ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 での UUCP および PPP を使用したシリアルネットワークの管理 Oracle Solaris 11.1 Information Library (日本語) |
このセクションでは、PPP リンク上で認証を行うための計画情報を提供します。第 5 章PPP 認証の設定 (タスク)は、自分のサイトで PPP 認証を実装するためのタスクを示しています。
PPP には、PAP と CHAP の 2 種類の認証があります。PAP の詳細は、「パスワード認証プロトコル (PAP)」を参照してください。CHAP の詳細は、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。
認証をリンクに設定する前に、自分のサイトのセキュリティーポリシーに最適な認証プロトコルを選択する必要があります。認証プロトコルの選択が終了したら、ダイアルインマシンまたは呼び出し側のダイアルアウトマシンあるいは両方のマシンに秘密ファイルと PPP 構成ファイルを設定します。自分のサイトに最適な認証プロトコルを選択するには、「PPP 認証を使用する理由」を参照してください。
このセクションでは、次の内容について説明します。
認証の設定タスクについては、第 5 章PPP 認証の設定 (タスク)を参照してください。
自分のサイトで認証を設定することを、全体的な PPP 計画の必須部分として組み込む必要があります。認証を実装する前に、ハードウェアの組み立てや、ソフトウェアの構成、リンクの動作確認を行なってください。
表 2-5 認証構成の前提条件
|
このセクションでは、第 5 章PPP 認証の設定 (タスク)の手順で使用されている認証事例について説明します。
「PAP 認証の構成」でのタスクは、PPP リンク上で PAP 認証を設定する方法を示しています。手順では、「ダイアルアップ PPP の構成例」で紹介した架空の Big Company 社の PAP 事例を使用します。
Big Company 社では、自社のユーザーが自宅で仕事できるようにしたいと考えています。システム管理者は、ダイアルインサーバーに接続するシリアル回線にセキュリティー対策をしたいと考えています。NIS パスワードデータベースを使用する UNIX スタイルのログインは、これまで Big Company 社のネットワークで問題なく機能を果たしてきました。システム管理者は、PPP リンクを介してネットワークに進入してくる呼び出しに UNIX スタイルの認証機構を設定したいと考えています。その結果、システム管理者は PAP 認証を使用する次のシナリオを実装します。
図 2-3 PAP 認証のシナリオ (自宅で仕事する) の例
システム管理者は専用のダイアルイン DMZ を作成します。これは、ルーターによって会社のネットワークの後方部と分離されています。DMZ という用語は、軍事用語の「非武装地帯」に由来しています。DMZ はセキュリティー目的のために分離されたネットワークです。通常、DMZ には、Web サーバー、匿名 (anonymous) ftp サーバー、データベース、モデムサーバーなど、会社が一般に公開するリソースが含まれています。ネットワーク設計者は通常、DMZ をファイアウォールと会社のインターネット接続の中間に設置します。
図 2-3 に示すように、DMZ に存在するのは、ダイアルインサーバーの myserver とルーターだけです。ダイアルインサーバーはリンクの設定時に、呼び出し側に PAP 資格 (ユーザー名とパスワードを含む) の提出を要求します。さらに、ダイアルインサーバーは PAP の login オプションも使用します。したがって、呼び出し側の PAP のユーザー名とパスワードは、ダイアルインサーバーのパスワードデータベースにある UNIX のユーザー名とパスワードに正確に一致する必要があります。
PPP リンクが設定されたら、呼び出し側のパケットはルーターに転送されます。ルーターはパケットを会社のネットワーク上かインターネット上の宛先に転送します。
「CHAP 認証の構成」でのタスクは、CHAP 認証の設定方法を示しています。手順では、「専用回線リンクの構成例」で紹介した架空の LocalCorp 社の CHAP 事例を使用します。
LocalCorp 社は、ISP の専用回線を介してインターネットに接続できます。LocalCorp 社のテクニカルサポート部では、大量のネットワークトラフィックが発生するので、独立した私設ネットワークが必要になっています。部署のフィールドエンジニアは、問題解決のための情報を入手するためにリモートからテクニカルサポートのネットワークに頻繁にアクセスする必要があります。私設ネットワークのデータベース内の機密情報を保護するには、リモートでの呼び出し側にログインの許可を与えるために、それらを認証する必要があります。
したがって、システム管理者は、ダイアルアップ PPP 構成に次の CHAP 認証シナリオを実装します。
図 2-4 CHAP 認証シナリオ (私設ネットワークを呼び出す) の例
テクニカルサポート部のネットワークから外部世界にリンクするのは、リンクのダイアルインサーバー側の端に接続しているシリアル回線だけです。システム管理者は、各フィールドサービスエンジニアが所持する PPP 用ラップトップコンピュータを CHAP シークレットなどを組み込んだ CHAP セキュリティーで構成します。ダイアルインサーバー上の CHAP シークレットデータベースには、テクニカルサポート内のネットワークに対する呼び出しが許されているすべてのマシンの CHAP 資格が含まれています。
次を参照してください。
「接続時の呼び出し元の認証」と pppd(1M) のマニュアルページ