OTP のインストール

1. OTP 導入の意義: 利用者認証処理における問題点

ログイン時やファイル転送時に利用される unix password による認証方法において, 自分 (local) の端末と login 先 (remote) の間の通信を盗聴される可能性がある. それを回避する方法として次の事柄が挙げられる.

• 通信内容の暗号化 (ssh や SSL telnet 等)
• One Time Password (使い捨てパスワード)の利用

ssh や SSL を使うにはサーバとクライアントの両方に 暗号化のためのプログラムをインストールする必要がある. これに対して OTP は従来の telnet のパスワードを特別なものに 変えるだけなのでクライアントは従来の telnet クライアントだけでよい. 従って, 多種OSの数多くの機械からの接続をサポートすべき専攻サーバの場合, OTP を利用する必要がある.

2. 準備

2.1 ソフトウェアの入手

opie-2.4.tar.gz (2001/11/23 現在, OTP の最新版)を入手する. 入手先(ftp サイト)は次の通りである.

• US Naval Research Laboratory
• 日本の official mirror site
• ftp://ftp.eos.hokudai.ac.jp/pub/network/security/opie

• これらのサイトは, anonymous FTP のパスワードとして入力する電子 メールアドレスをチェックしているので, 不当なパスワードを送信する Microsoft Internet Explorer では FTP が使えない. よって unix machine から正規の方法により FTP を行うようにする.
• FTP を行う前に“README” file を読んで, 最新の package version を確認する.
• Appendix-1 に今回調べた opie のSupported commands/Firewalls, version情報などを掲載する.
• opie の Debian パッケージは login や ftpd を含んでいなかったため, 今回使用しなかった.

2.2 確認作業

以下のパッケージがインストールされているか確認する.

• gcc (C コンパイラ)
• bison (yacc の互換品)
• make

3. Install 作業手順

作業当事者 mondo1 さんのホームディレクトリに, opie-2.4.tar.gz をダウンロードしてきたものとする. そしてそのホームディレクトリ内で作業を行うものとする.

3.1. opie-2.4.tar.gz を展開する

$ cd ~mondo1 

$ tar xvzf opie-2.4.tar.gz 

$ cd opie-2.4 

3.2. configure を実行する

実行する前に一通り INSTALL を読み全体の install 手順を知っておくこと.

configure の実行には ssh 等を用いてネットワーク経由でログインしている 時にもパスフレーズの設定ができるようにオプションを付ける.

$ sh configure --disable-insecure-override 

3.3. Opie のコンパイル, インストール

$ make 

# make install 

4. 失敗例と対処法

4.1. configure の失敗

configure が FTPD の場所 (/usr/sbin/in.ftpd)を見つけてくれなかった.
この場合、FTPをしようとするとパスワードが違うと言われ、ログインパスワードを入れると通ってしまう.

Makefile の以下の項目を修正.

# vi opie-2.4/Makefile 

FTPD= → FTPD=/usr/sbin/in.ftpd

再コンパイルしてインストール.

$ make 

# make install 

5. 参考文献

• One Time Password
• one-time-password authentication frequently asked questions
• One-Time Password support list

Appendix-1

『http://www.st.ryukoku.ac.jp/~kjm/security/otp/otp-supported-list』を参照

○ Supported commands/Firewalls
 login
 ftpd                 in opie package
 su
 telnetd  : telnetd use login command for authentication
 dcadem-wu-ftpd  : patch available
 sudo  : supported
 rlogind  : rlogind use login command for authentication
 rshd  : rshd doesn't prompt for authentication
 FireWall-1  : supported

○ version information
 latest : opie-2.3
 ・main : 2.32
 ・test(experimental)  : 2.34

Appendix-2

A list of "configure-time options" available for OPIE

Usage: configure [options] [host]
Options: [defaults in brackets after descriptions]
Configuration:
  --cache-file=FILE       cache test results in FILE
  --help                  print this message
  --no-create             do not create output files
  --quiet, --silent       do not print `checking...' messages
  --version               print the version of autoconf that created configure
Directory and file names:
  --prefix=PREFIX         install architecture-independent files in PREFIX
                          [/usr/local]
  --exec-prefix=EPREFIX   install architecture-dependent files in EPREFIX
                          [same as prefix]
  --bindir=DIR            user executables in DIR [EPREFIX/bin]
  --sbindir=DIR           system admin executables in DIR [EPREFIX/sbin]
  --libexecdir=DIR        program executables in DIR [EPREFIX/libexec]
  --datadir=DIR           read-only architecture-independent data in DIR
                          [PREFIX/share]
  --sysconfdir=DIR        read-only single-machine data in DIR [PREFIX/etc]
  --sharedstatedir=DIR    modifiable architecture-independent data in DIR
                          [PREFIX/com]
  --localstatedir=DIR     modifiable single-machine data in DIR [PREFIX/var]
  --libdir=DIR            object code libraries in DIR [EPREFIX/lib]
  --includedir=DIR        C header files in DIR [PREFIX/include]
  --oldincludedir=DIR     C header files for non-gcc in DIR [/usr/include]
  --infodir=DIR           info documentation in DIR [PREFIX/info]
  --mandir=DIR            man documentation in DIR [PREFIX/man]
  --srcdir=DIR            find the sources in DIR [configure dir or ..]
  --program-prefix=PREFIX prepend PREFIX to installed program names
  --program-suffix=SUFFIX append SUFFIX to installed program names
  --program-transform-name=PROGRAM
                          run sed PROGRAM on installed program names
Host type:
  --build=BUILD           configure for building on BUILD [BUILD=HOST]
  --host=HOST             configure for HOST [guessed]
  --target=TARGET         configure for TARGET [TARGET=HOST]
Features and packages:
  --disable-FEATURE       do not include FEATURE (same as --enable-FEATURE=no)
  --enable-FEATURE[=ARG]  include FEATURE [ARG=yes]
  --with-PACKAGE[=ARG]    use PACKAGE [ARG=yes]
  --without-PACKAGE       do not use PACKAGE (same as --with-PACKAGE=no)
  --x-includes=DIR        X include files are in DIR
  --x-libraries=DIR       X library files are in DIR
--enable and --with options recognized:
  --enable-access-file=FILENAME
                          Enable the OPIE access file FILENAME
  --enable-server-md4     Use MD4 instead of MD5 for the server
  --disable-user-locking  Disable user locking
  --enable-user-locking[=DIR]
                          Put user lock files in DIR [/etc/opielocks]
  --enable-retype         Ask users to re-type their secret pass phrases
  --enable-su-star-check  Refuse to switch to disabled accounts
  --disable-new-prompts   Use more compatible (but less informative) prompts
  --enable-insecure-override
                          Allow users to override insecure checks
  --enable-anonymous-ftp  Enable anonymous FTP support
  --disable-utmp          Disable utmp logging
  --disable-wtmp          Disable wtmp logging