Autentificarea la modă - PAP și CHAP
Până în prezent, script-ul nostru se realizează autentificarea, adică numele de utilizator și parola, ca răspuns la solicitările laterale la distanță. Dar PPP oferă și metodele sale de autentificare # 151; PAP (Password Authentication Protocol) și CHAP (Challenge Handshake Authentication Protocol) și le putem folosi în cazul în care partea de la distanță sunt destul de inteligent pentru a elibera nu numai o „conectare:“, dar, de asemenea, pentru PAP sau CHAP autentificare. Trebuie remarcat faptul că combinația de FreeBSD + getty, până de curând, nu a fost un astfel de dispozitiv inteligent, dar de la FreeBSD 2.2.7, getty recunoaște inițial LCP cadrele PPP-conexiunile și pot cauza, de exemplu, pppd, care decide ce să facă în continuare. Getty înainte de acest lucru ar putea da doar că aceeași „autentificare:“ și a trebuit să utilizeze mgetty.
Deoarece script-ul nostru dial-up nu mai este angajată în autentificare, trebuie să-l eliminați din „igor“ numele de utilizator, parola este „1234567“, iar eroarea de autentificare „Conectare incorectă“:
Acum, script-ul se termină imediat ce primește șirul „conectare:“. Rețineți că invitația de a „autentificare:“ nu are nici o legătură cu PAP și CHAP, pppd și tratează nu mai este, ca zgomotul în linie, astfel încât în loc de acest șir poate fi orice alt furnizor de invitație, în ultimă instanță, „>“.
autentificare PAP este după cum urmează # 151; la stabilirea PPP-conexiune parte la distanță ne invită să autentifice PAP. Suntem de acord și apoi peredaom numele și parola noastră în text clar. În cazul în care partea îndepărtată a numelui de utilizator și parola sunt îndeplinite, atunci autentificarea este de succes. Nume și parole pentru PAP stocate în fișierul / etc / ppp / PAP-secrete. El trebuie să aibă astfel de drepturi de acces „rw- --- ---“. În cazul nostru, vom scrie în acest fișier:
Formatul acestui șir este după cum urmează # 151; numele nostru, numele părții de la distanță și parola. PPA este doar numele și parola noastră, precum și numele părții de la distanță „rece“ poate fi arbitrară. În principiu, este necesar doar pentru a pppd pentru a determina ce parola pe care doriți să utilizați atunci când utilizați același nume pentru diferiți furnizori, cum ar fi:
Acum putem apela furnizorul:
igor Parametrii utilizator remotename rece și permite să identificați în mod unic, care parolă utilizat pentru autentificare, în acest caz, 1234567. După cum sa menționat deja, parametrul remotename necesară numai în cazul în care nu putem alege o parolă unic din fișierul / etc / ppp / PAP-secrete. numele nostru de partid poate fi setat folosind numele parametrului Igor. dar parametrul de utilizator are o prioritate mai mare. Rețineți că, deși parola este transmis în text clar, partea de la distanță poate stoca parola ca urmare a unei funcții hash, de exemplu, MD5, ca parametru al cărui este parola.
autentificarea CHAP este după cum urmează # 151; la stabilirea PPP-conexiune parte la distanță ne oferă autentificare CHAP. Suntem de acord, iar partea îndepărtată ne trimite cheia (provocare), constând dintr-o secvență aleatoare de caractere, și numele tău. Luăm parola noastră și a trimis cheia și le conduce prin algoritmul MD5. Rezultatul rezultat va trimite împreună cu numele tău. parte la distanță, știind parola noastră și trimite o cheie, la rândul său, face același lucru la domiciliu, iar dacă rezultatul său este același trimis de noi, atunci autentificarea este de succes. Astfel, parola nu este transmis în clar, dar partea de la distanță trebuie să păstreze parola noastră în clar.
Nume și parole pentru CHAP stocate în fișierul / etc / ppp / chap-secrete. drepturile de acces el ar trebui să fie aceeași ca și pentru PAP: „rw- --- ---“, și formatul rând este, de asemenea, același lucru:
Acum, furnizorul nostru de linie pentru un apel este după cum urmează:
Vă rugăm să rețineți că acesta este diferit de PAP doar lipsesc parametri remotename. Acest lucru se datorează faptului că partidul de la distanță în sine spune numele tau, asa ca numele ei este înregistrat în fișierul / etc / ppp / chap-secrets. Nu poate fi arbitrară, așa cum a fost cazul cu PPA. Chiar dacă setați parametrul remotename. numele, comunicată părții la distanță are o prioritate mai mare. În ceea ce privește numele de partea noastră, acesta poate fi, de asemenea, setat cu numele parametrului Igor.
Poate pppd se autentifică în unele cazuri, prin intermediul PPA, iar în altele # 151; prin CHAP. răspuns # 151; Da. La începutul pppd confirmă că acesta se poate autentifica, bazată pe numele local și numele părții la distanță, adică dacă există fișiere în / etc / ppp / pap-secrets sau / ppp / linii chap-secrets / etc cu nume. Și dacă, să zicem, parte la distanță propune CHAP, pppd nu poate găsi o parolă în fișierul / etc / ppp / chap-secrets. el întreabă PAP și dacă se potrivește partea îndepărtată, autentificarea va avea loc pe PAP.
În plus, puteți specifica pppd, că el nu a fost de acord să se autentifice într-un fel sau necesită oricare metodă de utilizare diverse combinații de opțiuni de gunoi PAP. refuze-cap. necesită-Pap și necesită-cap. Anterior, aceste opțiuni au fost numite respectiv -pap. -chap. Și + pap + cap.