Mac OS X Server 10.3: VPN サーバに SecurID 認証を提供する方法

  • 最終更新日: 09 9月, 2008
  • 記事: HT3111

概要

(この情報は、こちらの記事を翻訳したものです。日本での使用環境、状況とは異なる場合があります。)

Mac OS X Server の VPN サービスは SecurID 認証を提供できますが、「サーバ管理」アプリケーションの中からはセットアップできません。ここではセットアップの方法を学習します。

対象製品

Mac OS X Server 10.3

Apple VPN サービスは通常の、デフォルトの Mac OS X Server 10.3 のインストールに含まれます。「サーバ管理」を使って標準 VPN サービスの設定は行えますが、「サーバ管理」には認証方法を選ぶためのインターフェイスがありません。デフォルト以外の認証スキーム(たとえば、RSA Security の SecurID)を指定する必要がある場合には、VPN の設定を手作業で変更する必要があります。

SecurID のセットアップ
RSA Security の SecurID 認証の設定を行うには、まず SecurID サーバから「sdconf.rec」ファイルをお使いの Mac OS X Server 上の新規ディレクトリ「/var/ace」にコピーする必要があります。

これは、いくつかの方法で実行できます。以下に 1 つの方法の手順を示します:

  1. お使いのサーバで、「ターミナル」(/アプリケーション/ユーティリティ/)を開きます。
  2. sudo mkdir /var/ace と入力します。
  3. Return キーを押します。
  4. 管理者のパスワードを入力して Return キーを押します。
  5. Dock で「Finder」アイコンをクリックします。
  6. 「移動」メニューから「フォルダへ移動」を選択します。
  7. /var/ace と入力します。
  8. 「移動」をクリックします。
  9. お使いの SecurID サーバから「ace」フォルダに「sdconf.rec」ファイルをコピーします。
  10. 「ace」フォルダが変更できないことを示すダイアログが表示されます。「認証」ボタンをクリックして、コピーを許可します。

 

次に、お使いの Mac OS X Server で VPN サービスの設定を行い、使用するプロトコルでの EAP-SecurID 認証を有効にします。PPTP で使うには、「ターミナル」アプリケーションで次の 2 つのコマンドを実行します:


# sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index: 0 = "EAP-RSA"
# sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP"

L2TP で使うには、「ターミナル」アプリケーションで次の 2 つのコマンドを実行します:

# sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index: 0 = "EAP-RSA"
# sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP"

SecurID の設定を行うのに必要なことは、これで全部です。Mac OS X Server の VPN サービスの設定の残りの作業は、「サーバ管理」アプリケーションで行うことができます。


VPN サービスの管理

A. VPN サービスの開始と終了
VPN サービスを開始または終了するには:

  1. 「サーバ管理」を開きます。
  2. 「コンピュータとサービス」リストで、対象サーバの隣の三角形をクリックします。
  3. サーバのサービスのリストから「VPN」を選択します。
  4. 設定を行うには、少なくとも 1 つのトランスポートプロトコルを選択します。
  5. 場合に応じて「サービスを開始」または「サービスを停止」をクリックします。


B. L2TP トランスポートプロトコルの有効化と設定
次に「サーバ管理」を使って L2TP トランスポートプロトコルを有効にします。このプロトコルを有効にするときには、接続設定も設定する必要があります。以下の項目を指定する必要があります:

  • IPSec 共有シークレット(認証局のセキュリティ証明書を使わない場合)
  • クライアントに割り当てられる IP アドレスの範囲
  • VPN 権限を許可するグループ(必要な場合)

L2TP を有効にするには、以下の手順を実行します:

  1. 「サーバ管理」で、「コンピュータとサービス」リストから「VPN サービス」を選択します。
  2. 「設定」をクリックします。
  3. 「一般」タブをクリックします。
  4. 「L2TP over IPsec を有効にする」というラベルのついたチェックボックスをクリックします。
  5. 共有シークレットを入力します。
  6. 割り当て範囲の開始 IP アドレスを設定します。
  7. 割り当て範囲の終了 IP アドレスを設定します。
  8. VPN ログインへのアクセス権を持つグループを入力します。


:「ユーザとグループ」ボタンを使ってグループを参照することができます。これを空白のままにすると、すべてのワークグループが VPN ログインへのアクセス権を持ちます。


C. PPTP トランスポートプロトコルの有効化と設定
次に「サーバ管理」を使って PPTP トランスポートプロトコルを有効にします。このプロトコルを有効にするときには、接続設定も設定する必要があります。以下の項目も指定する必要があります:

  • 暗号化キーの長さ(128 ビットに加えて、40 ビットをオプションで指定できます)
  • クライアントに割り当てられる IP アドレスの範囲
  • VPN 権限を許可するグループ(必要な場合)

 

PPTP を有効にするには、以下の手順を実行します:

 

  1. 「サーバ管理」で、「コンピュータとサービス」リストから「VPN サービス」を選択します。
  2. 「設定」をクリックします。
  3. 「一般」タブをクリックします。
  4. 「PPTP を有効にする」というラベルのついたチェックボックスをクリックします。
  5. 必要であれば「128 ビットの暗号化キー以外に 40 ビットの暗号化キーを許可する」を選択すると、128 ビットのキーに加えて 40 ビットのキーも使えるようになります。
    警告:40 ビットの暗号を許可するとセキュリティが弱くなりますが、一部の VPN クライアントアプリケーションのために、そうすることが必要な場合もあります。
  6. 割り当て範囲の開始 IP アドレスを設定します。
  7. 割り当て範囲の終了 IP アドレスを設定します。
  8. VPN ログインへのアクセス権を持つグループを入力します。「ユーザとグループ」ボタンを使ってグループを参照することができます。
  9. 注:これを空白のままにすると、すべてのワークグループが VPN ログインへのアクセス権を持ちます。
  10. 「保存」をクリックします。

 


D. VPN クライアントのための追加のネットワーク設定
ユーザが VPN を通じてサーバに接続するとき、そのユーザには割り当て範囲の中から 1 つの IP アドレスが与えられます。さらに、サーバの設定によって、自動的に DNS アドレスと検索ドメインも与えられます。クライアントに DNS アドレスまたは検索ドメインの異なるセットを提供したい場合には、DNS アドレス、ネットワークマスク、および検索ドメインを含めた設定を行う必要があります。

追加のネットワーク設定を行うには:

  1. 「サーバ管理」で、「コンピュータとサービス」リストから「VPN サービス」を選択します。
  2. 「設定」をクリックします。
  3. 「クライアント情報」タブをクリックします。
  4. 割り当てられた IP アドレス範囲に対するネットワークマスクを入力します。
  5. DNS サーバの IP アドレスを入力します。
  6. 必要に応じて任意の検索ドメインを入力します。
  7. 「保存」をクリックします。


E. ネットワークルーティング定義の設定
ネットワークルーティング定義によって、ルーティングをクライアントにインストールするように指定して、どのようなデータが VPN トンネルを通じて送られるかを制御できます。たとえば、ある IP アドレス範囲に送られるトラフィックはトンネルを通じて LAN に送られるようにルーティングし、他のすべてのトラフィックはユーザの通常の、セキュリティが保護されていないインターネット接続を通じて送られるように ルーティングすることもできます。これは、VPN トンネルに何を通すかをより細かく制御するのに役立ちます。これらの定義は秩序だっていないので、ネットワークマスクを使ってルーティングがどの程度限定 的であるかを定めます。パケットは最も限定的なルーティングを使ってルーティング制御されます。

ルーティング定義を設定するには:

  1. 「サーバ管理」で、「コンピュータとサービス」リストから「VPN サービス」を選択します。
  2. 「設定」をクリックします。
  3. 「クライアント情報」タブをクリックします。
  4. ルーティング定義リストの下にある「追加」ボタンをクリックします。
  5. ルーティングアドレスを入力します。
  6. このルーティングに対するネットワークマスクを入力します。
  7. ポップアップメニューからルーティングのタイプを選択します。


注:プライベートは VPN トンネルを経由するルーティングを意味します。パブリックはトンネルなしの通常のインターフェイスを使うことを意味します。

追加情報


Not helpful Somewhat helpful Helpful Very helpful Solved my problem