RADIUS CHAP PAP 認証方式
ダイジェスト認証方式では、ディレクトリに保存されている暗号化されたユーザ属性文字列を読み込みます。次に、その文字列とユーザから受信した暗号化された文字列を比較します。これらの暗号化された文字列が一致すると、ポリシー サーバはユーザを認証します。暗号化された文字列の比較は、暗号化された転送を使用せずに実行されます。
casso127jpjp
ダイジェスト認証方式では、ディレクトリに保存されている暗号化されたユーザ属性文字列を読み込みます。次に、その文字列とユーザから受信した暗号化された文字列を比較します。これらの暗号化された文字列が一致すると、ポリシー サーバはユーザを認証します。暗号化された文字列の比較は、暗号化された転送を使用せずに実行されます。
以下のダイジェスト認証方法を使用できます。
- RADIUS CHAP
- RADIUS PAP
2
PAP の概要
PAP (パスワード認証プロトコル)は、2 方向ハンドシェイクを使用してユーザを認証する簡単な方法です。PAP がこの処理を実行するのは、認証を行うサーバに初めてリンクするときのみです。認証が確認されるか、または接続が終了するまで、ユーザのマシンは認証を行うサーバに ID/パスワードのペアを繰り返し送信します。
リモート ホストでログインをシミュレートするために、平文テキストのパスワードが使用可能である必要がある場所で、PAP 認証を使用します。この方式は、リモートホストでの通常のユーザ ログインと同等レベルのセキュリティを提供します。
CHAP の概要
CHAP (チャレンジ ハンドシェイク式認証プロトコル)は、PAP よりも安全性の高い認証方式です。CHAP 方式では、ユーザを識別するために以下の処理が実行されます。
- ユーザのマシンと認証を行うサーバ間でリンクが確立したら、サーバが接続リクエスタにチャレンジ メッセージを送信します。リクエスタは一方向性ハッシュ関数を使用して、取得した値でこれにレスポンスします。
- サーバは、リクエスタから返された値とサーバで計算した予測ハッシュ値を比較して確認します。
- 値が一致すると認証されます。不一致の場合は、接続が切断されます。
サーバは接続しているパーティに対して、新しいチャレンジ メッセージの送信をいつでもリクエストできます。CHAP 識別子は頻繁に変更され、サーバはいつでも認証リクエストを行うことができます。CHAP は PAP よりも高いレベルのセキュリティを提供します。
RADIUS CHAP PAP 方式の概要
RADIUS CHAP/PAP 方式では、ユーザ パスワードのダイジェストの計算によりユーザを認証します。次に、ポリシー サーバはダイジェストを RADIUS パケット内の CHAP パスワードと比較します。ダイジェストはハッシュ化パスワードで構成されます。これは、ディレクトリ属性を使用して計算されます。この属性は、RADIUS CHAP/PAP 認証方式の設定中に指定します。
RADIUS CHAP PAP 認証方式の前提条件
RADIUS CHAP/PAP 認証方式を設定するには、事前に以下の前提条件を満たしておく必要があります。
- クリア テキスト パスワード用に指定されているユーザ ディレクトリ内のフィールドに値が入っていること。
- ポリシー サーバが FIPS 専用モードで動作していないこと。ポリシー サーバが FIPS 専用モードで動作していると、RADIUS CHAP/PAP 認証方式はサポートされません。
RADIUS CHAP PAP 認証方式の設定
RADIUS プロトコルを使用している場合、RADIUS CHAP/PAP 認証方式を使用します。
注
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。以下の手順に従います。
- [インフラストラクチャ]-[認証]をクリックします。
- [認証方式]をクリックします。
- [認証方式の作成]をクリックします。
- [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
- [OK]をクリックします。
- 名前と保護のレベルを入力します。
- [認証方式のタイプ]リストから[RADIUS CHAP/PAP テンプレート]を選択します。
- [方式のセットアップ]セクションで平文のパスワードを指定します。
- [サブミット]をクリックします。
認証方式が保存されます。これで、この認証方式をレルムに割り当てることができます。
RADIUS サーバ認証方式
RADIUS プロトコルは、RADIUS サーバとしてポリシー サーバを動作させることによりサポートされます。NAS クライアントは RADIUS クライアントとして動作します。RADIUS エージェントは、ポリシー サーバと NAS クライアント デバイスの通信を可能にします。RADIUS サーバ認証方式では、ポリシー サーバは保護されているネットワークに接続されます。
この方式では、ユーザ名およびパスワードをユーザ証明として受け付けます。また、複数のインスタンスを定義できます。この方式では、RADIUS サーバが認証レスポンスで返す RADIUS 属性を解読しません。
RADIUS サーバ認証方式の前提条件
RADIUS 認証方式を設定するには、事前に以下の前提条件を満たしておく必要があります。
- RADIUS サーバが、ポリシー サーバがアクセスできるネットワーク上にあること。
- ポリシー サーバが FIPS 専用モードで動作していないこと。ポリシー サーバが FIPS 専用モードで動作していると、RADIUS サーバ認証方式はサポートされません。
RADIUS サーバ認証方式の設定
RADIUS サーバとしてポリシー サーバを使用しており、RADIUS クライアントとして NAS クライアントを使用している場合は、RADIUS サーバ認証方式を使用します。
注
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。以下の手順に従います。
- [インフラストラクチャ]-[認証]をクリックします。
- [認証方式]をクリックします。
- [認証方式の作成]をクリックします。
- [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
- [OK]をクリックします。
- 名前および保護レベルを入力します。
- [認証方式のタイプ]リストから[RADIUS サーバ テンプレート]を選択します。
- [方式のセットアップ]に、RADIUS サーバ IP アドレス、ポート番号、および共有秘密キーを入力します。
- [サブミット]をクリックします。
認証方式が保存されます。この認証方式をレルムに割り当てることができます。