CHAP 認証の設定

この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、図 16-4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。CHAP 認証を実装する場合は、この手順を基準として使用してください。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ローカルマシン (ダイアルインサーバーまたはダイアルアウトマシン) に対するスーパーユーザーとしてのアクセス権を取得します。

CHAP 認証の設定 (作業マップ)

表 19-4 CHAP 認証についての作業マップ (ダイアルインサーバー)

作業	説明	参照先
1. CHAP シークレットをすべての信頼できる呼び出し元に割り当てる	CHAP シークレットを作成する、または呼び出し元に作成させる	「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
2. chap-secrets データベースを作成する	すべての信頼できる呼び出し元のセキュリティー資格を `/etc/ppp/chap-secrets` ファイルに追加する	「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
3. PPP の構成ファイルを変更する	CHAP 特有のオプションを `/etc/ppp/options` および `/etc/ppp/peers/peer-name` ファイルに追加する	「PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)」

表 19-5 CHAP 認証についての作業マップ (ダイアルアウトマシン)

作業	説明	参照先
1. 信頼できる呼び出し元のマシン用の CHAP データベースを作成する	信頼できる呼び出し元のセキュリティー資格と、必要であれば、ダイアルアウトマシンを呼び出すほかのユーザーのセキュリティー資格を `/etc/ppp/chap-secrets` に作成する	「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
2. PPP の構成ファイルを変更する	CHAP 特有のオプションを `/etc/ppp/options` ファイルに追加する	「PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)」

ダイアルインサーバーに CHAP 認証を構成する

CHAP 認証の設定における最初の作業は、/etc/ppp/chap-secrets ファイルの変更です。このファイルには、CHAP シークレットを含む CHAP セキュリティー資格が含まれています。このセキュリティー資格を使用して、接続時に呼び出し元を認証します。

注 - UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、How to Create a PAP Credentials Database (Dial-in Server)で説明したような PPP 「PAP 資格データベースの作成方法 (ダイアルインサーバー)」オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。

次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

信頼できる呼び出し元のユーザー名をすべて含むリストを作成します。
信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。
各ユーザーに CHAP シークレットを割り当てます。
注 - CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。

CHAP シークレットを割り当てる方法は、企業のセキュリティーポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。
ダイアルインサーバー上で管理者になります。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
/etc/ppp/chap-secrets ファイルを変更します。
このリリースには、/etc/ppp/chap-secrets ファイルが含まれています。このファイルには、役立つコメントが含まれていますが、オプションは含まれていません。サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加できます。
```
account1 CallServe key123 *
account2 CallServe key456 *
```
key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。
key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。

参照

関連情報の参照先は次のとおりです。

「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
「PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)」
「信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)」

PPP 構成ファイルを CHAP 用に変更する (ダイアルインサーバー)

この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

ダイアルインサーバーにスーパーユーザーとしてログインします。
/etc/ppp/options ファイルを変更します。
太字で表示されているオプションを追加して、CHAP がサポートされるようにします。
```
# cat /etc/ppp/options
lock
nodefaultroute
name CallServe
auth
```
name CallServe

CallServe をローカルマシン上のユーザーの CHAP 名として定義する。この場合、ローカルマシンはダイアルインサーバーである

auth

ローカルマシンで呼び出し元を認証してから、接続を確立する
信頼できる呼び出し元をサポートするために必要なその他の PPP 構成ファイルを作成します。
「ダイアルインサーバーのユーザーを構成する方法」および「シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)」を参照してください。

参照

信頼できる呼び出し元の CHAP 認証資格を設定する手順については、「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」を参照してください。

信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)

この節には、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順が含まれています。企業のセキュリティーポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。

リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイル内の CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。

信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。

呼び出し元の CHAP セキュリティー資格を作成します。
呼び出し元のダイアルアウトマシンが CHAP 認証をサポートするように設定します。

信頼できる呼び出し元に CHAP 認証資格を設定する方法

ここでは、2 つの信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。

ダイアルアウトマシン上で管理者になります。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
「CHAP 認証による構成例」の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。
chap-secrets データベースを呼び出し元 account1 用に変更します。
このリリースには、/etc/ppp/chap-secrets ファイルが含まれています。このファイルには、役立つコメントが含まれていますが、オプションは含まれていません。次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。
```
account1 CallServe key123 *
```
CallServe は、account1 が到達を試みているピアの名前です。key123 は、account1 と CallServer 間での接続に使用される CHAP シークレットです。
ダイアルアウトマシン上で管理者になります。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
呼び出し元 account2 がこのマシンを所有しているとします。
/etc/ppp/chap-secrets データベースを呼び出し元 account2 用に変更します。
```
account2 CallServe key456 *
```
account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。

参照

関連情報の参照先は次のとおりです。

「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
「信頼できる呼び出し元に CHAP 認証資格を設定する方法」

CHAP を構成ファイルに追加する (ダイアルアウトマシン)

CHAP 認証の詳細を理解するには、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。次の手順に従って、「CHAP 認証による構成例」で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)

ダイアルアウトマシンにスーパーユーザーとしてログインします。
/etc/ppp/options ファイルが次のオプションを持つことを確認します。
```
# cat /etc/ppp/options
lock
nodefaultroute
```
リモートマシン CallServe 用の /etc/ppp/peers/peer-name ファイルを作成します。
```
# cat /etc/ppp/peers/CallServe
/dev/cua/a
57600
noipdefault
defaultroute
idle 120
user account1
connect "chat -U 'mypassword' -f /etc/ppp/mychat"
```
オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルのほかのオプションの説明については、「個々のピアとの接続を定義する方法」の同様の /etc/ppp/peers/myserver ファイルを参照してください。

参照

ダイアルインサーバーを呼び出して、CHAP 認証をテストする手順については、「ダイアルインサーバーの呼び出し方法」を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris のシステム管理 (ネットワークサービス) Oracle Solaris 11 Information Library (日本語)