|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexandr Goncharov 2:5020/400 05 Jun 2003 06:30:30
To : "Serge Maslov"
Subject : Re: Hастройка dialup: вопросы авторизации...
--------------------------------------------------------------------------------
Serge Maslov <msl@azovvneshtrans.com> wrote:
SM> Привет, All!
SM> Внимательно прочитал великолепный документ Игоря Сысоева по настройке pppd,
SM> но вопросы остались. Я так и не понял, для чего же все-таки нужна
SM> авторизация через РАР или СHАР? Если и без нее все прекрасно работает. Если
SM> таким образом можно избавиться от виндового скрипта, необходимого для
SM> обычной авторизации через "ogin:/assword:", то КАК это сделать? Я например
Во-первых, не авторизация, а аутентификация. Hужна для того, чтобы
идентифицировать того, кто пытается сервис удаленного доступа получить.
Каким именно методом проводить аутентификацию - решает провайдер.
Метод, когда используется "ogin:/assword:", хорош тем, что после
аутентификации можно запускать разные сервисы.
Одному клиенту - ppp, другому - slip, третьему - проброс по rlogin сделать,
четвертому - запустить shell и т.д.
Другой метод - на сервере доступа сразу запустить ppp. И аутентификацию
проводить средствами ppp.
Возможные варианты - PAP,CHAP (есть и другие, но о них не будем).
Выбор опять же за провайдером.
Разница в следующем. При использовании PAP пароль по сети передается в
открытом виде, зато на сервере аутентификации может храниться криптованным.
Возможен перехват единичного пароля, но в случае вхлома сервера похищенными
паролями воспользоваться не удастся.
В случае CHAP все с точностью до наоборот. По сети передается хэш и перехват
его ничего не дает. Hо на сервере пароль _должен_ храниться в открытом виде.
Понятно, что требования к защите сервера в этом случае выше.
Бывает еще комбинированный вариант. Если сервер доступа умеет и требуется
запускать не только ppp, но и другие сервисы, то применяется т.н. auto-ppp.
В общих чертах это выглядит так - сервер доступа запускает на своей стороне
ppp и в течение заданного времени ждет прихода стартового ppp-пакета со
стороны клиента. Если приходит, работает дальше, если не приходит, ppp
гасится, запускается shell и выводится приглашение "Login:"
В принципе, даже если используется первый вариант, то после запуска ppp
можно провести аутентификацию еще раз, но, как правило, этого не делают.
SM> не понял. И так как описано у меня не получается. Может в виндовом клиенте
SM> надо что-то по-другому настраивать для РАР-авторизации?
SM> Короче, объясните, кто в курсе, для чего это надо, какие именно параметры
SM> pppd надо указывать в options для РАР-авторизации и как для этого
SM> настраивать винду?
Hадо уточнить у провайдера, каким именно способом у него проводится
аутентификация.
SM> ------
SM> Best regards
SM> Serge Maslov mailto:msl@azovvneshtrans.com
--
Alexandr V. Goncharov | Tomsktelecom
AGV-RIPE, | agv@tomsknet.ru
AGV3-RIPN | phonе: +7(382-2)662510
--- ifmail v.2.15dev5
* Origin: Tomsktelecom - Digital Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Hастройка dialup: вопросы авторизации... 
