ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 での UUCP および PPP を使用したシリアルネットワークの管理 Oracle Solaris 11.1 Information Library (日本語) |
PAP 資格データベースの作成方法 (ダイアルインサーバー)
PPP 構成ファイルを PAP 用に変更する (ダイアルインサーバー)
PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルインサーバー)
信頼できる呼び出し元の PAP 認証の構成 (ダイアルアウトマシン)
CHAP 資格データベースの作成方法 (ダイアルインサーバー)
PPP 構成ファイルを CHAP 用に変更する (ダイアルインサーバー)
PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)
信頼できる呼び出し元の CHAP 認証の構成 (ダイアルアウトマシン)
CHAP を構成ファイルに追加する (ダイアルアウトマシン)
PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)
このセクションでは、パスワード認証プロトコル (PAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、「PPP の認証構成例」の例を使用して、ダイアルアップリンクで PAP を動作させる方法について説明します。PAP 認証を実装する場合は、この手順を基準として使用してください。
以降の手順を実行する前に、次の作業を終了しておく必要があります。
ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ダイアルインサーバーでの認証に備えて、LDAP、NIS、またはローカルファイルなどでネットワークパスワードデータベースを管理しているマシンに対するスーパーユーザーとしてのアクセス権を取得することが理想的です。
ローカルマシン、およびダイアルインサーバーまたはダイアルアウトマシンに対するスーパーユーザーとしての権限を取得します。
次のタスクマップに、ダイアルインサーバーおよびダイアルアウトマシン上の信頼できる呼び出し元に対して実行する PAP 関連のタスクを示します。
表 5-2 PAP 認証についてのタスクマップ (ダイアルインサーバー)
|
表 5-3 PAP 認証についてのタスクマップ (ダイアルアウトマシン)
|
PAP 認証を設定するには、次の手順に従う必要があります。
PAP 資格データベースを作成します。
PAP をサポートするように PPP 構成ファイルを変更します。
ここでは、/etc/ppp/pap-secrets ファイルを変更します。このファイルには、接続時に呼び出し元の認証に使用する PAP セキュリティー資格が含まれています。PPP リンクを行う両方のマシンに /etc/ppp/pap-secrets が必要です。
図 2-3 で紹介した PAP 構成のサンプルでは、PAP の login オプションが使用されています。このオプションを使用する場合は、ネットワークのパスワードデータベースも更新する必要がある可能性があります。login オプションの詳細については、「/etc/ppp/pap-secrets での login オプションの使用」を参照してください。
注 - この確認は、この PAP 構成のサンプルにとって重要です。このサンプルでは、呼び出し元の認証に、PAP の login オプションを使用しています。PAP に login を実装しない場合は、呼び出し元の PAP ユーザー名が UNIX ユーザー名と一致する必要はありません。標準の /etc/ppp/pap-secrets については、「/etc/ppp/pap-secrets ファイル」を参照してください。
候補となる信頼できる呼び出し元に UNIX 名とパスワードがない場合は、次の手順に従います。
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
このリリースは、/etc/ppp の pap-secrets ファイルを提供します。このファイルには、PAP 認証の使用方法についてのコメントが含まれていますが、オプションは含まれていません。コメントの最後に、次のオプションを追加することができます。
user1 myserver "" * user2 myserver "" * myserver user2 serverpass *
/etc/ppp/pap-secrets の login オプションを使用するには、信頼できる呼び出し元の UNIX 名をすべて入力する必要があります。3 番目のフィールドのどこに二重引用符 (““) が記述されても、呼び出し元のパスワードは、サーバーのパスワードデータベースで参照できます。
エントリ myserver * serverpass * には、ダイアルインサーバー用の PAP ユーザー名およびパスワードが含まれています。図 2-3 では、信頼できる呼び出し元である user2 は、リモートピアに認証を要求します。そのため、myserver の /etc/ppp/pap-secrets ファイルには、user2 との接続が確立される場合に使用する PAP 資格が含まれています。
参照
関連情報の参照先は次のとおりです。
このセクションのタスクでは、ダイアルインサーバーで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
ここでは、「シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)」で紹介した PPP 構成ファイルを例として使用します。
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
たとえば、既存の /etc/ppp/options ファイルに、次の太字のオプションを追加すると、PAP 認証を実装できます。
lock auth login nodefaultroute proxyarp ms-dns 10.0.0.1 idle 120
ローカルシステム上の pppd セッションが root 権限がないとデフォルトの経路を確立できないことを示す
ピアの IP アドレスやシステムの Ethernet アドレスを指定するシステムのアドレス解決プロトコル (ARP) テーブルにエントリを追加する。このオプションを使用すると、ピアは、ほかのシステムのローカル Ethernet 上にあるように見える
pppd がクライアントにドメインネームサーバー (DNS) アドレス 10.0.0.1を与えることができるようにする
2 分後にアイドルユーザーの接続が切断されることを示す
:10.0.0.2
:10.0.0.3
* * "" *
注 - 前述したように、login オプションは、必要なユーザー認証を与えます。/etc/ppp/pap-secrets ファイルのこのエントリは、login オプションを使用して PAP を可能にする標準的な方法です。
参照
ダイアルインサーバーの信頼できる呼び出し元の PAP 認証資格を構成する手順については、「信頼できる呼び出し元の PAP 認証の構成 (ダイアルアウトマシン)」を参照してください。
このセクションでは、信頼できる呼び出し元のダイアルアウトマシンで、PAP 認証を設定する手順について説明します。システム管理者は、システムで PAP 認証を設定し、それらを将来接続する可能性のある呼び出し元に配布することができます。また、リモート呼び出し元にすでにマシンがある場合は、このセクションのタスクを指示することもできます。
信頼できる呼び出し元に PAP を構成するには、次の 2 つのタスクを実行します。
呼び出し元の PAP セキュリティー資格を構成します。
呼び出し元のダイアルアウトマシンが PAP 認証をサポートするように構成します。
ここでは、2 つの信頼できる呼び出し元の PAP 資格を設定する方法について説明します。これらのうちの 1 つは、リモートピアに認証資格を要求します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで PAP 資格を作成することを前提にしています。
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
図 2-3 で紹介した PAP 構成のサンプルを使用して、user1 がダイアルアウトマシンを所有しているとします。
このリリースは、/etc/ppp/pap-secrets ファイルを提供します。このファイルには、役立つコメントが含まれていますが、オプションは含まれていません。次のオプションをこの /etc/ppp/pap-secrets ファイルに追加できます。
user1 myserver pass1 *
user1 のパスワードである pass1 は、接続を通して、読み取り可能な ASCII 形式になることに注意してください。myserver は、呼び出し元 user1 がピアで使用する名前です。
詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
PAP 認証の例では、呼び出し元 user2 がこのダイアルアウトマシンを所有しています。
次のオプションを既存の /etc/ppp/pap-secrets ファイルの終わりに追加できます。
user2 myserver pass2 * myserver user2 serverpass *
この例では、/etc/ppp/pap-secrets に 2 つのエントリがあります。最初のエントリには、user2 が認証のためにダイアルインサーバー myserver に渡す PAP セキュリティー資格が含まれています。
user2 は、接続のネゴシエーションの一部として、ダイアルインサーバーに PAP 資格を要求します。そのため、/etc/ppp/pap-secrets の 2 つ目の行に、myserver に要求される PAP 資格も含まれています。
参照
関連情報の参照先は次のとおりです。
次のタスクは、信頼できる呼び出し元のダイアルアウトマシンで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。
この手順では、次のパラメータを使用して、図 2-3 で紹介した user2 が所有するダイアルアウトマシン上で、PAP 認証を構成します。user2 は、ダイアルイン myserver からの呼び出しを含む着信呼び出し元に、認証を要求します。
ここでは、「シリアル回線を介した通信を定義する方法」で紹介した PPP 構成ファイルを例として使用します。この手順では、図 2-3 で示した user2 が所有するダイアルアウトマシンを構成します。
次の /etc/ppp/options ファイルには、太字で示した PAP サポート用のオプションが含まれています。
# cat /etc/ppp/options lock name user2 auth require-pap
次のサンプルは、「個々のピアとの接続を定義する方法」で作成した 既存の /etc/ppp/peers/myserver ファイルに、PAP サポートを追加する方法を示しています。
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat"
太字で示した新しいオプションは、ピア myserver に関する PAP 要件を追加します。
user2 をローカルマシンのユーザー名として定義する
myserver をローカルマシンに認証資格を要求するピアとして定義する
参照
関連情報の参照先は次のとおりです。
ダイアルインサーバーを呼び出して、PAP 認証の設定をテストする手順については、「ダイアルインサーバーの呼び出し方法」
PAP 認証の詳細を理解するときは、「パスワード認証プロトコル (PAP)」