Solaris のシステム管理 (資源管理とネットワークサービス)

リンクへの認証計画

この節では、PPP リンク上で認証を行うための計画情報を提供します。第 33 章「PPP 認証の設定 (手順)」は、自分のサイトで PPP 認証を実装するための作業を示しています。

PPP には、PAP と CHAP の 2 種類の認証があります。PAP の詳細は、パスワード認証プロトコル (PAP)を参照してください。CHAP の詳細は、チャレンジハンドシェーク認証プロトコル (CHAP)を参照してください。

認証をリンクに設定する前に、自分のサイトのセキュリティポリシーに最適な認証プロトコルを選択する必要があります。認証プロトコルの選択が終了したら、ダイアルインマシンまたは呼び出し側のダイアルアウトマシンあるいは両方のマシンに秘密ファイルと PPP 構成ファイルを設定します。自分のサイトに最適な認証プロトコルを選択するには、PPP 認証を使用する理由を参照してください。

この節では、次の内容について説明します。

PAP 認証と CHAP 認証の計画情報
図 30–3 と図 30–4 に示されている認証事例の説明

認証の設定作業については、第 33 章「PPP 認証の設定 (手順)」を参照してください。

PPP 認証を設定する前に

自分のサイトに認証を設定することを必須として PPP の全体計画に組み込む必要があります。認証を実装する前に、ハードウェアの組み立てや、ソフトウェアの構成、リンクの動作確認を行なってください。

表 30–5 認証構成の前提条件


情報	参照先
ダイアルアップリンクの構成作業	第 31 章「ダイアルアップ PPP リンクの設定 (手順)」.
リンクのテスト作業	第 35 章「一般的な問題の解決 (手順)」.
サイトのセキュリティ要件	会社のセキュリティポリシーポリシーを設定していなければ、PPP 認証の設定を機にセキュリティポリシーを設定する
自分のサイトに PAP または CHAP を選択する場合のヒント	PPP 認証を使用する理由。これらのプロトコルについては、接続時の呼び出し元の認証を参照してください。

例 — PPP の認証構成

この節では、第 33 章「PPP 認証の設定 (手順)」の手順で使用されている認証事例について説明します。

例 — PAP 認証による構成

PAP 認証の設定での作業は、PPP リンク上で PAP 認証を設定する方法を示しています。手順では、例 — ダイアルアップ PPP の構成で紹介した架空の Big Company 社の PAP 事例を使用します。

Big Company 社では、自社のユーザーが自宅で仕事できるようにしたいと考えています。システム管理者は、ダイアルインサーバーに接続するシリアル回線にセキュリティ対策をしたいと考えています。NIS パスワードデータベースを使用する UNIX スタイルのログインは、これまで Big Company 社のネットワークで問題なく機能を果たしてきました。システム管理者は、PPP リンクを介してネットワークに進入してくる呼び出しに UNIX スタイルの認証機構を設定したいと考えています。その結果、システム管理者は PAP 認証を使用する次のシナリオを実装します。

図 30–3 例 — PAP 認証のシナリオ (自宅で仕事する)

この図は、PAP 認証のシナリオ例を示しています。このリンクについては以下で詳しく説明します。

システム管理者は専用のダイアルイン DMZ を作成します。これは、ルーターによって会社のネットワークの後方部と分離されています。DMZ の用語は、軍隊用語の「非武装地帯」から来ています。DMZ はセキュリティ目的のために分離されたネットワークです。通常、DMZ には、Web サーバー、匿名 (anonymous) ftp サーバー、データベース、モデムサーバーなど、会社が一般に公開する資源が含まれています。ネットワーク設計者は通常、DMZ をファイアウォールと会社のインターネット接続の中間に設置します。

図 30–3 に示すように、DMZ に存在するのは、ダイアルインサーバーの myserver とルーターだけです。ダイアルインサーバーはリンクの設定時に、呼び出し側に PAP 資格 (ユーザー名とパスワードを含む) の提出を要求します。さらに、ダイアルインサーバーは PAP の login オプションも使用します。したがって、呼び出し側の PAP のユーザー名とパスワードは、ダイアルインサーバーのパスワードデータベースにある UNIX のユーザー名とパスワードに正確に一致する必要があります。

PPP リンクが設定されたら、呼び出し側のパケットはルーターに転送されます。ルーターはパケットを会社のネットワーク上かインターネット上の宛先に転送します。

例 — CHAP 認証による構成

CHAP 認証の設定での作業は、CHAP 認証の設定方法を示しています。手順では、例 — 専用回線リンクの構成で紹介した架空の LocalCorp 社の CHAP 事例を使用します。

LocalCorp 社は、ISP の専用回線を介してインターネットに接続できます。LocalCorp 社のテクニカルサポート部では、大量のネットワークトラフィックが発生するので、独立した私設ネットワークが必要になっています。部署のフィールドエンジニアは、問題解決のための情報を入手するために遠隔地からテクニカルサポートのネットワークに頻繁にアクセスする必要があります。私設ネットワークのデータベース内の機密情報を保護するには、リモートでの呼び出し側にログインの許可を与えるために、それらを認証する必要があります。

したがって、システム管理者は、ダイアルアップ PPP 構成に次の CHAP 認証シナリオを実装します。

図 30–4 例 — CHAP 認証シナリオ (私設ネットワークを呼び出す)

この図は、CHAP 認証のシナリオ例を示しています。この例については前後の文中で詳しく説明しています。

テクニカルサポート部のネットワークから外部世界にリンクするのは、リンクのダイアルインサーバー側の端に接続しているシリアル回線だけです。システム管理者は、各フィールドサービスエンジニアが所持する PPP 用ラップトップコンピュータを CHAP シークレットなどを組み込んだ CHAP セキュリティで構成します。ダイアルインサーバー上の CHAP シークレットデータベースには、テクニカルサポート内のネットワークに対する呼び出しが許されているすべてのマシンの CHAP 資格が含まれています。

認証の詳細情報

作業	参照先
PAP 認証を設定する	PAP 認証の設定
CHAP 認証を設定する	CHAP 認証の設定
PPP 認証の詳細を理解する	接続時の呼び出し元の認証と `pppd(1M)` マニュアルページ