CHAP 認証の設定

この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、図 30–4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。CHAP 認証を実装する場合は、この手順を基準として使用してください。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

• ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。

• ローカルマシン (ダイアルインサーバーまたはダイアルアウトマシン) に対するスーパーユーザーとしてのアクセス権を取得します。

CHAP 認証の設定 (作業マップ)

表 33-4 CHAP 認証についての作業マップ (ダイアルインサーバー)

作業	説明	参照先
1. CHAP シークレットをすべての信頼できる呼び出し元に割り当てる	CHAP シークレットを作成する、または呼び出し元に作成させる	CHAP 資格データベースの作成方法 (ダイアルインサーバー)
2. chap-secrets データベースを作成する	すべての信頼できる呼び出し元のセキュリティ資格を /etc/ppp/chap-secrets ファイルに追加する	CHAP 資格データベースの作成方法 (ダイアルインサーバー)
3. PPP の構成ファイルを変更する	CHAP 特有のオプションを /etc/ppp/options と /etc/ppp/peers/peer-name に追加する	PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

表 33-5 CHAP 認証についての作業マップ (ダイアルアウトマシン)

作業	説明	参照先
1. 信頼できる呼び出し元のマシン用の CHAP データベースを作成する	信頼できる呼び出し元のセキュリティ資格と、必要であれば、ダイアルアウトマシンを呼び出す他のユーザーのセキュリティ資格を /etc/ppp/chap-secrets に作成する	CHAP 資格データベースの作成方法 (ダイアルインサーバー)
2. PPP の構成ファイルを変更する	CHAP 特有のオプションを /etc/ppp/options ファイルに追加する	PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)

ダイアルインサーバーに CHAP 認証を構成する

CHAP 認証を設定するには、最初に /etc/ppp/chap-secrets ファイルを変更します。このファイルには、CHAP シークレットを含む CHAP セキュリティ資格が含まれています。このセキュリティ資格を使用して、接続時に呼び出し元を認証します。

---

注 -

UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、PAP 資格データベースの作成方法 (ダイアルインサーバー)で説明したような PPP login オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。

---

次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

1. 信頼できる呼び出し元のユーザー名をすべて含むリストを作成します。信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。

2. 各ユーザーに CHAP シークレットを割り当てます。

   ---

   注 -

   CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。

   ---

   CHAP シークレットを割り当てる方法は、企業のセキュリティポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。

3. ダイアルインサーバーのスーパーユーザーとなり、/etc/ppp/chap-secrets ファイルを変更します。

   Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加することができます。

   account1 CallServe key123 * account2 CallServe key456 *

   key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。

次に進む手順

作業	参照先
その他の信頼できる呼び出し元に、CHAP 資格を作成する	CHAP 資格データベースの作成方法 (ダイアルインサーバー)
PPP 構成ファイルを更新し、CHAP をサポートする	PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)
信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する	信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)

PPP 構成ファイルを CHAP 用に変更する (ダイアルインサーバー)

この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

1. ダイアルインサーバーにスーパーユーザーとしてログインします。

2. /etc/ppp/options ファイルを変更します。

   太字で表示されているオプションを追加して、CHAP がサポートされるようにします。

   # vi /etc/ppp/options lock nodefaultroute name CallServe auth require-chap

   name CallServe	CallServe をローカルマシン上のユーザーの CHAP 名として定義する。この場合、ローカルマシンはダイアルインサーバーである
   auth	ローカルマシンで呼び出し元を認証してから、接続を確立する
   require-chap	接続を確立する前に、ピアに CHAP 資格を要求する

3. 信頼できる呼び出し元をサポートするために必要なその他の PPP 構成ファイルを作成します。

   ダイアルインサーバーのユーザーを構成する方法および シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)を参照してください。

次に進む手順

作業	参照先
信頼できる呼び出し元の CHAP 認証資格を設定する	CHAP 資格データベースの作成方法 (ダイアルインサーバー)

信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)

この節では、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順について説明します。企業のセキュリティポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。

リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイルに記述されている CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。

信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。

• 呼び出し元の CHAP セキュリティ資格を作成します。

• 呼び出し元のダイアルアウトマシンが CHAP 認証をサポートするように設定します。

信頼できる呼び出し元に CHAP 認証資格を設定する方法

ここでは、2 人の信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。

1. ダイアルアウトマシンのスーパーユーザーになります。

   例 — CHAP 認証による構成の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。

2. chap-secrets データベースを呼び出し元 account1 用に変更します。

   Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。

   # account1 CallServe key123 *

   CallServe は、account1 がアクセスを試みているピアの名前です。key123 は、account1 と CallServer 間での接続に使用する CHAP シークレットです。

3. 他のダイアルアウトマシンのスーパーユーザーになります。

   呼び出し元 account2 がこのマシンを所有しているとします。

4. /etc/ppp/chap-secrets データベースを呼び出し元 account2 用に変更します。

   # account2 CallServe key456 *

   account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。

次に進む手順

作業	参照先
信頼できる呼び出し元のダイアルアウトマシンで、CHAP 資格を作成する	CHAP 資格データベースの作成方法 (ダイアルインサーバー)
ダイアルアウトマシンが CHAP 認証をサポートするように設定する	信頼できる呼び出し元に CHAP 認証資格を設定する方法

CHAP を構成ファイルに追加する (ダイアルアウトマシン)

次の手順に従って、例 — CHAP 認証による構成で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)

1. ダイアルアウトマシンにスーパーユーザーとしてログインします。

2. /etc/ppp/options ファイルが次のオプションを持つことを確認します。

   # vi /etc/ppp/options lock nodefaultroute

3. リモートマシン CallServe 用の /etc/ppp/peers/peer-name ファイルを作成します。

   # mkdir /etc/ppp/peers # vi CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"

   オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルの他のオプションについては、個々のピアとの接続を定義する方法の /etc/ppp/peers/myserver ファイルにある同様のオプションの説明を参照してください。

次に進む手順

作業	参照先
ダイアルインサーバーを呼び出して、CHAP 認証をテストする	ダイアルインサーバーの呼び出し方法
CHAP 認証の詳細を理解する	チャレンジハンドシェーク認証プロトコル (CHAP)