/etc/isakmpd.conf ファイル
/etc/isakmpd.conf ファイルに、isakmpd デーモンのオプションを構成することができます。
以下のオプションは、/etc/isakmpd.conf ファイルで使用可能です。
- ログ構成
構文:
このオプションは、ログに記録する必要がある情報の量を決定します。 続いてレベルを設定します。 IKE デーモンは、このオプションを使用してロギングのレベルを指定します。 このレベルには以下の意味があります。none | error | isakmp_events | information- none
- ロギングなし。 これがデフォルトです。
- error
- プロトコル・エラーまたはアプリケーション・プログラミング・インターフェース (API) エラーをログに記録します。
- isakmp_events
- IKE プロトコル・イベントまたはエラーをログに記録します。 問題のデバッグにはこのレベルを使用します。
- information
- プロトコル情報および実装情報をログに記録します。
- 認識されない IP アドレス・ネゴシエーション
- 構文: MAIN_MODE_REQUIRES_IP= YES | NO
- SOCKS4 サーバーの構成
- 構文: mnemonic = value
SOCKS4_PORTNUMオプションはオプションです。 指定しない場合は、デフォルトの SOCKS サーバー・ポート値 1080 が使用されます。 このポート値は、SOCKS サーバーが HTTP サーバーと通信するときに使用されます。mneumonic パラメーターおよび value パラメーターには以下の値を指定できます。SOCKS4_SERVER=サーバー名を指定SOCKS4_PORTNUM=SOCKS サーバー・ポート番号を指定SOCKS4_USERID=ユーザー ID
- LDAP サーバーの構成
- 構文: mnemonic = valueここで、mnemonic および value は次の値にすることができます。
LDAP_SERVER=LDAP サーバー名を指定LDAP_VERSION=LDAP サーバーのバージョン (2 または 3 が可能)LDAP_SERVERPORT=LDAP サーバーのポート番号LDAP_SEARCHTIME=クライアント検索のタイムアウト値
- CRL フェッチ順序
- 構文: CRL_FETCH_ORDER= protocol#, protocol#
ここで、protocol# は
HTTPまたはLDAPです。 - IKEv1 および IKEv2 ポート仕様
- 構文: v1=port-natport,v2=port-natport
活性 (すなわち Dead Peer Detection (DPD)) の構成
- 構文: LIVENESS_CHK_INTERVAL=number_of_seconds
IKEv2 IPsec 構成の LIVENESS_CHK_INTERVAL オプションには、値を秒単位で指定できます。 活性間隔 (Dead Peer Detection (DPD) とも呼ばれる) は、キープアライブ・メッセージを定期的に送信することでエンドポイントまたはピア・ノードのヘルスをモニターするために使用されます。 活性間隔とは、キープアライブ・メッセージ間の期間のことです。 このオプションはデフォルトで無効になっています。
LIVENESS_CHK_INTERVAL オプションに値が設定されると、ikev2d デーモンは、ピア・ノードの使用可能であることを確認するためにキープアライブ・メッセージをピア・ノード相手に送信または交換しなければならないタイミングを、このオプションで決定します。 ノード用に活性を構成するときに、その活性が有効になるのは、そのノードが新規 IKE セキュリティー・アソシエーション (SA) のイニシエーターとして機能する場合に限られます。 ピア・ノードに送信されたキープアライブ・メッセージに対する応答が開始ノードで受信されない場合は、8 秒、16 秒、32 秒、64 秒、128 秒、および 256 秒の時間間隔でキープアライブ・メッセージが開始ノードから再送信されます。 複数回の試行の後でも開始ノードで応答が受信されない場合は、ピア・ノードは非活動であると宣言されます。
- 構文: LIVENESS_CHK_RETRIES=1|2|3|4|5|6
オプションで、IKEv2 IPsec 構成の LIVENESS_CHK_RETRIES オプションにおいて再試行の回数を指定することもできます。 キープアライブ・メッセージが開始ノードから指定の回数だけ送信された後でピア・ノードからの応答が開始ノードで受信されます。 キープアライブ・メッセージの再送信の期間は 8 秒から始まり 256 秒まで指数関数的に延びます。 LIVENESS_CHK_RETRIES オプションは、1 から 6 までの範囲で指定できます。 このオプションが /etc/isakmpd.conf ファイルに指定されていない場合は、デフォルト値 6 が設定されます。
- セキュリティー・アソシエーション (SA) アイドル・タイムアウト構成
- 構文: SA_IDLE_TIMEOUT=number_of_seconds
AIX IPsec 構成では、2 つのピア・ノード間でセキュリティー・アソシエーション (SA) が作成されると、SA の状態が維持したり SA ヘルスをモニターしたりするためにシステム・リソースが使用されます。 SA に関連付けられているピア・ノードが長時間アイドル状態になっている場合 (つまり、インバウンド/アウトバウンド・データ・トラフィックが IPsec トンネルを通過しない場合) は、システム・リソースも長時間アイドル状態になります。
SA_IDLE_TIMEOUT オプションは、アイドル状態の SA を識別します。 指定の期間にわたってアイドル状態になっている SA は、システム・リソースを再利用するために削除されます。 SA_IDLE_TIMEOUT オプションは IKEv2 構成に関してのみ適用できます。 SA_IDLE_TIMEOUT オプションを使用して SA アイドル・タイムアウト間隔 (秒) を設定すると、特定の SA に関して、SA アクティビティーをモニターしたり、この SA を使用して送受信されるデータ・トラフィックをモニターしたりするために、タイマーが作成されます。 指定のタイムアウト間隔で SA を使用してデータ・トラフィックが送受信されない場合、その SA は削除され、関連付けられているピア・ノードに情報メッセージ (削除ペイロード) が送信されて、ピア・ノードから SA を削除するように要求がなされます。 このオプションはデフォルトで無効になっています。
- 再送信試行構成
- 構文: RETRANSMISSION_ATTEMPT=1|2|3|4|5|6|7
オプションで、開始ノードまたは応答ノードで要求またはメッセージが廃棄される前に、キャッシュされた要求メッセージまたは応答メッセージをそのノードから送信する場合の再試行回数を RETRANSMISSION_ATTEMPT オプションで指定できます。 このオプションを指定した場合は、指定した再試行回数に基づいて、メッセージまたは要求が 2 秒、4 秒、8 秒、16 秒、32 秒、および 64 秒の間隔で再送信されます。 このオプションを指定しない場合、または無効な値を指定した場合は、デフォルト値 8 が設定され、デフォルト再送信間隔として 16 秒、32 秒、64 秒、128 秒、および 512 秒が使用されます。