Home (Главная)

Page 191 - Страница 191
Page 191
background image

192 

Глава б. Настройка интерфейса 

pppd

 поддерживает два протокола проверки подлинности: протокол аутенти-

фикации с предварительным согласованием вызова CHAP (Challenge Hand-

shake Authentication Protocol) и протокол аутентификации пароля PAP 

(Password Authentication Protocol). PAP - это простая система парольной без-

опасности, уязвимая для всех видов атак на пароли многократного примене-

ния, тогда как CHAP предоставляет более совершенные механизмы проверки 

подлинности, не требующие использования паролей многократного приме-

нения и периодически выполняющие аутентификацию удаленной системы. 
В процессе проверки подлинности используются два файла: /etc/ррр/chap-

secrets и /etc/ррр/рар-secrets. Приведенные выше параметры предписывают 

pppd

 прежде всего попытаться аутентифицировать удаленную систему по-

средством CHAP. Такая проверка требует присутствия определенной инфор-

мации в файле chap-secrets, и удаленная система должна ответить на вызов 

CHAP. Если не выполнено хотя бы одно из условий,

 pppd

 пытается иденти-

фицировать удаленную систему посредством РАР. Если отсутствует подхо-

дящая запись в файле pap-secrets, либо удаленная система не ответила на 

вызов РАР, попытка установить соединение РРР заканчивается неудачей. 

Такой механизм позволяет выполнять проверку подлинности удаленных 

систем посредством CHAP (предпочтительного протокола), если возможно, 

или использовать РАР в качестве запасного варианта для систем, поддержи-

вающих только РАР. Однако чтобы этот механизм заработал, необходимо 

поместить корректные записи в оба файла. 

Каждая запись файла chap-secrets содержит до четырех полей: 

клиент 

Имя компьютера, который должен ответить на вызов, то есть компьюте-

ра, для которого необходимо произвести аутентификацию перед создани-

ем соединения. Речь не обязательно идет о клиенте, обращающемся к сер-

веру РРР: в большинстве документов используется термин клиент, хотя 

на деле это просто система-респондент - та, которая отвечает на вызов. 

Обе стороны канала РРР могут принудительно проходить проверку под-

линности. В вашем файле chap-secrets, вероятно, будет по две записи на 

каждую удаленную систему: одна запись для аутентификации этой систе-

мы, и еще одна, позволяющая проходить идентификацию по требованию 

этой системы. 

сервер 

Имя системы, от которой исходит вызов CHAP, то есть компьютера, кото-

рый требует аутентификации второй стороны перед созданием соедине-

ния РРР. Речь не обязательно идет о сервере РРР. Система-клиент вполне 

может потребовать предоставления данных идентификации у сервера. 

Термин сервер используется в большинстве документов, хотя на деле это 

система, проверяющая допустимость ответа. 

секрет 

Секретный ключ, которым шифруется строка вызова при передаче систе-
ме, от которой исходил вызов.