- PR -

【Cisco】 Chap認証 username設定

1
投稿者投稿内容
krinkle
会議室デビュー日: 2009/02/25
投稿数: 10
投稿日時: 2009-02-25 15:26
もしご存知の方がいればご教授願いたいのですが

シスコルータでpppの設定をする際usernameとpasswordは
大文字と小文字を判別するということをciscoは言っています。

http://www.cisco.com/JP/support/public/mt/tac/100/1003448/ppp_authen_ts_fl.shtml#8

ところが実際は文字列が同一であれば同じものとして認識してしまうようです。

例えば下図のような構成で
 -------  ------    --------
|routerA|- | INS |- | routerB |
 -------   ------    --------

ルータAに
username ABC password abc

ルータBに
username abc password abc

と入力すると認証が出来てしまいます。

また例えば同一機器で
username ABC password abc
と入力し続いて
username abc password abc
と入力すると弾かれはしませんが
sh runでみると後者の設定は反映されていません。

上記URLの内容の通りciscoはweb上では出来ると言っているので
出来るものだと思っているのですが、これは仕様なのでしょうか?

ちなみにcisco1812,cisco1841,cisco811では全て同様の結果となりました。





krinkle
会議室デビュー日: 2009/02/25
投稿数: 10
投稿日時: 2009-02-26 18:39
幾つか追記します。

IOSバージョンですが、12.4(6)T10を使用していました。
その後latestを上げて12.4(22)Tに上げましたが結果は同様でした。

ciscoのbug toolをあさってもそれらしき物は出てはきませんでした。

またその後の検証でPAPではどうなるのかを試してみました。

同様の構成においてお互いのルータで
usernameを大文字小文字で変えた所、やはり認証出来てしまいましたが
パスワードを大文字小文字で変えたところ認証に失敗しました。

CHAPでも同様にパスワードをお互いに大文字小文字で変えましたが
認証出来てしまいました。









たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-03-02 17:28
微妙な読み違いかと;;

本件の参照ページは、Ciscoルータを標準的なpppクライアントとして設定するための
手順を示しているようで、Ciscoルータのpppサーバとしての仕様とは異なるようです。

つまり、認証相手は機種不特定のpppサーバなので、Caps注意ということでは?


ちなみに大文字は16進で41(A)から、小文字は61(a)からですが、
実装上は区別するほうが単純ですね。

_________________
_福田太郎_
krinkle
会議室デビュー日: 2009/02/25
投稿数: 10
投稿日時: 2009-03-03 10:10
返信ありがとうございます。

あの後シスコのCHAP動作ドキュメントを追ってみたところ
シスコではインターネット上のAPでは大文字小文字を同一扱いする為、基本的には
ホストネームの区別をする動作を期待しないようにと記載されていました。

またppp chap passwordの設定はCHAPの認証動作時に
対向のusernameをしらなくてもそのpasswordを使用して
hashを作成する為の設定ということがわかりました。

同一文字列のホスト名で大文字・小文字で変えるなどという設定はした事が
なかったので少々動揺してしまいましたが
とりあえずは「こういうもの」ということで解決しました。



[ メッセージ編集済み 編集者: krinkle 編集日時 2009-03-03 15:41 ]

[ メッセージ編集済み 編集者: krinkle 編集日時 2009-03-03 16:56 ]
1

スキルアップ/キャリアアップ(JOB@IT)