この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。 ここでは、図 26–4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。 CHAP 認証を実装する場合は、この手順を基準として使用してください。
以降の手順を実行する前に、次の作業を終了しておく必要があります。
ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ローカルマシン (ダイアルインサーバーまたはダイアルアウトマシン) に対するスーパーユーザーとしてのアクセス権を取得します。
作業 |
説明 |
参照先 |
---|---|---|
1. CHAP シークレットをすべての信頼できる呼び出し元に割り当てる |
CHAP シークレットを作成する、または呼び出し元に作成させる | |
2. chap-secrets データベースを作成する |
すべての信頼できる呼び出し元のセキュリティ資格を /etc/ppp/chap-secrets ファイルに追加する | |
3. PPP の構成ファイルを変更する |
CHAP 特有のオプションを /etc/ppp/options と /etc/ppp/peers/peer-name に追加する |
表 29–5 CHAP 認証についての作業マップ (ダイアルアウトマシン)
作業 |
説明 |
参照先 |
---|---|---|
1. 信頼できる呼び出し元のマシン用の CHAP データベースを作成する |
信頼できる呼び出し元のセキュリティ資格と、必要であれば、ダイアルアウトマシンを呼び出す他のユーザーのセキュリティ資格を /etc/ppp/chap-secrets に作成する | |
2. PPP の構成ファイルを変更する |
CHAP 特有のオプションを /etc/ppp/options ファイルに追加する |
CHAP 認証を設定するには、最初に /etc/ppp/chap-secrets ファイルを変更します。このファイルには、CHAP シークレットを含む CHAP セキュリティ資格が含まれています。このセキュリティ資格を使用して、接続時に呼び出し元を認証します。
UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、PAP 資格データベースの作成方法 (ダイアルインサーバー)で説明したような PPP login オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。
次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。
信頼できる呼び出し元のユーザー名をすべて含むリストを作成します。信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。
各ユーザーに CHAP シークレットを割り当てます。
CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。
CHAP シークレットを割り当てる方法は、企業のセキュリティポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。
ダイアルインサーバーのスーパーユーザーとなり、/etc/ppp/chap-secrets ファイルを変更します。
Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。 サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加することができます。
account1 CallServe key123 * account2 CallServe key456 * |
key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。 key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。
作業 |
参照先 |
---|---|
その他の信頼できる呼び出し元に、CHAP 資格を作成する | |
PPP 構成ファイルを更新し、CHAP をサポートする | |
信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する |
この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
ダイアルインサーバーにスーパーユーザーとしてログインします。
/etc/ppp/options ファイルを変更します。
太字で表示されているオプションを追加して、CHAP がサポートされるようにします。
# vi /etc/ppp/options lock nodefaultroute name CallServe auth require-chap |
信頼できる呼び出し元をサポートするために必要なその他の PPP 構成ファイルを作成します。
ダイアルインサーバーのユーザーを構成する方法および シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)を参照してください。
作業 |
参照先 |
---|---|
信頼できる呼び出し元の CHAP 認証資格を設定する |
この節では、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順について説明します。 企業のセキュリティポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。
リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイルに記述されている CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。
信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。
呼び出し元の CHAP セキュリティ資格を作成します。
呼び出し元のダイアルアウトマシンが CHAP 認証をサポートするように設定します。
ここでは、2 人の信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。
ダイアルアウトマシンのスーパーユーザーになります。
例 — CHAP 認証による構成の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。
chap-secrets データベースを呼び出し元 account1 用に変更します。
Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。 次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。
# account1 CallServe key123 * |
CallServe は、account1 がアクセスを試みているピアの名前です。key123 は、account1 と CallServer 間での接続に使用する CHAP シークレットです。
他のダイアルアウトマシンのスーパーユーザーになります。
呼び出し元 account2 がこのマシンを所有しているとします。
/etc/ppp/chap-secrets データベースを呼び出し元 account2 用に変更します。
# account2 CallServe key456 * |
account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。
作業 |
参照先 |
---|---|
信頼できる呼び出し元のダイアルアウトマシンで、CHAP 資格を作成する | |
ダイアルアウトマシンが CHAP 認証をサポートするように設定する |
次の手順に従って、例 — CHAP 認証による構成で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。
ダイアルアウトマシンにスーパーユーザーとしてログインします。
/etc/ppp/options ファイルが次のオプションを持つことを確認します。
# vi /etc/ppp/options lock nodefaultroute |
リモートマシン CallServe 用の /etc/ppp/peers/peer-name ファイルを作成します。
# mkdir /etc/ppp/peers # vi CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat" |
オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルの他のオプションについては、個々のピアとの接続を定義する方法 の /etc/ppp/peers/myserver ファイルにある同様のオプションの説明を参照してください。
作業 |
参照先 |
---|---|
ダイアルインサーバーを呼び出して、CHAP 認証をテストする | |
CHAP 認証の詳細を理解する |