Solaris のシステム管理 (資源管理とネットワークサービス)

第 33 章 PPP 認証の設定 (手順)

この章では、PPP 認証の設定手順について説明します。ここでは、次の内容を説明します。

ここでは、ダイアルアップリンクに認証を実装する方法について説明しています。これは、ダイアルアップリンクの方が、専用回線リンクよりも認証を設定することが多いためです。企業のセキュリティポリシーにより認証が必要な場合には、専用回線に認証を設定することもできます。専用回線に認証を設定する場合は、この章の手順をガイドラインとして参照してください。

PPP 認証を使用する場合で、どのプロトコルを使用したらいいのかわからないときには、PPP 認証を使用する理由を参照してください。PPP 認証の詳細については、pppd(1M) のマニュアルページおよび 接続時の呼び出し元の認証を参照してください。

PPP 認証の構成 (作業マップ)

次の作業マップに、PPP 認証に関連する作業を示します。

表 33–1 一般的な PPP 認証 (作業マップ)

作業 

参照先 

PAP 認証を設定する 

PAP 認証の設定 (作業マップ)

CHAP 認証を設定する 

CHAP 認証の設定 (作業マップ)

PAP 認証の設定

この節では、パスワード認証プロトコル (PAP) を使用して、PPP リンクに認証を実装する方法について説明します。 ここでは、例 — PPP の認証構成の例を使用して、ダイアルアップリンクで PAP を動作させる方法について説明します。 PAP 認証を実装する場合は、この手順を基準として使用してください。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

PAP 認証の設定 (作業マップ)

次の作業マップに、ダイアルインサーバーおよびダイアルアウトマシン上の信頼できる呼び出し元に対して実行する PAP 関連の作業を示します。

表 33–2 PAP 認証についての作業マップ (ダイアルインサーバー)

作業 

説明 

参照先 

1. 構成前の情報を収集する  

ユーザー名など、認証に必要なデータを収集する 

リンクへの認証計画

2. 必要に応じて、パスワードデータベースを更新する 

候補となるすべての呼び出し元が、サーバーのパスワードデータベースに含まれていることを確認する 

PAP 資格データベースの作成方法 (ダイアルインサーバー)

3. PAP データベースを作成する 

将来接続する可能性のあるすべての呼び出し元のセキュリティ資格を /etc/ppp/pap-secrets に作成する

PAP 資格データベースの作成方法 (ダイアルインサーバー)

4. PPP の構成ファイルを変更する 

PAP 特有のオプションを /etc/ppp/options/etc/ppp/peers/peer-name に追加する

PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルインサーバー)

表 33–3 PAP 認証についての作業マップ (ダイアルアウトマシン)

作業 

説明 

参照先 

1. 構成前の情報を収集する 

ユーザー名など、認証に必要なデータを収集する 

リンクへの認証計画

2. 信頼できる呼び出し元のマシン用の PAP データベースを作成する 

信頼できる呼び出し元のセキュリティ資格と、必要であれば、ダイアルアウトマシンを呼び出す他のユーザーのセキュリティ資格を /etc/ppp/pap-secrets に作成する

信頼できる呼び出し元に PAP 認証資格を設定する方法

3. PPP の構成ファイルを変更する 

PAP 特有のオプションを /etc/ppp/options/etc/ppp/peers/peer-name に追加する

PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルアウトマシン)

ダイアルインサーバーに PAP 認証を構成する

PAP 認証を設定するには、次の手順に従う必要があります。

PAP 資格データベースの作成方法 (ダイアルインサーバー)

ここでは、/etc/ppp/pap-secrets ファイルを変更します。このファイルには、接続時に呼び出し元の認証に使用する PAP セキュリティ資格が含まれています。PPP リンクを行う両方のマシンに /etc/ppp/pap-secrets が必要です。

図 30–3 で紹介した PAP 構成のサンプルでは、PAP の login オプションが使用されています。このオプションを使用する場合は、ネットワークのパスワードデータベースも更新する必要がある可能性があります。 login オプションの詳細については、/etc/ppp/pap-secrets での login オプションの使用を参照してください。

  1. 候補となる信頼できる呼び出し元のリストを作成します。信頼できる呼び出し元とは、自分のリモートマシンからダイアルインサーバーを呼び出す権限を与えられているユーザーです。

  2. ダイアルインサーバーのパスワードデータベースに、信頼できる呼び出し元全員の UNIX ユーザー名およびパスワードがあることを確認します。


    注 –

    この確認は、この PAP 構成のサンプルにとって重要です。このサンプルでは、呼び出し元の認証に、PAP の login オプションを使用しています。PAP に login を実装しない場合は、呼び出し元の PAP ユーザー名と UNIX ユーザー名を一致させる必要はありません。標準の /etc/ppp/pap-secrets については、/etc/ppp/pap-secrets ファイルを参照してください。


    候補となる信頼できる呼び出し元に UNIX 名とパスワードがない場合は、次の手順に従います。

    1. 呼び出し元に関する情報がない場合は、呼び出し元がダイアルインサーバーへのアクセス権を持っているかどうかをその呼び出し元の管理者に確認します。

    2. 企業のセキュリティポリシーが指定する方法に従って、これらの呼び出し元に UNIX ユーザー名およびパスワードを作成します。

  3. ダイアルインサーバーのスーパーユーザーとなり、/etc/ppp/pap-secrets ファイルを編集します。

    Solaris PPP 4.0 では、/etc/ppppap-secrets ファイルがあります。このファイルには、PAP 認証の使用方法についてのコメントが含まれています。ただし、オプションについてのコメントは含まれていません。 コメントの最後に、次のオプションを追加することができます。


    # 
    user1      myserver        ""          *
    user2      myserver        ""          *
    myserver   user2           serverpass  * 
    

    /etc/ppp/pap-secretslogin オプションを使用するには、信頼できる呼び出し元の UNIX 名をすべて入力する必要があります。3 番目のフィールドのどこに二重引用符 (" ") が記述されても、呼び出し元のパスワードは、サーバーのパスワードデータベースで参照できます。

    エントリ myserver * serverpass * には、ダイアルインサーバー用の PAP ユーザー名およびパスワードが含まれています。図 30–3 では、信頼できる呼び出し元である user2 は、リモートピアに認証を要求します。 そのため、myserver/etc/ppp/pap-secrets ファイルには、user2 との接続を確立する場合に使用する PAP 資格が含まれています。

次に進む手順

作業 

参照先 

PPP 構成ファイルを変更し、PAP 認証をサポートする  

PPP 構成ファイルを PAP 用に変更する (ダイアルインサーバー)

信頼できる呼び出し元のダイアルアウトマシンで、PAP 認証を設定する 

信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)

PPP 構成ファイルを PAP 用に変更する (ダイアルインサーバー)

この節では、ダイアルインサーバーで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルインサーバー)

ここでは、シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)で紹介した PPP 構成ファイルを例として使用します。

  1. ダイアルインサーバーにスーパーユーザーとしてログインします。

  2. 認証オプションを /etc/ppp/options ファイルに追加します。

    たとえば、既存の /etc/ppp/options ファイルに、次の太字のオプションを追加すると、PAP 認証を実装することができます。


    lock
    idle 120
    nodefaultroute
    name myserver
    auth
    require-pap
    user myserver
    remotename user2
    login
    

    name myserver

    myserver をローカルマシン上のユーザーの PAP 名として設定する。 login オプションを使用する場合は、PAP 名をパスワードデータベースにあるそのユーザーの UNIX ユーザー名と一致させる必要がある

    auth

    接続を確立する前に、サーバーが呼び出し元を認証する必要があることを明示する

    require-pap

    呼び出し元に、PAP 資格を要求する

    user myserver

    myserver をローカルマシンのユーザー名として定義する

    remotename user2

    user2 をローカルマシンに認証資格を要求するピアとして定義する

    login

    ローカルマシンは、認証を要求されたときにはいつでも、/etc/ppp/pap-secrets ファイルにある PAP の login オプションを使用することを示す

  3. シリアル回線を介した通信を定義する方法の説明に従って、/etc/ppp/options.ttyname ファイルを作成します。

  4. ダイアルインサーバーのユーザーを構成する方法の説明に従って、リモート呼び出し元の $HOME/.ppprc ファイルをそれぞれ設定します。

次に進む手順

作業 

参照先 

ダイアルインサーバーの信頼できる呼び出し元の PAP 認証資格を設定する 

信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)

信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)

この節では、信頼できる呼び出し元のダイアルアウトマシンで、PAP 認証を設定する手順について説明します。 システム管理者は、システムで PAP 認証を設定し、それらを将来接続する可能性のある呼び出し元に配布することができます。また、リモート呼び出し元にすでにマシンがある場合は、この節の手順を指示することもできます。

信頼できる呼び出し元に PAP を設定するには、次の 2 つの手順を実行します。

信頼できる呼び出し元に PAP 認証資格を設定する方法

ここでは、2 人の信頼できる呼び出し元の PAP 資格を設定する方法について説明します。これらのうちの 1 人は、リモートピアに認証資格を要求します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで PAP 資格を作成することを前提にしています。

  1. ダイアルアウトマシンのスーパーユーザーになります。

    図 30–3で紹介した PAP 構成のサンプルでは、user1 がダイアルアウトマシンを所有しています。

  2. 呼び出し元の pap-secrets データベースを変更します。

    Solaris PPP 4.0 には、/etc/ppp/pap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。 次のオプションをこの /etc/ppp/pap-secrets ファイルに追加できます。


    # user1    myserver  pass1    *
    

    user1 のパスワードである pass1 は、接続を通して、読み取り可能な ASCII 形式になることに注意してください。myserver は、呼び出し元 user1 がピアで使用する名前です。

  3. 他のダイアルアウトマシンのスーパーユーザーになります。

    PAP 認証の例では、呼び出し元 user2 がこのダイアルアウトマシンを所有しています。

  4. 呼び出し元の pap-secrets データベースを変更します。

    次のオプションを既存の /etc/ppp/pap-secrets ファイルの終わりに追加できます。


    # user2     myserver   pass2       *
    myserver  user2      serverpass  * 
    

    この例では、/etc/ppp/pap-secrets に 2 つのエントリがあります。最初のエントリには、user2 が認証のためにダイアルインサーバー myserver に渡す PAP セキュリティ資格が含まれています。

    user2 は、接続のネゴシエーションの一部として、ダイアルインサーバーに PAP 資格を要求します。そのため、/etc/ppp/pap-secrets の 2 つ目の行に、myserver に要求される PAP 資格も含まれています。


    注 –

    ほとんどのISP は認証資格を提供しないため、ここで検討しているシナリオは、ISP との通信に関しては現実的ではありません。


次に進む手順

作業 

参照先  

その他の呼び出し元に、PAP 資格を作成する 

PAP 資格データベースの作成方法 (ダイアルインサーバー)

ダイアルアウトマシンが PAP 認証をサポートするように設定する  

信頼できる呼び出し元に PAP 認証資格を設定する方法

PPP 構成ファイルを PAP 用に変更する (ダイアルアウトマシン)

以下の作業は、信頼できる呼び出し元のダイアルアウトマシンで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

ここでは、次のパラメータを使用して、図 30–3 で紹介した user2 が所有するダイアルアウトマシン上で、PAP 認証を設定します。user2 は、ダイアルイン myserver からの呼び出しを含む着信呼び出し元に、認証を要求します。

PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルアウトマシン)

ここでは、シリアル回線を介した通信を定義する方法で紹介した PPP 構成ファイルを例として使用します。 この手順に従って、図 30–3 で示した user2 が所有するダイアルアウトマシンを設定します。

  1. ダイアルアウトマシンにスーパーユーザーとしてログインします。

  2. /etc/ppp/options ファイルを変更します。

    次の /etc/ppp/options ファイルには、太字で示した PAP サポート用のオプションが含まれています。


    #vi /etc/ppp/options
    lock
    nodefaultroute
    name user2
    auth
    require-pap
    

    name user2

    user2 をローカルマシン上のユーザーの PAP 名として設定する。 login オプションを使用する場合は、PAP 名をパスワードデータベースにあるそのユーザーの UNIX ユーザー名と一致させる必要がある

    auth

    接続を確立する前に、ダイアルアウトマシンが呼び出し元を認証する必要があることを明示する 

    require-pap

    ダイアルアウトマシンからの呼び出しを戻すときに、ピアに PAP 資格を要求する 

  3. リモートマシン myserver 用の /etc/ppp/peers/peer-name ファイルを作成します。

    次のサンプルは、個々のピアとの接続を定義する方法で作成した既存の /etc/ppp/peers/myserver ファイルに、PAP サポートを追加する方法を示しています。


    # cd /etc/ppp
    # mkdir peers
    # cd peers
    # vi myserver
    /dev/cua/a
    57600
    noipdefault
    defaultroute
    idle 120
    user user2
    remotename myserver
    connect "chat -U 'mypassword' -f /etc/ppp/mychat"

    太字で示した新しいオプションにより、ピア myserver に関する PAP 要件が追加されます。

    user user2

    user2 をローカルマシンのユーザー名として定義する

    remotename myserver

    myserver をローカルマシンに認証資格を要求するピアとして定義する

次に進む手順

作業 

参照先 

ダイアルインサーバーを呼び出して、PAP 認証の設定をテストする 

ダイアルインサーバーを呼び出す手順については、ダイアルインサーバーの呼び出し方法 を参照

PAP 認証の詳細を理解する  

パスワード認証プロトコル (PAP)

CHAP 認証の設定

この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。 ここでは、図 30–4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。 CHAP 認証を実装する場合は、この手順を基準として使用してください。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

CHAP 認証の設定 (作業マップ)

表 33–4 CHAP 認証についての作業マップ (ダイアルインサーバー)

作業 

説明 

参照先 

1. CHAP シークレットをすべての信頼できる呼び出し元に割り当てる 

CHAP シークレットを作成する、または呼び出し元に作成させる 

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

2. chap-secrets データベースを作成する 

すべての信頼できる呼び出し元のセキュリティ資格を /etc/ppp/chap-secrets ファイルに追加する

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

3. PPP の構成ファイルを変更する  

CHAP 特有のオプションを /etc/ppp/options/etc/ppp/peers/peer-name に追加する

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

表 33–5 CHAP 認証についての作業マップ (ダイアルアウトマシン)

作業 

説明 

参照先 

1. 信頼できる呼び出し元のマシン用の CHAP データベースを作成する  

信頼できる呼び出し元のセキュリティ資格と、必要であれば、ダイアルアウトマシンを呼び出す他のユーザーのセキュリティ資格を /etc/ppp/chap-secrets に作成する

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

2. PPP の構成ファイルを変更する 

CHAP 特有のオプションを /etc/ppp/options ファイルに追加する

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)

ダイアルインサーバーに CHAP 認証を構成する

CHAP 認証を設定するには、最初に /etc/ppp/chap-secrets ファイルを変更します。このファイルには、CHAP シークレットを含む CHAP セキュリティ資格が含まれています。このセキュリティ資格を使用して、接続時に呼び出し元を認証します。


注 –

UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、PAP 資格データベースの作成方法 (ダイアルインサーバー)で説明したような PPP login オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。


次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

  1. 信頼できる呼び出し元のユーザー名をすべて含むリストを作成します。信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。

  2. 各ユーザーに CHAP シークレットを割り当てます。


    注 –

    CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。


    CHAP シークレットを割り当てる方法は、企業のセキュリティポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。

  3. ダイアルインサーバーのスーパーユーザーとなり、/etc/ppp/chap-secrets ファイルを変更します。

    Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。 サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加することができます。


    account1  CallServe   key123   *
    account2  CallServe   key456   *
    

    key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。 key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。

次に進む手順

作業 

参照先 

その他の信頼できる呼び出し元に、CHAP 資格を作成する 

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

PPP 構成ファイルを更新し、CHAP をサポートする 

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する 

信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)

PPP 構成ファイルを CHAP 用に変更する (ダイアルインサーバー)

この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

  1. ダイアルインサーバーにスーパーユーザーとしてログインします。

  2. /etc/ppp/options ファイルを変更します。

    太字で表示されているオプションを追加して、CHAP がサポートされるようにします。


    # vi /etc/ppp/options
    lock
    nodefaultroute
    name CallServe
    auth
    require-chap
    

    name CallServe

    CallServe をローカルマシン上のユーザーの CHAP 名として定義する。この場合、ローカルマシンはダイアルインサーバーである

    auth

    ローカルマシンで呼び出し元を認証してから、接続を確立する 

    require-chap

    接続を確立する前に、ピアに CHAP 資格を要求する

  3. 信頼できる呼び出し元をサポートするために必要なその他の PPP 構成ファイルを作成します。

    ダイアルインサーバーのユーザーを構成する方法および シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)を参照してください。

次に進む手順

作業 

参照先 

信頼できる呼び出し元の CHAP 認証資格を設定する 

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)

この節では、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順について説明します。 企業のセキュリティポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。

リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイルに記述されている CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。

信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。

信頼できる呼び出し元に CHAP 認証資格を設定する方法

ここでは、2 人の信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。

  1. ダイアルアウトマシンのスーパーユーザーになります。

    例 — CHAP 認証による構成の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。

  2. chap-secrets データベースを呼び出し元 account1 用に変更します。

    Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。 次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。


    # account1  CallServe   key123   *
    

    CallServe は、account1 がアクセスを試みているピアの名前です。key123 は、account1CallServer 間での接続に使用する CHAP シークレットです。

  3. 他のダイアルアウトマシンのスーパーユーザーになります。

    呼び出し元 account2 がこのマシンを所有しているとします。

  4. /etc/ppp/chap-secrets データベースを呼び出し元 account2 用に変更します。


    # account2  CallServe   key456   *
    

    account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。

次に進む手順

作業 

参照先 

信頼できる呼び出し元のダイアルアウトマシンで、CHAP 資格を作成する 

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

ダイアルアウトマシンが CHAP 認証をサポートするように設定する  

信頼できる呼び出し元に CHAP 認証資格を設定する方法

CHAP を構成ファイルに追加する (ダイアルアウトマシン)

次の手順に従って、例 — CHAP 認証による構成で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)

  1. ダイアルアウトマシンにスーパーユーザーとしてログインします。

  2. /etc/ppp/options ファイルが次のオプションを持つことを確認します。


    # vi /etc/ppp/options
    lock
    nodefaultroute
  3. リモートマシン CallServe 用の /etc/ppp/peers/peer-name ファイルを作成します。


    # mkdir /etc/ppp/peers
    # vi CallServe
    /dev/cua/a
    57600
    noipdefault
    defaultroute
    idle 120
    user account1
    connect "chat -U 'mypassword' -f /etc/ppp/mychat"

    オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルの他のオプションについては、個々のピアとの接続を定義する方法/etc/ppp/peers/myserver ファイルにある同様のオプションの説明を参照してください。

次に進む手順

作業 

参照先 

ダイアルインサーバーを呼び出して、CHAP 認証をテストする 

ダイアルインサーバーの呼び出し方法

CHAP 認証の詳細を理解する  

チャレンジハンドシェーク認証プロトコル (CHAP)