CHAP

CHAP (Challenge Handshake Authentication Protocol: チャレンジ ハンドシェイク認証プロトコル) は、応答の暗号化に業界標準の MD5 (Message Digest 5) ハッシング方式が使われる、チャレンジ/応答認証プロトコルです。CHAP は、ネットワーク アクセス サーバーおよびネットワーク アクセス クライアントのさまざまなベンダーで使われています。Windows 2000 を実行するリモート アクセス サーバーでは、Microsoft リモート アクセス クライアント以外のクライアントが認証されるように、CHAP がサポートされています。

CHAP ベースの認証を有効にするには、次の操作を行ってください。

1. リモート アクセス サーバーで、CHAP を認証プロトコルとして有効にします。詳細については、「認証プロトコルを有効にするには」を参照してください。CHAP は既定で無効になっています。
2. 適切なリモート アクセス ポリシーで CHAP を有効にします。詳細については、「リモート アクセス ポリシーについて」および「認証を構成するには」を参照してください。
3. 暗号化を元に戻せる形式でのユーザーのパスワードの格納を有効にします。

ユーザー アカウントごとに可逆暗号化形式のユーザーのパスワードの格納を有効するか、またはドメイン内のすべてのアカウントに対して格納を有効にすることができます。詳細については、「元に戻せる状態で暗号化されたパスワードをドメインで有効にする」を参照してください。

4. 新しいパスワードが可逆暗号化形式になるように、ユーザーのパスワードを強制的にリセットします。

パスワードを可逆暗号化形式で格納できるようにした場合、現在のパスワードは可逆暗号化形式ではないので、自動的には変更されることはありません。ユーザーのパスワードをリセットするか、または次回各ユーザーがログオンしたときにユーザーのパスワードが変更されるように設定しなければなりません。詳細については、「パスワードをリセットするには」および「ユーザー アカウントのプロパティを変更するには」を参照してください。パスワードを変更すると、そのパスワードは可逆暗号化形式で格納されます。

次回ユーザーがログオンしたときにユーザーのパスワードが変更されるように設定した場合、ユーザーは CHAP を使ってリモート アクセス接続でログオンする前に、LAN 接続を使ってログオンし、パスワードを変更しなければなりません。CHAP を使って認証の処理中にパスワードを変更することはできません。ログオン試行が失敗します。リモート アクセス ユーザーが実行できる回避方法の 1 つは、MS-CHAP を使って一時的にログオンし、パスワードを変更することです。

5. Windows 2000 を実行するリモート アクセス クライアントで CHAP を有効にします。詳細については、「CHAP (Challenge Handshake Authentication Protocol)」を参照してください。

 注

• 使用しているパスワードの有効期限が切れていても、CHAP は認証の処理中にパスワードを変更できません。
• IAS サーバーのリモート アクセス ポリシーで CHAP を有効にする前に、使用しているネットワーク アクセス サーバー (NAS) で CHAP がサポートされていることを確認してください。詳細については、NAS のマニュアルを参照してください。