Next Previous Contents

13. Če vaš PPP strežnik uporablja PAP (Password AuthenticationProtocol)

Če strežnik, s katerim se povezujete, zahteva avtentikacijo PAP ali CHAP, imate malenkost več dela.

Zgornji datoteki z možnostmi dodajte sledeče vrstice


#
# prisili pppd, da uporabi uporabniško pri PIS-u kot ,gostiteljsko ime` med
# avtentikacijo

name <vaše uporabniško ime pri PIS-u>        # to vrstico morate spremeniti

#
# Če imate PPP strežnik in morate prisiliti uporabo PAP/CHAP, odstranite
# znak ,#` pred pravo opcijo. NE uporabljajte tega, če se povezujete s PPP
# strežnikom. 
#+chap
#+pap
#
# Če uporabljate ŠIFRIRANA gesla v datoteki /etc/ppp/pap-secrets, odstranite
# znak ,#` na začetku sledeče vrste.
# Opomba: to NI isto kot MS šifrirana gesla, ki se jih da nastaviti v MS
# RAS-u na Windows NT.
#+papcrypt

13.1 Uporaba MSCHAP-a

Microsoft Windows NT RAS lahko uporablja variacijo CHAP-a (Challenge/Handshake Authentication Protocol). V datoteki tar z izvorno kodo PPP-ja boste našli datoteko README.MSCHAP80, ki obravnava to.

Ali strežnik zahteva avtentikacijo s tem protokolom boste ugotovili z omogočenjem odkrivanja napak (,,razhroščevanje``) v pppd-ju. Če strežnik zahteva tako avtentikacijo, boste videli take vrstice


rcvd [LCP ConfReq id=0x2 <asyncmap 0x0> <auth chap 80> <magic 0x46a3>]

Pomemben podatek je auth chap 80.

Da bi uporabljali MS CHAP, morate prevesti pppd, da bo to podpiral. Oglejte si datoteko README.MSCHAP80 za navodila za prevajanje in uporabo te variacije.

Trenutno to omogoča le povezavo Linux PPP odjemalca z MS Windows NT strežnikom. NE podpira uporabe MSCHAP80 avtentikacije na Linux strežniku.

13.2 PAP/CHAP secrets datoteka

Če uporabljate pap ali chap avtentikacijo, morate ustvariti datoteki s ,,skrivnostmi``. To sta:


/etc/ppp/pap-secrets
/etc/ppp/chap-secrets

Biti morata last uporabnika root, skupine root in imeti pravice 740 zaradi varnosti.

Najprej morate o PAP-u in CHAP-u vedeti to, da sta zasnovana za avtentikacijo računalniških sistemov, ne uporabnikov.

,,Huh? Kakšna je razlika?`` vas slišim spraševati.

Ko je vaš računalnik ustvaril PPP povezavo s strežnikom, jo lahko uporablja VSAK uporabnik na vašem sistemu, ne samo vi. Zato lahko z uporabo PPP-ja ustvarite povezavo dveh lokalnih omrežij v omrežje širokega dosega (WAN).

PAP lahko (in CHAP to tudi NAREDI) zahteva dvosmerno avtentikacijo - veljavno ime in geslo je potrebno na obeh vpletenih straneh. Kljub temu pa to NI način na katerega večina PPP strežnikov ponuja klicne povezave s PAP avtentikacijo.

Vaš PIS vam bo verjetno dal uporabniško ime in geslo da bi se povezali z njegovim sistemom. Vašega PIS-a sploh ne zanima ime vašega računalnika, zato boste verjetno morali uporabiti vaše uporabniško ime kot ime vašega računalnika.

To boste dosegli z uporabo pppd opcije name uporabniško ime. Da bi uporabili uporabniško ime, katerega vam je dodelil vaš PIS, dodajte vrstico


name vaše_uporabniško_ime_pri_PISu

v vašo datoteko /etc/ppp/options.

Načeloma bi morali za PAP uporabiti opcijo user vaše_uporabniško_ime_pri_PISu, vendar je pppd dovolj pameten, da uporabi name kot user, kadar mora uporabiti PAP. Prednost uporabe name je v tem, da je na voljo tudi za CHAP.

Ker se PAP uporablja za avtentikacijo računalnikov, bi morali določiti tudi ime računalnika na drugi strani linije. Ker pa ima večina ljudi samo enega PIS-a, lahko uporabite zvezdico (*) za ime oddaljenega računalnika v datoteki secrets.

Potrebno je tudi omeniti, da mnogo PIS-ov upravlja več terminalskih strežnikov, na katere so priključeni modemi - vsakega z drugim imenom, toda dosegljivih prek ISTE telefonske številke. V takih primerih je zelo težko vnaprej vedeti, kako bo ime računalniku, na katerega se bomo priključili.

13.3 Datoteka PAP secrets

Datoteka /etc/ppp/pap-secrets izgleda takole


# Gesla za avtentikacijo z uporabo PAP-a
# odjem.        strežn. geslo           sprejemljivi lokalni IP naslovi

Štiri polja so ločena s tabulatorjem, zadnje je lahko prazno (kar hočete za povezavo z dinamičnimi in verjetno tudi statičnimi IP številkami).

Recimo da vam je PIS dodelil uporabniško ime fred in geslo flintstone. V datoteki /etc/ppp/options[.ttySx] nastavite opcijo name fred in nastavite datoteko /etc/ppp/pap-secrets:


# Gesla za avtentikacijo z uporabo PAP-a
# odjem.        strežn. geslo           sprejemljivi lokalni IP naslovi
fred            *       flintstone

To pove pppd-ju, naj za ime računalnika uporabi fred (čeprav ni pravo ime računalnika) in za VSAK strežnik uporabi geslo flintstone.

Ni vam treba vpisati lokalnega IP naslova, razen če morate VSILITI določen lokalni statični IP naslov. Četudi to poskušate, verjetno ne bo delovalo, ker večina PPP strežnikov (iz varnostnih razlogov) ne dovoli oddaljenemu sistemu nastaviti IP številke.

13.4 Datoteka CHAP secrets

To zahteva da imate vzajemne avtentikacijske metode - kar pomeni da morate dovoliti da se vaš računalnik predstavi strežniku IN da se strežnik predstavi vašemu računalniku.

Če je vaš računalnik fred in oddaljeni barney, bi vaš računalnik imel name fred remotename barney, oddaljeni pa name barney remotename fred v datoteki /etc/ppp/options.ttySx.

Fredova datoteka /etc/chap-secrets bi izgledala takole,


# gesla za avtentikacijo z uporabo CHAP-a
# odjem.        strežn. geslo           sprejemljivi lokalni IP naslovi
fred            barney  flintstone
barney          fred    wilma

takole pa barneyeva


# gesla za avtentikacijo z uporabo CHAP-a
# odjem.        strežn. geslo           sprejemljivi lokalni IP naslovi
barney          fred    flintstone
fred            barney  wilma

Zapomnite si, da morata oba računalnika imeti vnose za dvosmerno avtentikacijo. To dovoli, da se lokalni računalnik predstavi oddaljenemu IN oddaljeni lokalnemu.

13.5 Več povezav s PAP avtentikacijo

Nekateri uporabniki se povezujejo z več kot enim strežnikom z uporabo PAP-a. Če imajo na vsakem drugo uporabniško ime, to sploh ni problem.

Nekateri uporabniki pa imajo na dveh (ali celo več) strežnikih enako uporabniško ime. To ustvari problem izbire pravilne vrstice iz datoteke /etc/ppp/pap-secrets.

Kot verjetno pričakujete, PPP ponuja mehanizem za premaganje te težave. PPP vam dovoli, da nastavite ,,domnevno ime`` za oddaljeni računalnik z uporabo pppd opcije remotename.

Recimo da imate uporabniško ime fred na dveh strežnikih. V datoteko /etc/ppp/pap-secrets vpišete nekaj takega:


fred    pppserver1      barney
fred    pppserver2      wilma

Za povezavo s strežnikom pppserver1 uporabite name fred remotename pppserver1 v vaši datoteki options, za strežnik pppserver2 name fred remotename pppserver2.

Ker lahko izberete datoteko s ppp opcijami z uporabo opcije file filename, lahko napišete skripto za povezavo z vsakim vašim PPP strežnikom, ki bo izbrala pravilno remotename opcijo.


Next Previous Contents