモン (DMD) の条件付きフィルターを表示、追加、管理できます。外部セキュリティー情報とイベント・マネージャーは、通常、検出された侵入に対応して条件付きフィルターを追加します。条件付きフィルターと DMD の詳細については、「z/OS Communications Server: IP 構成ガイド」の防衛フィルタリングについての情報を参照してください。 ipsec コマンドは、ローカル TCP/IP スタックの条件付きフィルター情報、および DMD が条件付きフィルターを管理しているローカル z/OS イメージのすべてのスタックの条件付きフィルター情報を表示し、変更します。

IP セキュリティーは、TCP/IP スタックと IKE デーモン間で共用されるエンティティーのセットを使用して実装されます。使用される用語と概念については、「z/OS Communications Server: IP 構成ガイド」の『IP セキュリティー』に関する情報を参照してください。

以下の IP セキュリティー管理アクティビティーに対して、ipsec コマンドを使用できます。
  • デフォルトまたは現行のフィルター規則の表示、およびスタックが使用しているフィルター規則セットの変更
  • 手動および動的の IPSec トンネルの活動化、非活動化、表示、およびリフレッシュ
  • IKE トンネルの非活動化、表示、およびリフレッシュ
  • セキュリティー・クラスおよび DVIPA ステータスを含めたスタック・インターフェースの表示
  • 2 つの特定エンドポイントの間にある特定タイプのデータ・トラフィックに対して適用するフィルター規則を表示する (条件付きフィルターと IP セキュリティー・フィルターの両方を含む)
  • アクティブ NSS IPSec クライアントの構成情報の表示
  • 各 NSS IPSec クライアントに対する NSS サーバーが保持する情報の表示

ipsec コマンドは、ローカル・ホスト・システムの条件付きフィルターの表示および管理にも使用されます。

制約事項: NSS IPSec クライアントの条件付きフィルターを表示および管理することはできません。

ipsec コマンドは、以下の条件付きフィルター管理アクティビティーに対して使用できます。
  • 条件付きフィルターを特定のスタックに追加するか、すべての有効スタックにグローバルに追加する。(有効スタックとは、IP セキュリティーに対して有効になっているローカル z/OS イメージと、Defense Manager デーモン (DMD) 構成ファイルにあり、モードがアクティブかシミュレートであるローカル z/OS イメージのスタックです。)
  • 特定のスタックにインストールされている条件付きフィルターを表示する。
  • グローバル条件付きフィルターを表示する。
  • 条件付きフィルターを特定のスタックから削除するか、すべての有効スタックからグローバルに削除する。
  • 特定のスタックにインストールされている条件付きフィルターを更新するか、すべての有効スタックにインストールされている条件付きフィルターをグローバルに更新する。
  • 2 つの特定エンドポイントの間にある特定タイプのデータ・トラフィックに対して適用するフィルター規則を表示する (条件付きフィルターと IP セキュリティー・フィルターの両方を含む)
ヒント:
  • セキュアな ipsec コマンドを発行するには、リモート・マシンからセキュア・シェル (SSH) を使用します。
  • DMD では、最大 10 個の ipsec コマンドの同時接続をサポートします。自動化ソリューションでは、ipsec コマンドが連続的に発行され、各 ipsec コマンドの呼び出しごとに Defense Manager デーモン (DMD) への接続が正常にオープンします。

新機能が z/OS Communications Server に追加されると、ipsec コマンドの入力オプションと表示出力が変更される可能性があります。ipsec コマンドの出力を後処理するプログラムは、z/OS Communications Server の保守の導入または以降のリリースのインストールから影響を受けることがあります。「z/OS メッセージおよびインターフェース変更の要約」では、ipsec コマンド・レポートへの変更に関する情報が記載されています。

親トピック: ネットワーク・セキュリティーの管理