次のページ 前のページ 目次へ

16. PAP/CHAP の認証ファイル

pap や chap を用いた認証方法を使う場合、そのための認証ファイル(secrets file)が必要です。それらは、 

/etc/ppp/pap-secrets
/etc/ppp/chap-secrets

です。

最初に注意しておきますが、PAP や CHAP は本来ユーザではなく コンピュータシステムを認証するようにデザインされていることを 記憶しておいてください。

というと、「どこが違うの?」という疑問が聞こえそうですね。

簡単に言ってしまうと、いったんあなたのコンピュータがサーバと PPP 接続 を張ると、あなただけでなく、あなたのコンピュータシステムのどんなユー ザでもその接続を使うことができるわけです。だからこそ、PPP を使っ て 2 つの LAN(Local Area Network)を結びつけ WAN(Wide Area Network)を仕 立てることができるわけです。

接続先の ISP からは、ISP に接続してインターネットを使うためのユーザ名 とパスワードを貰っているはずです。ISP にとって、あなたのコンピュータの 名前はどうでもいいので、コンピュータの名前として ISP に登録しているあ なたのユーザ名を使うことになります。

この名前は pppd の name username オプションで指定します。です から、ISP から貰ったユーザ名を使う場合、/etc/ppp/options ファ イルに以下の一行を加えます。 

name your_username_at_your_ISP

技術的に厳密に言うと、PAP の場合は user our_username_at_your_ISP オプションを使うべきですが、pppd はPAP を使う場合、自動的に nameuser と解釈します。 name オプションを使う利点は、このオプションは CHAP にも有効な ことです。

PAP/CHAP はコンピュータを認証するための方式ですから、技術的に はリモート端のコンピュータ名も指定してやる必要があります。しかし、たい ていの人は一つの ISP しか使わないため、設定ファイルのリモートホスト欄 にはワイルドカード(*)の指定をしておけば十分です。

多くの ISP では、一つの電話番号に複数のモデムを接続し、それぞれ異なる 名前のターミナルサーバに接続しています。このような場合もリモートのコン ピュータの名前を接続前に決定することは不可能なので、設定ファイルのリモー トホスト欄にはワイルドカードの指定をしておくべきです。

16.1 PAP の認証ファイル

/etc/ppp/pap-secrets ファイルはこのような形式をしています。 

# Secrets for authentication using PAP
# client        server       secret     acceptable local IP addresses

4 つの欄がスペースキャラクタで区切られています。

ISP から貰ったユーザ名を fred、パスワードを flintstone とします。その場合、 /etc/ppp/options.ttySx ファイルにname fred オプショ ンを設定し、/etc/ppp/pap-secrets ファイルには 

# Secrets for authentication using PAP
# client        server  secret          acceptable local IP addresses
fred            *       flintstone

のように設定します。

この設定は、ローカルマシンの名前を fredに(実際のローカルなマ シンの名前とは違っても pppd がその名前を使います)して、全ての サーバに接続する場合にflintstoneというパスワードを使うことに なります。

あらかじめ静的な IP アドレスをもらっている場合以外、ローカルの IP アド レスを指定する必要はないことに御注意ください。

PAP を使って複数のマシンと接続するような場合、それぞれの接続先ごとに異 なるユーザ名を使うか、接続先のマシン名を調べる必要があります。そして pap-secrets ファイルに必要な行を付け加えて、接続先のマシンご とにname オプションを正しく設定します。

16.2 CHAP の認証ファイル

現在のバージョンの pppd では相互認証方式が必要です。すなわち、あなたの マシンを接続先に認証すると同時に接続先のマシンをあなたのマシ ンに認証させる必要があります。

あなたのマシンが fred でリモートのマシンが barney の 場合、あなたのマシンの /etc/ppp/options.ttySxにはname fred remotename barney オプションを、リモートマシンの /etc/ppp/options.ttySx ファイルには name barney remotename fred オプションをそれぞれ指定してやる必要があります。

fred の/etc/chap-secretsファイルはこのようになります。 

# Secrets for authentication using CHAP
# client        server  secret            acceptable local IP addresses
fred            barney  flintstone

一方、barney のはこうです。 

# Secrets for authentication using CHAP
# client        server  secret            acceptable local IP addresses
barney          fred    flintstone

次のページ 前のページ 目次へ