test

Solaris のシステム管理 (第 3 巻)

PAP または CHAP セキュリティのための asppp.cf の編集

asppp.cf ファイルを編集することによってセキュリティを設定し、リンクの各部分が、パスワード認証プロトコル (PAP) またはチャレンジハンドシェーク認証プロトコル (CHAP) に応答するかどうかを指定できます。PAP と CHAP については、「PPP のセキュリティ」で説明してます。asppp.cf ファイルを編集するには、一連のキーワードを追加します。この節では、認証システムはリンクまたはチャレンジを開始するシステムであり、これは多くの場合サーバーです。対等システムはリンクの反対側にあるシステムであり、これは多くの場合クライアントです。

追加するキーワードは、require_authenticationwill_do_authentication です。認証システムつまりサーバーは通常、認証を要求し、対等システムつまりクライアントは通常、認証を行います。

表 23-4 認証システムのキーワードと関連の文字列

require_authentication pap

require_authentication chap

pap_peer_id

chap_peer_secret

pap_peer_password

chap_peer_name

表 23-5 対等システムのキーワードと関連の文字列

will_do__authentication pap

will_do_authentication chap

pap_id

chap_secret

pap_password

chap_name

PAP または CHAP のインストール方法

  1. サーバー上のスーパーユーザーになります。

  2. /etc/asppp.cf ファイルを編集します。

  3. リンク上の各マシンについて require_authentication キーワードを追加して、PAP セキュリティと CHAP セキュリティのどちらを使用するかを指定します。

    1. 各 pap キーワードについて、関連の pap_peer_idpap_peer_password 文字列を追加します。

    2. 各 chap キーワードについて、関連の chap_peer_secretchap_peer_name 文字列を追加します。

      これらのキーワードは明示的に指定することも、パスのデフォルト値を使用することもできます。各キーワードによって指定される内容については、表 24-1 を参照してください。また、例 23-1 は、/etc/asppp.cf ファイルの例を示します。

  4. will_do_authentication キーワードを使用して、リンク上で PAP セキュリティまたは CHAP セキュリティを使用する各リモートホストについて、リモートホストの /etc/asppp.cf ファイルにエントリを追加します。

    1. 各 pap キーワードについて、関連の pap_idpap_password 文字列を追加します。

    2. 各 chap キーワードについて、関連の chap_secretchap_name 文字列を追加します。

PAP と CHAP の例

例 23-1 は、PAP と CHAP の認証を必要とするサーバー mojave 用の asppp.cf ファイルを示しています。対等システムは、nomada (PAP) と nomadb (CHAP) です。

例 23-1 サーバー mojave 用のコード例


ifconfig ipdptp0 plumb mojave nomada up
ifconfig ipdptp1 plumb mojave nomanb up
path
      peer_system_name tamerlane
      require_authentication pap  #tells nomada that mojave
                                  #requires pap authentication
      pap_peer_id desert
      pap_peer_password oasis
path
      peer_system_name lawrence
      require_authentication chap  #tells nomadb that mojave
                                   #requires chap authentication
      chap_peer_name another¥sdesert
      chap_peer_secret secret¥soasis¥swith¥007bell

例 23-2 に示された mojave のリモートホスト nomada は、PAP と CHAP の両方を認証しようしています。

例 23-2 リモートホスト nomada 用のコード例


ifconfig ipdptp0 plumb tamerlane mojave up
path
      interface ipdptp0
      peer_system_name mojave
      will_do_authentication chap pap #nomada tells mojave
                                      #that it will do chap and
                                      #pap authentication
      pap_id desert
      pap_password oasis
      chap_name desert¥srain
      chap_secret %$#@7&*(+|`P'12

例 23-3 に示された mojave のリモートホスト nomadb は、CHAP を認証しようしています。

例 23-3 リモートホスト nomadb 用のコード例


ifconfig ipdptp0 plumb nomadb mojave private up
path
     interface ipdptp0
     peer_system_name mojave
     will_do_authentication chap   #nomadb tells mojave that it
                                   #will do chap authentication
     chap_name another¥sdesert
     chap_secret secret¥soasis¥swith¥007bell

通常、CHAP と PAP の両方が構成ファイルに組み込まれていて、サーバーが認証を要求し、リモートホストが認証を行うのが、理想的な形です。ただし、この順序は逆も可能なためリモートホストの方が認証を要求することも可能です。CHAP シークレットは安全な手段で送付する必要があります。これは一般的に手動での解放を含みます。