Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
MSCHAP バージョン 2
MSCHAP バージョン 2
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

MSCHAP バージョン 2

機能情報の確認

この章の構成

MSCHAP バージョン 2 の前提条件

MSCHAP バージョン 2 の制約事項

MSCHAP バージョン 2 の概要

MSCHAPバージョン 2 の設定方法

MSCHAP V2 の認証の設定

MSCHAP V2 設定の確認

クリプトベースのクライアントのパスワード エージングの設定

設定例

ローカル認証の設定:例

RADIUS 認証の設定:例

クリプト認証を使用したパスワード エージングの設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

MSCHAP バージョン 2 の機能情報

MSCHAP バージョン 2

Cisco IOS リリース 12.2(2)XB5 で導入された MSCHAP バージョン 2 機能を使用すると、Cisco ルータは、Microsoft Windows オペレーティング システムを使用するコンピュータと Network Access Server(NAS; ネットワーク アクセス サーバ)間の PPP 接続に Microsoft Challenge Handshake Authentication Protocol Version 2(MSCHAP V2; マイクロソフト チャレンジ ハンドシェーク認証プロトコル バージョン 2)の認証を使用できます。

Cisco IOS リリース 12.4(6)T では、MSCHAP V2 が新機能をサポートするようになりました。これを MSCHAPv2 のパスワード エージングの AAA でのサポートと呼びます。Cisco IOS リリース 12.4(6)T よりも前のバージョンでは、Password Authentication Protocol(PAP; パスワード認証プロトコル)ベースのクライアントが Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サブシステムにユーザ名とパスワードの値を送信すると、AAA が RADIUS サーバへの認証要求を生成していました。パスワードが失効している場合は、RADIUS サーバにより認証失敗のメッセージが返信されますが、認証が失敗した理由は AAA サブシステムには渡されていませんでした。そのため、認証が失敗したためにユーザはアクセスを拒否されますが、アクセスが拒否された理由は通知されませんでした。

Cisco IOS リリース 12.4(6)T で使用可能になったパスワード エージング機能は、パスワードが失効したことをクリプトベースのクライアントに通知し、ユーザがパスワードを変更するための一般的な方法を提供します。パスワード エージング機能では、クリプトベースのクライアントのみをサポートします。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「MSCHAP バージョン 2 の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

MSCHAP バージョン 2 の前提条件

interface コマンドを使用してインターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

encapsulation コマンドを使用して、PPP をカプセル化するためのインターフェイスを設定します。

クライアントのオペレーティング システムが MSCHAP V2 のすべての機能をサポートしていることを確認してください。

Cisco IOS リリース 12.4(6)T のパスワード エージング機能は、クリプトベースのクライアントの RADIUS 認証のみをサポートします。

RADIUS サーバが送信する認証失敗アトリビュートを MSCHAP バージョン 2 機能が正しく解釈していることを確認するには、 ppp max-bad-auth コマンドを設定し、認証のリトライ回数を 2 回以上に設定する必要があります。

MSCHAP バージョン 2 機能でパスワードを変更できるようにするには、「MSCHAP V2 の認証の設定」で説明しているように、RADIUS サーバが送信する認証失敗アトリビュートを正しく解釈する必要があります。

また、 radius server vsa send authentication コマンドを設定し、RADIUS クライアントがベンダー固有アトリビュートを RADIUS サーバに送信できるようにする必要があります。パスワード変更機能は、RADIUS 認証のみでサポートされています。

Microsoft Windows 2000、Microsoft Windows XP、および Microsoft Windows NT のオペレーティング システムには、パスワード変更機能の動作を妨げる既知の注意事項があります。次の URL で Microsoft のパッチをダウンロードする必要があります。

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q326770

これらのタスクの実行の詳細については、『 Cisco IOS Dial Technologies Configuration Guide ,
Release 12.4T
』の PPP Configuration」 参照してください。RADIUS サーバで認証を設定する必要があります。RADIUS サーバでの RADIUS 認証の設定の詳細については、ベンダー固有のマニュアルを参照してください。

MSCHAP バージョン 2 の制約事項

MSCHAP V2 の認証は、MSCHAP V1 の認証と互換性がありません。

パスワード変更オプションは RADIUS 認証のみでサポートされており、ローカル認証では使用できません。

MSCHAP バージョン 2 の概要

MSCHAP V2 の認証は、Microsoft Windows 2000 オペレーティング システムが使用するデフォルトの認証方式です。この認証方式をサポートする Cisco ルータを使用すると、Microsoft Windows 2000 オペレーティング システムのユーザは、クライアントで認証方式を設定せずにリモートの PPP セッションを確立できます。

MSCHAP V2 の認証では、MSCHAP V1 または標準の CHAP 認証では使用できない追加機能が導入されました。それは、パスワードの変更機能です。パスワード変更機能を使用すると、パスワードが失効したことを RADIUS サーバがレポートした場合に、クライアントがアカウントのパスワードを変更できます。


) MSCHAP V2 の認証は更新バージョンの MSCHAP です。これは、MSCHAP バージョン 1(V1)と似ていますが、互換性はありません。MSCHAP V2 では、ピアとパスワード変更機能の間の相互認証が導入されました。


MSCHAP バージョン 2 の設定方法

MSCHAP バージョン 2 機能の設定作業については、次の各項を参照してください。

「MSCHAP V2 の認証の設定」(必須)

「MSCHAP V2 設定の確認」(任意)

「クリプトベースのクライアントのパスワード エージングの設定」(任意)

MSCHAP V2 の認証の設定

ローカル認証または RADIUS 認証で MSCHAP V2 認証を受け入れるように NAS を設定し、RADIUS 認証の認証失敗アトリビュートおよびベンダー固有の RADIUS アトリビュートを適切に解釈できるようにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. radius-server vsa send authentication

4. interface type number

5. ppp max-bad-auth number

6. ppp authentication ms-chap-v2

7. end

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

radius-server vsa send authentication

 

Router(config)# radius-server vsa send authentication

ベンダー固有アトリビュートを認識して使用するように NAS を設定します。

ステップ 4

interface type number

 

Router(config)# interface FastEthernet 0/1

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

ppp max-bad-auth number

 

Router(config-if)# ppp max-bad-auth 2

認証が失敗した直後、または指定された認証のリトライ回数の範囲内である場合にはリセットするように、ポイントツーポイント インターフェイスを設定します。

number 引数のデフォルト値は 0 秒(即座に実行)です。

範囲は 0 ~ 255 です。


) NAS が認証失敗アトリビュートを解釈できるように、number 引数の値には最低でも 2 を設定する必要があります。


ステップ 6

ppp authentication ms-chap-v2

 

Router(config-if)# ppp authentication ms-chap-v2

NAS で MSCHAP V2 認証をイネーブルにします。

ステップ 7

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

MSCHAP V2 設定の確認

MSCHAP バージョン 2 機能が正しく設定されているかどうかを確認するには、次の手順を実行します。

手順の概要

1. show running-config interface type number

2. debug ppp negotiation

3. debug ppp authentication

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

show running-config interface type number

 

Router# show running-config interface Asynch65

MSCHAP V2 の設定が、指定されたインターフェイスの認証方式であることを確認します。

ステップ 2

debug ppp negotiation

 

Router# debug ppp negotiation

MSCHAP V2 のネゴシエーションが成功していることを確認します。

ステップ 3

debug ppp authentication

 

Router# debug ppp authentication

MSCHAP V2 認証が成功していることを確認します。

クリプトベースのクライアントのパスワード エージングの設定

AAA セキュリティ サービスにより、さまざまなログイン認証方式を容易に実行できるようになります。使用するように指定したサポート対象のログイン認証方式には関係なく AAA 認証をイネーブルにするには、 aaa authentication login コマンドを使用します。 aaa authentication login コマンドを使用すると、ログイン時に試行する認証方式リストを 1 つ以上作成できます。これらのリストは、 login authentication ライン コンフィギュレーション コマンドによって適用されます。

RADIUS サーバが新しいパスワードを要求すると、AAA はクリプト クライアントにクエリーを実行し、今度はユーザに新しいパスワードを入力するように求めます。

クリプトベースのクライアントにログイン認証とパスワード エージングを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。


) AAA のパスワード失効インフラストラクチャは、パスワードが失効したことを Easy VPN に通知し、ユーザがパスワードを変更するための一般的な方法を提供します。RADIUS サーバのドメイン削除機能と AAA のパスワード失効のサポートをうまく組み合わせて使用してください。


手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication login { default | list-name } passwd-expiry method1 [ method2 ...]

5. crypto map map-name client authentication list list-name

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA をグローバルにイネーブルにします。

ステップ 4

aaa authentication login { default | list-name } passwd-expiry method1 [ method2... ]

 

Router(config)# aaa authentication login userauthen passwd-expiry group radius

ローカルの認証リストでクリプトベースのクライアントのパスワード エージングをイネーブルにします。

ステップ 5

crypto map map-name client authentication list list-name

 

 
Router(config)# crypto map clientmap client authentication list userauthen

既存のクリプト マップで、ユーザ認証(認証方式のリスト)を設定します。

設定例

ここでは、次の設定例について説明します。

「ローカル認証の設定:例」

「RADIUS 認証の設定:例」

「クリプト認証を使用したパスワード エージングの設定:例」

ローカル認証の設定:例

次の例では、非同期インターフェイスに PPP を設定し、ローカルで MSCHAP V2 認証をイネーブルにします。

interface Async65
ip address 10.0.0.2 255.0.0.0
encapsulation ppp
async mode dedicated
no peer default ip address
ppp max-bad-auth 3
ppp authentication ms-chap-v2
username client password secret

RADIUS 認証の設定:例

次の例では、非同期インターフェイスに PPP を設定し、RADIUS を使用して MSCHAP V2 認証をイネーブルにします。

interface Async65
ip address 10.0.0.2 255.0.0.0
encapsulation ppp
async mode dedicated
no peer default ip address
ppp max-bad-auth 3
ppp authentication ms-chap-v2
exit
aaa authentication ppp default group radius
radius-server host 10.0.0.2 255.0.0.0
radius-server key secret
radius-server vsa send authentication

クリプト認証を使用したパスワード エージングの設定:例

次の例では、クリプトベースのクライアントを持つ AAA を使用して、パスワード エージングを設定します。

aaa authentication login userauthen passwd-expiry group radius
!
aaa session-id common
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3000client
key cisco123
dns 10.1.1.10
wins 10.1.1.20
domain cisco.com
pool ippool
acl 153
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
crypto map clientmap client authentication list userauthen
!
radius-server host 10.140.15.203 auth-port 1645 acct-port 1646
radius-server domain-stripping prefix-delimiter $
radius-server key cisco123
radius-server vsa send authentication
radius-server vsa send authentication 3gpp2
!
end
 
 

その他の参考資料

ここでは、MSCHAP バージョン 2 の機能に関する関連資料について説明します。

関連資料

内容
参照先

PPP インターフェイスの設定

Cisco IOS Dial Technologies Configuration Guide , Release 12.4T 「PPP Configuration

シスコのネットワーキング装置の設定および管理に必要なタスクとコマンドの説明

『Cisco IOS Dial Technologies Command Reference』

IOS セキュリティ コマンドの一覧

『Cisco IOS Security Command Reference』

AAA を使用した PPP 認証の設定

Cisco IOS Security Configuration Guide: Securing User Services , Release 12.4T Configuring Authentication 」モジュールの「 Configuring PPP Authentication Using AAA

RADIUS 認証の設定

Cisco IOS Security Configuration Guide: Securing User Services , Release 12.4T 』の「 Configuring RADIUS モジュール

規格

規格
タイトル

この機能によってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 1661

Point-to-Point Protocol (PPP)

RFC 2548

Microsoft Vendor-specific RADIUS Attributes

RFC 2759

Microsoft PPP CHAP Extensions, Version 2

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

MSCHAP バージョン 2 の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 MSCHAP バージョン 2 の機能情報

機能名
リリース
機能情報

MSCHAP バージョン 2

12.2(2)XB5
12.2(13)T
12.4(6)T

Cisco IOS リリース 12.2(2)XB5 で導入された MSCHAP バージョン 2 機能を使用すると、Cisco ルータは、Microsoft Windows オペレーティング システムを使用するコンピュータと Network Access Server(NAS; ネットワーク アクセス サーバ)間の PPP 接続に Microsoft Challenge Handshake Authentication Protocol Version 2(MSCHAP V2; マイクロソフト チャレンジ ハンドシェーク認証プロトコル バージョン 2)の認証を使用できます。

この機能は、12.2(2)XB5 で初めて導入されました。

この機能は、12.2(13)T で Cisco IOS リリース 12.2(13)T に統合されました。

この機能は、12.4(6)T で更新され、クリプトベースのパスワード エージング機能が追加されました。

次のコマンドが導入または変更されました。 aaa authentication login、および ppp authentication ms-chap-v2