MS-CHAP

Windows 2000 では、MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) がサポートされています。このプロトコルは MS-CHAP Version 1 とも呼ばれます。MS-CHAP は、非可逆の、暗号化されたパスワードの認証プロトコルです。チャレンジ ハンドシェイク処理は、次のように行われます。

1. ユーザー認証システム (リモート アクセス サーバーまたは IAS サーバー) は、リモート アクセス クライアントにチャレンジを送信します。チャレンジは、セッション識別子と任意のチャレンジ文字列で構成されます。
2. リモート アクセス クライアントは、チャレンジ文字列のユーザー名と非可逆な暗号化、セッション ID、およびパスワードを含む応答を送信します。
3. ユーザー認証システムは応答を確認し、有効であれば、ユーザーの資格情報が認証されます。

MS-CHAP を認証プロトコルとして使うと、MMPE (Microsoft Point-to-Point Encryption) を使って、PPP または PPTP 接続で送信されるデータを暗号化することができます。

Windows 2000 では、MS-CHAP Version 2 もサポートされています。詳細については、「MS-CHAP version 2」を参照してください。

MS-CHAP の有効化

MS-CHAP ベースの認証を有効にするには、次の操作を行ってください。

1. リモート アクセス サーバーで、MS-CHAP を認証プロトコルとして有効にします。詳細については、「認証プロトコルを有効にするには」を参照してください。MS-CHAP は既定で有効になっています。
2. 適切なリモート アクセス ポリシーで MS-CHAP を有効にします。詳細については、「リモート アクセス ポリシーについて」および「認証を構成するには」を参照してください。MS-CHAP は既定で有効になっています。
3. Windows 2000 を実行するリモート アクセス クライアントで MS-CHAP を有効にします。詳細については、「MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)」を参照してください。

 注

• MS-CHAP (バージョン 1 およびバージョン 2) は、認証処理中のパスワード変更をサポートする Windows 2000 で提供される唯一の認証プロトコルです。
• 既定の設定では、Windows 2000 用の MS-CHAP v1 は LAN Manager 認証をサポートしています。Windows NT 3.5x、Windows 95 などの以前の Microsoft オペレーティング システムで、MS-CHAP v1 と共に LAN Manager を使うことを禁止する場合は、認証サーバーで、次のレジストリ値に 0 を設定しなければなりません。

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Allow LM Authentication

• IAS サーバーのリモート アクセス ポリシーで MS-CHAP v1 を有効にする前に、使用しているネットワーク アクセス サーバー (NAS) で MS-CHAP v1 がサポートされていることを確認してください。詳細については、NAS のマニュアルを参照してください。
• 使用している NAS が Cisco Systems, Inc. によって製造されたものである場合は、11.3 6T 以降のバージョンの Cisco IOS を使わなければなりません。使用している Cisco NAS の IOS バージョンを更新する方法の詳細については、使用している Cisco のマニュアルを参照してください。
• MS-CHAP v1 を認証プロトコルとして使う場合、ユーザーのパスワードが 14 文字を超えると、40 ビットで暗号化された接続は確立できません。この動作は、ダイヤルアップおよび仮想プライベート ネットワーク ベースのリモート アクセス、およびデマンド ダイヤル接続に影響を与えます。