ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris のシステム管理 (ネットワークサービス) Oracle Solaris 11 Information Library (日本語) |
パート II ネットワークファイルシステムへのアクセス (トピック)
6. ネットワークファイルシステムへのアクセス (リファレンス)
PAP 資格データベースの作成方法 (ダイアルインサーバー)
PPP 構成ファイルを PAP 用に変更する (ダイアルインサーバー)
PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルインサーバー)
信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)
PPP 構成ファイルを PAP 用に変更する (ダイアルアウトマシン)
PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルアウトマシン)
CHAP 資格データベースの作成方法 (ダイアルインサーバー)
PPP 構成ファイルを CHAP 用に変更する (ダイアルインサーバー)
PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)
信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)
この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、図 16-4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。CHAP 認証を実装する場合は、この手順を基準として使用してください。
以降の手順を実行する前に、次の作業を終了しておく必要があります。
ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ローカルマシン (ダイアルインサーバーまたはダイアルアウトマシン) に対するスーパーユーザーとしてのアクセス権を取得します。
表 19-4 CHAP 認証についての作業マップ (ダイアルインサーバー)
|
表 19-5 CHAP 認証についての作業マップ (ダイアルアウトマシン)
|
CHAP 認証の設定における最初の作業は、/etc/ppp/chap-secrets ファイルの変更です。このファイルには、CHAP シークレットを含む CHAP セキュリティー資格が含まれています。このセキュリティー資格を使用して、接続時に呼び出し元を認証します。
注 - UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、How to Create a PAP Credentials Database (Dial-in Server)で説明したような PPP 「PAP 資格データベースの作成方法 (ダイアルインサーバー)」 オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。
次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。
信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。
注 - CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。
CHAP シークレットを割り当てる方法は、企業のセキュリティーポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
このリリースには、/etc/ppp/chap-secrets ファイルが含まれています。このファイルには、役立つコメントが含まれていますが、オプションは含まれていません。サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加できます。
account1 CallServe key123 * account2 CallServe key456 *
key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。
key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。
参照
関連情報の参照先は次のとおりです。
この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
太字で表示されているオプションを追加して、CHAP がサポートされるようにします。
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
「ダイアルインサーバーのユーザーを構成する方法」および 「シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)」を参照してください。
参照
信頼できる呼び出し元の CHAP 認証資格を設定する手順については、「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」を参照してください。
この節には、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順が含まれています。企業のセキュリティーポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。
リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイル内の CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。
信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。
呼び出し元の CHAP セキュリティー資格を作成します。
呼び出し元のダイアルアウトマシンが CHAP 認証をサポートするように設定します。
ここでは、2 つの信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
「CHAP 認証による構成例」の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。
このリリースには、/etc/ppp/chap-secrets ファイルが含まれています。このファイルには、役立つコメントが含まれていますが、オプションは含まれていません。次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。
account1 CallServe key123 *
CallServe は、account1 が到達を試みているピアの名前です。key123 は、account1 と CallServer 間での接続に使用される CHAP シークレットです。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
呼び出し元 account2 がこのマシンを所有しているとします。
account2 CallServe key456 *
account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。
参照
関連情報の参照先は次のとおりです。
CHAP 認証の詳細を理解するには、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。次の手順に従って、「CHAP 認証による構成例」で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。
# cat /etc/ppp/options lock nodefaultroute
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルのほかのオプションの説明については、「個々のピアとの接続を定義する方法」の同様の /etc/ppp/peers/myserver ファイルを参照してください。
参照
ダイアルインサーバーを呼び出して、CHAP 認証をテストする手順については、「ダイアルインサーバーの呼び出し方法」を参照してください。