Red Hat Summit2.4.2.2. Konfiguration
Speicherorte
Dieser Abschnitt erläutert die Dateien und Verzeichnisse, die zur Konfiguration von Openswan wichtig sind.
/etc/ipsec.d- Hauptverzeichnis. Speichert die Dateien im Zusammenhang mit Openswan./etc/ipsec.conf- Hauptkonfigurationsdatei. Weitere*.conf-Konfigurationsdateien für individuelle Konfigurationen können in/etc/ipsec.derstellt werden./etc/ipsec.secrets- Hauptgeheimnisdatei. Weitere*.secrets-Dateien für individuelle Konfigurationen können in/etc/ipsec.derstellt werden./etc/ipsec.d/cert*.db- Zertifikatsdatenbankdateien. Die alte standardmäßige NSS-Datenbankdatei istcert8.db. Ab Red Hat Enterprise Linux 6 werden NSS SQLite-Datenbanken in dercert9.db-Datei verwendet./etc/ipsec.d/key*.db- Schlüssedatenbankdateien. Die alte standardmäßige NSS-Datenbankdatei istkey3.db. Ab Red Hat Enterprise Linux 6 werden NSS SQLite-Datenbanken in dercert9.db-Datei verwendet./etc/ipsec.d/cacerts- Speicherort für Zertifikate von Zertifikatsstellen (auch Certificate Authorities, kurz CA)./etc/ipsec.d/certs- Speicherort für Benutzerzertifikate. Nicht notwendig bei der Verwendung von NSS./etc/ipsec.d/policies- Gruppenrichtlinien. Richtlinien können als block, clear, clear-or-private, private oder private-or-clear definiert werden./etc/ipsec.d/nsspassword- NSS-Passwortdatei. Diese Datei ist standardmäßig nicht vorhanden, wird jedoch benötigt, falls die NSS-Datenbank mit einem Passwort erstellt wird.
Konfigurationsparameter
Dieser Abschnitt listet einige der verfügbaren Konfigurationsoptionen auf, von denen die meisten in /etc/ipsec.conf gespeichert werden.
protostack- definert den verwendeten Protokollstapel. Die standardmäßige Option in Red Hat Enterprise Linux 6 ist netkey. Andere gültige Werte sind auto, klips und mast.nat_traversal- definiert, ob NAT für Verbindungen akzeptiert wird. Standardmäßig ist dies nicht der Fall.dumpdir- definiert den Speicherort für Speicherauszugsdateien.nhelpers- falls NSS eingesetzt wird, definiert dies die Anzahl der Threads, die für kryptografische Operationen verwendet werden. Falls NSS nicht eingesetzt wird, definiert dies die Anzahl der Prozesse, die für kryptografische Operationen verwendet werden.virtual_private- erlaubte Subnetze für die Client-Verbindung. Bereiche, die sich hinter einem NAT-Router befinden können, über den ein Client verbindet.plutorestartoncrash- standardmäßig auf "yes" gesetzt.plutostderr- Pfad zum Puto-Fehlerprotokoll. Verweist standardmäßig auf den syslog-Speicherort.connaddrfamily- kann entweder auf ipv4 oder ipv6 gesetzt werden.
Weitere Details über die Openswan-Konfiguration finden Sie auf der
ipsec.conf(5)-Handbuchseite.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}