8322 nl: misleading-indentation
[unleashed/tickless.git] / usr / src / man / man1m / in.iked.1m
blobf0bca2a63fa08527dd929afcdf56704ff8c5f723
1 '\" te
2 .\" Copyright (C) 2009, Sun Microsystems, Inc. All Rights Reserved
3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
6 .TH IN.IKED 1M "Jan 27, 2009"
7 .SH NAME
8 in.iked \- daemon for the Internet Key Exchange (IKE)
9 .SH SYNOPSIS
10 .LP
11 .nf
12 \fB/usr/lib/inet/in.iked\fR [\fB-d\fR] [\fB-f\fR \fIfilename\fR] [\fB-p\fR \fIlevel\fR]
13 .fi
15 .LP
16 .nf
17 \fB/usr/lib/inet/in.iked\fR \fB-c\fR [\fB-f\fR \fIfilename\fR]
18 .fi
20 .SH DESCRIPTION
21 .sp
22 .LP
23 \fBin.iked\fR performs automated key management for IPsec using the Internet
24 Key Exchange (\fBIKE\fR) protocol.
25 .sp
26 .LP
27 \fBin.iked\fR implements the following:
28 .RS +4
29 .TP
30 .ie t \(bu
31 .el o
32 \fBIKE\fR authentication with either pre-shared keys, \fBDSS\fR signatures,
33 \fBRSA\fR signatures, or \fBRSA\fR encryption.
34 .RE
35 .RS +4
36 .TP
37 .ie t \(bu
38 .el o
39 Diffie-Hellman key derivation using either \fB768\fR, \fB1024\fR, or
40 \fB1536\fR-bit public key moduli.
41 .RE
42 .RS +4
43 .TP
44 .ie t \(bu
45 .el o
46 Authentication protection with cipher choices of \fBAES\fR, \fBDES\fR,
47 Blowfish, or \fB3DES\fR, and hash choices of either \fBHMAC-MD5\fR or
48 \fBHMAC-SHA-1\fR. Encryption in \fBin.iked\fR is limited to the \fBIKE\fR
49 authentication and key exchange. See \fBipsecesp\fR(7P) for information
50 regarding IPsec protection choices.
51 .RE
52 .sp
53 .LP
54 \fBin.iked\fR is managed by the following \fBsmf\fR(5) service:
55 .sp
56 .in +2
57 .nf
58 svc:/network/ipsec/ike
59 .fi
60 .in -2
61 .sp
63 .sp
64 .LP
65 This service is delivered disabled because the configuration file needs to be
66 created before the service can be enabled. See \fBike.config\fR(4) for the
67 format of this file.
68 .sp
69 .LP
70 See "Service Management Facility" for information on managing the \fBsmf\fR(5)
71 service.
72 .sp
73 .LP
74 \fBin.iked\fR listens for incoming \fBIKE\fR requests from the network and for
75 requests for outbound traffic using the \fBPF_KEY\fR socket. See
76 \fBpf_key\fR(7P).
77 .sp
78 .LP
79 \fBin.iked\fR has two support programs that are used for IKE administration and
80 diagnosis: \fBikeadm\fR(1M) and \fBikecert\fR(1M).
81 .sp
82 .LP
83 The \fBikeadm\fR(1M) command can read the \fB/etc/inet/ike/config\fR file as a
84 \fBrule\fR, then pass the configuration information to the running
85 \fBin.iked\fR daemon using a doors interface.
86 .sp
87 .in +2
88 .nf
89 example# \fBikeadm read rule /etc/inet/ike/config\fR
90 .fi
91 .in -2
92 .sp
94 .sp
95 .LP
96 Refreshing the \fBike\fR \fBsmf\fR(5) service provided to manage the
97 \fBin.iked\fR daemon sends a \fBSIGHUP\fR signal to the \fBin.iked\fR daemon,
98 which will (re)read \fB/etc/inet/ike/config\fR and reload the certificate
99 database.
102 The preceding two commands have the same effect, that is, to update the running
103 IKE daemon with the latest configuration. See "Service Management Facility" for
104 more details on managing the \fBin.iked\fR daemon.
105 .SS "Service Management Facility"
108 The IKE daemon (\fBin.iked\fR) is managed by the service management facility,
109 \fBsmf\fR(5). The following group of services manage the components of IPsec:
111 .in +2
113 svc:/network/ipsec/ipsecalgs   (See ipsecalgs(1M))
114 svc:/network/ipsec/policy      (See ipsecconf(1M))
115 svc:/network/ipsec/manual-key  (See ipseckey(1M))
116 svc:/network/ipsec/ike         (see ike.config(4))
118 .in -2
123 The manual-key and \fBike\fR services are delivered \fBdisabled\fR because the
124 system administrator must create configuration files for each service, as
125 described in the respective man pages listed above.
128 The correct administrative procedure is to create the configuration file for
129 each service, then enable each service using \fBsvcadm\fR(1M).
132 The \fBike\fR service has a dependency on the \fBipsecalgs\fR and \fBpolicy\fR
133 services. These services should be enabled before the \fBike\fR service.
134 Failure to do so results in the \fBike\fR service entering maintenance mode.
137 If the configuration needs to be changed, edit the configuration file then
138 refresh the service, as follows:
140 .in +2
142 example# \fBsvcadm refresh ike\fR
144 .in -2
149 The following properties are defined for the \fBike\fR service:
151 .ne 2
153 \fB\fBconfig/admin_privilege\fR\fR
155 .sp .6
156 .RS 4n
157 Defines the level that \fBikeadm\fR(1M) invocations can change or observe the
158 running \fBin.iked\fR. The acceptable values for this property are the same as
159 those for the \fB-p\fR option. See the description of \fB-p\fR in
160 \fBOPTIONS\fR.
164 .ne 2
166 \fB\fBconfig/config_file\fR\fR
168 .sp .6
169 .RS 4n
170 Defines the configuration file to use. The default value is
171 \fB/etc/inet/ike/config\fR. See \fBike.config\fR(4) for the format of this
172 file. This property has the same effect as the \fB-f\fR flag. See the
173 description of \fB-f\fR in \fBOPTIONS\fR.
177 .ne 2
179 \fB\fBconfig/debug_level\fR\fR
181 .sp .6
182 .RS 4n
183 Defines the amount of debug output that is written to the \fBdebug_logfile\fR
184 file, described below. The default value for this is \fBop\fR or
185 \fBoperator\fR. This property controls the recording of information on events
186 such as re-reading the configuration file. Acceptable value for
187 \fBdebug_level\fR are listed in the \fBikeadm\fR(1M) man page. The value
188 \fBall\fR is equivalent to the \fB-d\fR flag. See the description of \fB-d\fR
189 in \fBOPTIONS\fR.
193 .ne 2
195 \fB\fBconfig/debug_logfile\fR\fR
197 .sp .6
198 .RS 4n
199 Defines where debug output should be written. The messages written here are
200 from debug code within \fBin.iked\fR. Startup error messages are recorded by
201 the \fBsmf\fR(5) framework and recorded in a service-specific log file. Use any
202 of the following commands to examine the \fBlogfile\fR property:
204 .in +2
206 example# \fBsvcs -l ike\fR
207 example# \fBsvcprop ike\fR
208 example# \fBsvccfg -s ike listprop\fR
210 .in -2
213 The values for these log file properties might be different, in which case both
214 files should be inspected for errors.
218 .ne 2
220 \fB\fBconfig/ignore_errors\fR\fR
222 .sp .6
223 .RS 4n
224 A boolean value that controls \fBin.iked\fR's behavior should the configuration
225 file have syntax errors. The default value is \fBfalse\fR, which causes
226 \fBin.iked\fR to enter maintenance mode if the configuration is invalid.
228 Setting this value to \fBtrue\fR causes the IKE service to stay online, but
229 correct operation requires the administrator to configure the running daemon
230 with \fBikeadm\fR(1M). This option is provided for compatibility with previous
231 releases.
236 These properties can be modified using \fBsvccfg\fR(1M) by users who have been
237 assigned the following authorization:
239 .in +2
241 solaris.smf.value.ipsec
243 .in -2
248 PKCS#11 token objects can be unlocked or locked by using \fBikeadm\fR token
249 login and \fBikeadm\fR token logout, respectively. Availability of private
250 keying material stored on these PKCS#11 token objects can be observed with:
251 \fBikeadm dump certcache\fR. The following authorizations allow users to log
252 into and out of PKCS#11 token objects:
254 .in +2
256 solaris.network.ipsec.ike.token.login
257 solaris.network.ipsec.ike.token.logout
259 .in -2
264 See \fBauths\fR(1), \fBikeadm\fR(1M), \fBuser_attr\fR(4), \fBrbac\fR(5).
267 The service needs to be refreshed using \fBsvcadm\fR(1M) before a new property
268 value is effective. General, non-modifiable properties can be viewed with the
269 \fBsvcprop\fR(1) command.
271 .in +2
273 # \fBsvccfg -s ipsec/ike setprop config/config_file = \e
274 /new/config_file\fR
275 # \fBsvcadm refresh ike\fR
277 .in -2
282 Administrative actions on this service, such as enabling, disabling,
283 refreshing, and requesting restart can be performed using \fBsvcadm\fR(1M). A
284 user who has been assigned the authorization shown below can perform these
285 actions:
287 .in +2
289 solaris.smf.manage.ipsec
291 .in -2
296 The service's status can be queried using the \fBsvcs\fR(1) command.
299 The \fBin.iked\fR daemon is designed to be run under \fBsmf\fR(5) management.
300 While the \fBin.iked\fR command can be run from the command line, this is
301 discouraged. If the \fBin.iked\fR command is to be run from the command line,
302 the \fBike\fR \fBsmf\fR(5) service should be disabled first. See
303 \fBsvcadm\fR(1M).
304 .SH OPTIONS
307 The following options are supported:
309 .ne 2
311 \fB\fB-c\fR\fR
313 .RS 15n
314 Check the syntax of a configuration file.
318 .ne 2
320 \fB\fB-d\fR\fR
322 .RS 15n
323 Use debug mode. The process stays attached to the controlling terminal and
324 produces large amounts of debugging output. This option is deprecated. See
325 "Service Management Facility" for more details.
329 .ne 2
331 \fB\fB-f\fR \fIfilename\fR\fR
333 .RS 15n
334 Use \fIfilename\fR instead of \fB/etc/inet/ike/config\fR. See
335 \fBike.config\fR(4) for the format of this file. This option is deprecated. See
336 "Service Management Facility" for more details.
340 .ne 2
342 \fB\fB-p\fR \fIlevel\fR\fR
344 .RS 15n
345 Specify privilege level (\fIlevel\fR). This option sets how much
346 \fBikeadm\fR(1M) invocations can change or observe about the running
347 \fBin.iked\fR.
349 Valid \fIlevels\fR are:
351 .ne 2
353 \fB0\fR
355 .RS 5n
356 Base level
360 .ne 2
362 \fB1\fR
364 .RS 5n
365 Access to preshared key info
369 .ne 2
371 \fB2\fR
373 .RS 5n
374 Access to keying material
377 If \fB-p\fR is not specified, \fIlevel\fR defaults to \fB0\fR.
379 This option is deprecated. See "Service Management Facility" for more details.
382 .SH SECURITY
385 This program has sensitive private keying information in its image. Care should
386 be taken with any core dumps or system dumps of a running \fBin.iked\fR daemon,
387 as these files contain sensitive keying information. Use the \fBcoreadm\fR(1M)
388 command to limit any corefiles produced by \fBin.iked\fR.
389 .SH FILES
391 .ne 2
393 \fB\fB/etc/inet/ike/config\fR\fR
395 .sp .6
396 .RS 4n
397 Default configuration file.
401 .ne 2
403 \fB\fB/etc/inet/secret/ike.privatekeys/*\fR\fR
405 .sp .6
406 .RS 4n
407 Private keys. A private key \fBmust\fR have a matching public-key certificate
408 with the same filename in \fB/etc/inet/ike/publickeys/\fR.
412 .ne 2
414 \fB\fB/etc/inet/ike/publickeys/*\fR\fR
416 .sp .6
417 .RS 4n
418 Public-key certificates. The names are only important with regard to matching
419 private key names.
423 .ne 2
425 \fB\fB/etc/inet/ike/crls/*\fR\fR
427 .sp .6
428 .RS 4n
429 Public key certificate revocation lists.
433 .ne 2
435 \fB\fB/etc/inet/secret/ike.preshared\fR\fR
437 .sp .6
438 .RS 4n
439 \fBIKE\fR pre-shared secrets for Phase I authentication.
442 .SH SEE ALSO
445 \fBsvcs\fR(1), \fBcoreadm\fR(1M), \fBikeadm\fR(1M), \fBikecert\fR(1M),
446 \fBsvccfg\fR(1M), \fBsvcadm\fR(1M), \fBike.config\fR(4), \fBattributes\fR(5),
447 \fBsmf\fR(5), \fBipsecesp\fR(7P), \fBpf_key\fR(7P)
450 Harkins, Dan and Carrel, Dave. \fIRFC 2409, Internet Key Exchange (IKE)\fR.
451 Network Working Group. November 1998.
454 Maughan, Douglas, Schertler, M., Schneider, M., Turner, J. \fIRFC 2408,
455 Internet Security Association and Key Management Protocol (ISAKMP)\fR. Network
456 Working Group. November 1998.
459 Piper, Derrell, \fIRFC 2407, The Internet IP Security Domain of Interpretation
460 for ISAKMP\fR. Network Working Group. November 1998.