本节中的任务说明如何使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 在 PPP 链路上实现验证。这些任务使用图 16–4 中的示例来说明进行专用网络拨号的 CHAP 工作方案。请根据这些说明在您的站点上实现 CHAP 验证。
执行后续过程之前,必须完成下列操作:
设置并测试拨入服务器与属于可信赖呼叫者的拨出计算机之间的拨号链路
获取本地计算机(拨入服务器或拨出计算机)的超级用户权限
任务 |
说明 |
参考 |
---|---|---|
1. 将 CHAP 机密指定给所有可信赖呼叫者 |
创建呼叫者的 CHAP 机密,或指示呼叫者创建自己的 CHAP 机密。 | |
2. 创建 chap-secrets 数据库 |
将所有可信赖呼叫者的安全凭证添加到 /etc/ppp/chap-secrets 文件中。 | |
3. 修改 PPP 配置文件 |
将特定于 CHAP 的选项添加到 /etc/ppp/options 和 /etc/ppp/peers/peer-name 文件中。 |
表 19–5 CHAP 验证的任务列表(拨出计算机)
任务 |
说明 |
参考 |
---|---|---|
1. 为可信赖呼叫者的计算机创建 CHAP 数据库 |
在 /etc/ppp/chap-secrets 中为可信赖呼叫者创建安全凭证,如有必要,还为呼叫拨出计算机的其他用户创建安全凭证。 | |
2. 修改 PPP 配置文件 |
将特定于 CHAP 的选项添加到 /etc/ppp/options 文件中。 |
设置 CHAP 验证的第一个任务是修改 /etc/ppp/chap-secrets 文件。此文件包含用于对链路上的呼叫者进行验证的 CHAP 安全凭证(包括 CHAP 机密)。
UNIX 或 PAM 验证机制对 CHAP 无效。例如,不能按如何创建 PAP 凭证数据库(拨入服务器)中所述的内容使用 PPP login 选项。如果验证方案需要 PAM 或 UNIX 样式的验证,请改为选择 PAP。
以下过程为专用网络中的拨入服务器实现 CHAP 验证。PPP 链路是与外界的唯一连接。网络管理员(可能包括系统管理员)已对可访问网络的那些呼叫者授予权限。
汇编包含所有可信赖呼叫者的用户名的列表。可信赖呼叫者包括所有已授予呼叫专用网络权限的人员。
为每个用户指定 CHAP 机密。
务必选择不易猜出的可靠 CHAP 机密。CHAP 机密的内容无任何其他限制。
指定 CHAP 机密的方法取决于站点的安全策略。或者由您负责创建机密,或者呼叫者必须创建自己的机密。如果您不负责指定 CHAP 机密,则务必获取由每个可信赖呼叫者创建的、或为每个可信赖呼叫者创建的 CHAP 机密。
成为拨入服务器的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
修改 /etc/ppp/chap-secrets 文件。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以在现有 /etc/ppp/chap-secrets 文件的末尾为服务器 CallServe 添加以下选项。
account1 CallServe key123 * account2 CallServe key456 * |
key123 是可信赖呼叫者 account1 的 CHAP 机密。
key456 是可信赖呼叫者 account2 的 CHAP 机密。
以下列出了相关的参考信息。
本节中的任务说明如何更新现有 PPP 配置文件,以支持在拨入服务器上进行 CHAP 验证。
以超级用户身份登录到拨入服务器。
修改 /etc/ppp/options 文件。
添加以粗体显示的 CHAP 支持选项。
# cat /etc/ppp/options lock nodefaultroute name CallServe auth |
创建其他 PPP 配置文件以支持可信赖呼叫者。
要为可信赖呼叫者配置 CHAP 验证凭证,请参阅如何创建 CHAP 凭证数据库(拨入服务器)。
本节包含在可信赖呼叫者的拨出计算机上设置 CHAP 验证的任务。根据站点的安全策略,可以由您或可信赖呼叫者负责设置 CHAP 验证。
在远程呼叫者配置 CHAP 的情况下,应确保该呼叫者的本地 CHAP 机密与拨入服务器的 /etc/ppp/chap-secrets 文件中该呼叫者的等效 CHAP 机密匹配。然后,指示这些呼叫者执行本节中的任务以配置 CHAP。
为可信赖呼叫者配置 CHAP 涉及两个任务:
创建呼叫者的 CHAP 安全凭证
配置呼叫者的拨出计算机以支持 CHAP 验证
此过程说明如何为两个可信赖呼叫者设置 CHAP 凭证。此过程中的步骤假定,作为系统管理员的您要在可信赖呼叫者的拨出计算机上创建 CHAP 凭证。
成为拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
使用使用 CHAP 验证的配置示例中的 CHAP 配置样例,并假定拨出计算机属于可信赖呼叫者 account1。
修改呼叫者 account1 的 chap-secrets 数据库。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以将以下选项添加到现有 /etc/ppp/chap-secrets 文件中。
account1 CallServe key123 * |
CallServe 是 account1 要尝试访问的对等点的名称。key123 是将用于 account1 与 CallServer 之间的链路的 CHAP 机密。
成为另一台拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
假定此计算机属于呼叫者 account2。
修改呼叫者 account2 的 /etc/ppp/chap-secrets 数据库。
account2 CallServe key456 * |
现在,account2 将机密 key456 作为在指向对等点 CallServe 的链路上使用的 CHAP 凭证。
以下列出了相关的参考信息。
要了解有关 CHAP 验证的更多信息,请参阅质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。下一任务将配置属于在使用 CHAP 验证的配置示例中介绍的呼叫者 account1 的拨出计算机。
以超级用户身份登录到拨出计算机。
确保 /etc/ppp/options 文件包含以下选项。
# cat /etc/ppp/options lock nodefaultroute |
为远程计算机 CallServe 创建 /etc/ppp/peers/peer-name 文件。
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat" |
选项 user account1 将 account1 设置为指定给 CallServe 的 CHAP 用户名。有关以上文件中其他选项的说明,请参见如何定义与单个对等点的连接中类似的 /etc/ppp/peers/myserver 文件。
要通过呼叫拨入服务器来测试 CHAP 验证,请参阅如何呼叫拨入服务器。