Linux PPP HOWTO: PAP/CHAP の認証ファイル

16. PAP/CHAP の認証ファイル

pap や chap を用いた認証方法を使う場合、そのための認証ファイル(secrets file)が必要です。それらは、

/etc/ppp/pap-secrets
/etc/ppp/chap-secrets

です。

最初に注意しておきますが、PAP や CHAP は本来ユーザではなく コンピュータシステムを認証するようにデザインされていることを記憶しておいてください。

というと、「どこが違うの？」という疑問が聞こえそうですね。

簡単に言ってしまうと、いったんあなたのコンピュータがサーバと PPP 接続を張ると、あなただけでなく、あなたのコンピュータシステムのどんなユーザでもその接続を使うことができるわけです。だからこそ、PPP を使って 2 つの LAN(Local Area Network)を結びつけ WAN(Wide Area Network)を仕立てることができるわけです。

接続先の ISP からは、ISP に接続してインターネットを使うためのユーザ名とパスワードを貰っているはずです。ISP にとって、あなたのコンピュータの名前はどうでもいいので、コンピュータの名前として ISP に登録しているあなたのユーザ名を使うことになります。

この名前は pppd の name username オプションで指定します。ですから、ISP から貰ったユーザ名を使う場合、/etc/ppp/options ファイルに以下の一行を加えます。

name your_username_at_your_ISP

技術的に厳密に言うと、PAP の場合は user our_username_at_your_ISP オプションを使うべきですが、pppd はPAP を使う場合、自動的に name を user と解釈します。 name オプションを使う利点は、このオプションは CHAP にも有効なことです。

PAP/CHAP はコンピュータを認証するための方式ですから、技術的にはリモート端のコンピュータ名も指定してやる必要があります。しかし、たいていの人は一つの ISP しか使わないため、設定ファイルのリモートホスト欄にはワイルドカード(*)の指定をしておけば十分です。

多くの ISP では、一つの電話番号に複数のモデムを接続し、それぞれ異なる名前のターミナルサーバに接続しています。このような場合もリモートのコンピュータの名前を接続前に決定することは不可能なので、設定ファイルのリモートホスト欄にはワイルドカードの指定をしておくべきです。

16.1 PAP の認証ファイル

/etc/ppp/pap-secrets ファイルはこのような形式をしています。

# Secrets for authentication using PAP
# client        server       secret     acceptable local IP addresses

4 つの欄がスペースキャラクタで区切られています。

ISP から貰ったユーザ名を fred、パスワードを flintstone とします。その場合、 /etc/ppp/options.ttySx ファイルにname fred オプションを設定し、/etc/ppp/pap-secrets ファイルには

# Secrets for authentication using PAP
# client        server  secret          acceptable local IP addresses
fred            *       flintstone

のように設定します。

この設定は、ローカルマシンの名前を fredに(実際のローカルなマシンの名前とは違っても pppd がその名前を使います)して、全ての サーバに接続する場合にflintstoneというパスワードを使うことになります。

あらかじめ静的な IP アドレスをもらっている場合以外、ローカルの IP アドレスを指定する必要はないことに御注意ください。

PAP を使って複数のマシンと接続するような場合、それぞれの接続先ごとに異なるユーザ名を使うか、接続先のマシン名を調べる必要があります。そして pap-secrets ファイルに必要な行を付け加えて、接続先のマシンごとにname オプションを正しく設定します。

16.2 CHAP の認証ファイル

現在のバージョンの pppd では相互認証方式が必要です。すなわち、あなたのマシンを接続先に認証すると同時に接続先のマシンをあなたのマシンに認証させる必要があります。

あなたのマシンが fred でリモートのマシンが barney の場合、あなたのマシンの /etc/ppp/options.ttySxにはname fred remotename barney オプションを、リモートマシンの /etc/ppp/options.ttySx ファイルには name barney remotename fred オプションをそれぞれ指定してやる必要があります。

fred の/etc/chap-secretsファイルはこのようになります。

# Secrets for authentication using CHAP
# client        server  secret            acceptable local IP addresses
fred            barney  flintstone

一方、barney のはこうです。

# Secrets for authentication using CHAP
# client        server  secret            acceptable local IP addresses
barney          fred    flintstone

次のページ前のページ目次へ