この章では、PPP 認証の設定手順について説明します。ここでは、次の内容を説明します。
ここでは、ダイアルアップリンクに認証を実装する方法について説明しています。これは、ダイアルアップリンクの方が、専用回線リンクよりも認証を設定することが多いためです。企業のセキュリティポリシーにより認証が必要な場合には、専用回線に認証を設定することもできます。専用回線に認証を設定する場合は、この章の手順をガイドラインとして参照してください。
PPP 認証を使用する場合で、どのプロトコルを使用したらいいのかわからないときには、PPP 認証を使用する理由を参照してください。PPP 認証の詳細については、pppd(1M) のマニュアルページおよび 接続時の呼び出し元の認証を参照してください。
次の作業マップに、PPP 認証に関連する作業を示します。
表 33-1 一般的な PPP 認証 (作業マップ)
作業 |
参照先 |
---|---|
PAP 認証を設定する | |
CHAP 認証を設定する |
この節では、パスワード認証プロトコル (PAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、例 — PPP の認証構成の例を使用して、ダイアルアップリンクで PAP を動作させる方法について説明します。PAP 認証を実装する場合は、この手順を基準として使用してください。
以降の手順を実行する前に、次の作業を終了しておく必要があります。
ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ダイアルインサーバーでの認証に備えて、LDAP、NIS、またはローカルファイルなどでネットワークパスワードデータベースを管理しているマシンに対するスーパーユーザーとしてのアクセス権を取得することが理想的です。
ローカルマシン、およびダイアルインサーバーまたはダイアルアウトマシンに対するスーパーユーザーとしての権限を取得します。
次の作業マップに、ダイアルインサーバーおよびダイアルアウトマシン上の信頼できる呼び出し元に対して実行する PAP 関連の作業を示します。
表 33-2 PAP 認証についての作業マップ (ダイアルインサーバー)
作業 |
説明 |
参照先 |
---|---|---|
1. 構成前の情報を収集する |
ユーザー名など、認証に必要なデータを収集する | |
2. 必要に応じて、パスワードデータベースを更新する |
候補となるすべての呼び出し元が、サーバーのパスワードデータベースに含まれていることを確認する | |
3. PAP データベースを作成する |
将来接続する可能性のあるすべての呼び出し元のセキュリティ資格を /etc/ppp/pap-secrets に作成する | |
4. PPP の構成ファイルを変更する |
PAP 特有のオプションを /etc/ppp/options と /etc/ppp/peers/peer-name に追加する |
表 33-3 PAP 認証についての作業マップ (ダイアルアウトマシン)
作業 |
説明 |
参照先 |
---|---|---|
1. 構成前の情報を収集する |
ユーザー名など、認証に必要なデータを収集する | |
2. 信頼できる呼び出し元のマシン用の PAP データベースを作成する |
信頼できる呼び出し元のセキュリティ資格と、必要であれば、ダイアルアウトマシンを呼び出す他のユーザーのセキュリティ資格を /etc/ppp/pap-secrets に作成する | |
3. PPP の構成ファイルを変更する |
PAP 特有のオプションを /etc/ppp/options と /etc/ppp/peers/peer-name に追加する |
PAP 認証を設定するには、次の手順に従う必要があります。
PAP 資格データベースを作成します。
PAP をサポートするように PPP 構成ファイルを変更します。
ここでは、/etc/ppp/pap-secrets ファイルを変更します。このファイルには、接続時に呼び出し元の認証に使用する PAP セキュリティ資格が含まれています。PPP リンクを行う両方のマシンに /etc/ppp/pap-secrets が必要です。
図 30–3 で紹介した PAP 構成のサンプルでは、PAP の login オプションが使用されています。このオプションを使用する場合は、ネットワークのパスワードデータベースも更新する必要がある可能性があります。login オプションの詳細については、/etc/ppp/pap-secrets での login オプションの使用を参照してください。
候補となる信頼できる呼び出し元のリストを作成します。信頼できる呼び出し元とは、自分のリモートマシンからダイアルインサーバーを呼び出す権限を与えられているユーザーです。
ダイアルインサーバーのパスワードデータベースに、信頼できる呼び出し元全員の UNIX ユーザー名およびパスワードがあることを確認します。
この確認は、この PAP 構成のサンプルにとって重要です。このサンプルでは、呼び出し元の認証に、PAP のlogin オプションを使用しています。PAP に login を実装しない場合は、呼び出し元の PAP ユーザー名と UNIX ユーザー名を一致させる必要はありません。標準の /etc/ppp/pap-secrets については、/etc/ppp/pap-secrets ファイルを参照してください。
候補となる信頼できる呼び出し元に UNIX 名とパスワードがない場合は、次の手順に従います。
ダイアルインサーバーのスーパーユーザーとなり、/etc/ppp/pap-secrets ファイルを編集します。
Solaris PPP 4.0 では、/etc/ppp に pap-secrets ファイルがあります。このファイルには、PAP 認証の使用方法についてのコメントが含まれています。ただし、オプションについてのコメントは含まれていません。コメントの最後に、次のオプションを追加することができます。
# user1 myserver "" * user2 myserver "" * myserver user2 serverpass * |
/etc/ppp/pap-secrets の login オプションを使用するには、信頼できる呼び出し元の UNIX 名をすべて入力する必要があります。3 番目のフィールドのどこに二重引用符 (" ") が記述されても、呼び出し元のパスワードは、サーバーのパスワードデータベースで参照できます。
エントリ myserver * serverpass * には、ダイアルインサーバー用の PAP ユーザー名およびパスワードが含まれています。図 30–3 では、信頼できる呼び出し元である user2 は、リモートピアに認証を要求します。そのため、myserver の /etc/ppp/pap-secrets ファイルには、user2 との接続を確立する場合に使用する PAP 資格が含まれています。
作業 |
参照先 |
---|---|
PPP 構成ファイルを変更し、PAP 認証をサポートする | |
信頼できる呼び出し元のダイアルアウトマシンで、PAP 認証を設定する |
この節では、ダイアルインサーバーで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
ここでは、シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)で紹介した PPP 構成ファイルを例として使用します。
ダイアルインサーバーにスーパーユーザーとしてログインします。
認証オプションを /etc/ppp/options ファイルに追加します。
たとえば、既存の /etc/ppp/options ファイルに、次の太字のオプションを追加すると、PAP 認証を実装することができます。
lock idle 120 nodefaultroute name myserver auth require-pap user myserver remotename user2 login |
シリアル回線を介した通信を定義する方法の説明に従って、/etc/ppp/options.ttyname ファイルを作成します。
ダイアルインサーバーのユーザーを構成する方法の説明に従って、リモート呼び出し元の $HOME/.ppprc ファイルをそれぞれ設定します。
作業 |
参照先 |
---|---|
ダイアルインサーバーの信頼できる呼び出し元の PAP 認証資格を設定する |
この節では、信頼できる呼び出し元のダイアルアウトマシンで、PAP 認証を設定する手順について説明します。システム管理者は、システムで PAP 認証を設定し、それらを将来接続する可能性のある呼び出し元に配布することができます。また、リモート呼び出し元にすでにマシンがある場合は、この節の手順を指示することもできます。
信頼できる呼び出し元に PAP を設定するには、次の 2 つの手順を実行します。
呼び出し元の PAP セキュリティ資格を設定します。
呼び出し元のダイアルアウトマシンが PAP 認証をサポートするように設定します。
ここでは、2 人の信頼できる呼び出し元の PAP 資格を設定する方法について説明します。これらのうちの 1 人は、リモートピアに認証資格を要求します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで PAP 資格を作成することを前提にしています。
ダイアルアウトマシンのスーパーユーザーになります。
図 30–3 で紹介した PAP 構成のサンプルでは、user1 がダイアルアウトマシンを所有しています。
呼び出し元の pap-secrets データベースを変更します。
Solaris PPP 4.0 には、/etc/ppp/pap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。次のオプションをこの /etc/ppp/pap-secrets ファイルに追加できます。
# user1 myserver pass1 * |
user1 のパスワードである pass1 は、接続を通して、読み取り可能な ASCII 形式になることに注意してください。myserver は、呼び出し元 user1 がピアで使用する名前です。
他のダイアルアウトマシンのスーパーユーザーになります。
PAP 認証の例では、呼び出し元 user2 がこのダイアルアウトマシンを所有しています。
呼び出し元の pap-secrets データベースを変更します。
次のオプションを既存の /etc/ppp/pap-secrets ファイルの終わりに追加できます。
# user2 myserver pass2 * myserver user2 serverpass * |
この例では、/etc/ppp/pap-secrets に 2 つのエントリがあります。最初のエントリには、user2 が認証のためにダイアルインサーバー myserver に渡す PAP セキュリティ資格が含まれています。
user2 は、接続のネゴシエーションの一部として、ダイアルインサーバーに PAP 資格を要求します。そのため、/etc/ppp/pap-secrets の 2 つ目の行に、myserver に要求される PAP 資格も含まれています。
ほとんどのISP は認証資格を提供しないため、ここで検討しているシナリオは、ISP との通信に関しては現実的ではありません。
作業 |
参照先 |
---|---|
その他の呼び出し元に、PAP 資格を作成する | |
ダイアルアウトマシンが PAP 認証をサポートするように設定する |
以下の作業は、信頼できる呼び出し元のダイアルアウトマシンで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
ここでは、次のパラメータを使用して、図 30–3 で紹介した user2 が所有するダイアルアウトマシン上で、PAP 認証を設定します。user2 は、ダイアルイン myserver からの呼び出しを含む着信呼び出し元に、認証を要求します。
ここでは、シリアル回線を介した通信を定義する方法で紹介した PPP 構成ファイルを例として使用します。この手順に従って、図 30–3 で示した user2 が所有するダイアルアウトマシンを設定します。
ダイアルアウトマシンにスーパーユーザーとしてログインします。
次の /etc/ppp/options ファイルには、太字で示した PAP サポート用のオプションが含まれています。
#vi /etc/ppp/options lock nodefaultroute name user2 auth require-pap |
リモートマシン myserver 用の /etc/ppp/peers/peer-name ファイルを作成します。
次のサンプルは、個々のピアとの接続を定義する方法で作成した既存の /etc/ppp/peers/myserver ファイルに、PAP サポートを追加する方法を示しています。
# cd /etc/ppp # mkdir peers # cd peers # vi myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat" |
太字で示した新しいオプションにより、ピア myserver に関する PAP 要件が追加されます。
user user2 |
user2 をローカルマシンのユーザー名として定義する |
remotename myserver |
myserver をローカルマシンに認証資格を要求するピアとして定義する |
作業 |
参照先 |
---|---|
ダイアルインサーバーを呼び出して、PAP 認証の設定をテストする |
ダイアルインサーバーを呼び出す手順については、ダイアルインサーバーの呼び出し方法 を参照 |
PAP 認証の詳細を理解する |
この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、図 30–4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。CHAP 認証を実装する場合は、この手順を基準として使用してください。
以降の手順を実行する前に、次の作業を終了しておく必要があります。
ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ローカルマシン (ダイアルインサーバーまたはダイアルアウトマシン) に対するスーパーユーザーとしてのアクセス権を取得します。
作業 |
説明 |
参照先 |
---|---|---|
1. CHAP シークレットをすべての信頼できる呼び出し元に割り当てる |
CHAP シークレットを作成する、または呼び出し元に作成させる | |
2. chap-secrets データベースを作成する |
すべての信頼できる呼び出し元のセキュリティ資格を /etc/ppp/chap-secrets ファイルに追加する | |
3. PPP の構成ファイルを変更する |
CHAP 特有のオプションを /etc/ppp/options と /etc/ppp/peers/peer-name に追加する |
表 33-5 CHAP 認証についての作業マップ (ダイアルアウトマシン)
作業 |
説明 |
参照先 |
---|---|---|
1. 信頼できる呼び出し元のマシン用の CHAP データベースを作成する |
信頼できる呼び出し元のセキュリティ資格と、必要であれば、ダイアルアウトマシンを呼び出す他のユーザーのセキュリティ資格を /etc/ppp/chap-secrets に作成する | |
2. PPP の構成ファイルを変更する |
CHAP 特有のオプションを /etc/ppp/options ファイルに追加する |
CHAP 認証を設定するには、最初に /etc/ppp/chap-secrets ファイルを変更します。このファイルには、CHAP シークレットを含む CHAP セキュリティ資格が含まれています。このセキュリティ資格を使用して、接続時に呼び出し元を認証します。
UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、PAP 資格データベースの作成方法 (ダイアルインサーバー)で説明したような PPP login オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。
次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。
信頼できる呼び出し元のユーザー名をすべて含むリストを作成します。信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。
各ユーザーに CHAP シークレットを割り当てます。
CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。
CHAP シークレットを割り当てる方法は、企業のセキュリティポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。
ダイアルインサーバーのスーパーユーザーとなり、/etc/ppp/chap-secrets ファイルを変更します。
Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加することができます。
account1 CallServe key123 * account2 CallServe key456 * |
key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。
作業 |
参照先 |
---|---|
その他の信頼できる呼び出し元に、CHAP 資格を作成する | |
PPP 構成ファイルを更新し、CHAP をサポートする | |
信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する |
この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
ダイアルインサーバーにスーパーユーザーとしてログインします。
/etc/ppp/options ファイルを変更します。
太字で表示されているオプションを追加して、CHAP がサポートされるようにします。
# vi /etc/ppp/options lock nodefaultroute name CallServe auth require-chap |
name CallServe |
CallServe をローカルマシン上のユーザーの CHAP 名として定義する。この場合、ローカルマシンはダイアルインサーバーである |
auth |
ローカルマシンで呼び出し元を認証してから、接続を確立する |
require-chap |
信頼できる呼び出し元をサポートするために必要なその他の PPP 構成ファイルを作成します。
ダイアルインサーバーのユーザーを構成する方法および シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)を参照してください。
作業 |
参照先 |
---|---|
信頼できる呼び出し元の CHAP 認証資格を設定する |
この節では、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順について説明します。企業のセキュリティポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。
リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイルに記述されている CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。
信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。
呼び出し元の CHAP セキュリティ資格を作成します。
呼び出し元のダイアルアウトマシンが CHAP 認証をサポートするように設定します。
ここでは、2 人の信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。
ダイアルアウトマシンのスーパーユーザーになります。
例 — CHAP 認証による構成の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。
chap-secrets データベースを呼び出し元 account1 用に変更します。
Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。
# account1 CallServe key123 * |
CallServe は、account1 がアクセスを試みているピアの名前です。key123 は、account1 と CallServer 間での接続に使用する CHAP シークレットです。
他のダイアルアウトマシンのスーパーユーザーになります。
呼び出し元 account2 がこのマシンを所有しているとします。
/etc/ppp/chap-secrets データベースを呼び出し元 account2 用に変更します。
# account2 CallServe key456 * |
account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。
作業 |
参照先 |
---|---|
信頼できる呼び出し元のダイアルアウトマシンで、CHAP 資格を作成する | |
ダイアルアウトマシンが CHAP 認証をサポートするように設定する |
次の手順に従って、例 — CHAP 認証による構成で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。
ダイアルアウトマシンにスーパーユーザーとしてログインします。
/etc/ppp/options ファイルが次のオプションを持つことを確認します。
# vi /etc/ppp/options lock nodefaultroute |
リモートマシン CallServe 用の /etc/ppp/peers/peer-name ファイルを作成します。
# mkdir /etc/ppp/peers # vi CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat" |
オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルの他のオプションについては、個々のピアとの接続を定義する方法の /etc/ppp/peers/myserver ファイルにある同様のオプションの説明を参照してください。
作業 |
参照先 |
---|---|
ダイアルインサーバーを呼び出して、CHAP 認証をテストする | |
CHAP 認証の詳細を理解する |