Teil I Netzwerkdienste - Themen
2. Verwalten von Webcache-Servern
Teil II Zugriff auf Netzwerkdateisysteme - Themen
4. Verwalten von Netzwerkdateisystemen (Übersicht)
5. Verwaltung des Netzwerkdateisystems (Aufgaben)
6. Zugreifen auf Netzwerkdateisysteme (Referenz)
Teil III SLP (Service Location Protocol) - Themen
8. Planen und Aktivieren von SLP (Aufgaben)
9. Verwalten von SLP (Aufgaben)
10. Integrieren von veralteten Services
Teil V Serielle Vernetzung - Themen
15. Solaris PPP 4.0 (Überblick)
16. PLanen einer PPP-Verbindung (Aufgaben)
17. Einrichten einer PPP-Einwahlverbindung (Aufgaben)
18. Einrichten einer PPP-Standleitungsverbindung (Aufgaben)
19. Einrichten der PPP-Authentifizierung (Aufgaben)
Konfigurieren der PPP-Authentifizierung (Übersicht der Schritte)
Konfigurieren der PAP-Authentifizierung
Einrichten der PAP-Authentifizierung (Übersicht der Schritte)
Konfigurieren der PAP-Authentifizierung auf dem Einwahlserver
So erstellen Sie eine Datenbank für PAP-Berechtigungsnachweise (Einwahlserver)
Modifizieren der PPP-Konfigurationsdateien für PAP (Einwahlserver)
So fügen Sie PAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Einwahlserver)
So konfigurieren Sie PAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer
Modifizieren von PPP-Konfigurationsdateien für PAP (Hinauswahlrechner)
So fügen Sie PAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Hinauswahlrechner)
Konfigurieren der CHAP-Authentifizierung
Einrichten der CHAP-Authentifizierung (Übersicht der Schritte)
Konfigurieren der CHAP-Authentifizierung auf dem Einwahlserver
So erstellen Sie eine Datenbank für CHAP-Berechtigungsnachweise (Einwahlserver)
Modifizieren der PPP-Konfigurationsdateien für CHAP (Einwahlserver)
So fügen Sie CHAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Einwahlserver)
Konfigurieren der CHAP-Authentifizierung für vertrauenswürdige Anrufer (Hinauswahlrechner)
So konfigurieren Sie CHAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer
Einfügen von CHAP in die Konfigurationsdateien (Hinauswahlrechner)
So fügen Sie CHAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Hinauswahlrechner)
20. Einrichten eines PPPoE-Tunnels (Aufgaben)
21. Beheben von allgemeinen PPP-Problemen (Aufgaben)
22. Solaris PPP 4.0 (Referenz)
23. Migrieren von Asynchronous Solaris PPP zu Solaris PPP 4.0 (Aufgaben)
25. Verwalten von UUCP (Aufgaben)
Teil VI Arbeiten mit Remote-Systemen - Themen
27. Arbeiten mit Remote-Systemen (Übersicht)
28. Verwalten des FTP-Servers (Aufgaben)
29. Zugriff auf Remote-Systeme (Aufgaben)
Teil VII Überwachen von Netzwerkdiensten - Themen
Die in diesem Abschnitt enthaltenen Aufgaben zeigen, wie die Authentifizierung über eine PPP-Verbindung mithilfe des CHAP (Challenge-Handshake Authentication Protocol) implementiert wird. Das verwendete Beispiel in Abbildung 16-4 dient zur Veranschaulichung eines CHAP-Szenarios für die Einwahl in ein privates Netzwerk. Verwenden Sie die Anweisungen als Basis für die Implementierung der CLIENT-HOSTAP-Authentifizierung an Ihrem Standort.
Bevor Sie zu den nächsten Verfahren übergehen, führen Sie Folgendes aus:
Richten Sie eine Wählverbindung zwischen dem Einwahlserver und den Hinauswahlrechnern ein, die zu vertrauenswürdigen Anrufern gehören, und testen Sie diese Wählverbindung.
Stellen Sie eine Superuser-Berechtigung für den lokalen Rechner bereit (entweder ein Einwahlserver oder ein Hinauswahlrechner).
Tabelle 19-4 Übersicht der Schritte für die CHAP-Authentifizierung (Einwahlserver)
|
Tabelle 19-5 Übersicht der Schritte für die CHAP-Authentifizierung (Hinauswahlrechner)
|
Der erste Schritt zum Einrichten der CHAP-Authentifizierung ist das Modifizieren der /etc/ppp/chap-secrets-Datei. In dieser Datei sind die CHAP-Sicherheitsberechtigungsnachweise einschließlich des CHAP-Geheimnisses enthalten, das verwendet wird, um Anrufer zu authentifizieren, die diese Verbindung verwenden.
Hinweis - UNIX- oder PAM-Authentifizierungsmechanismen funktionieren bei CHAP nicht. Sie können beispielsweise nicht die PPP-login-Option verwenden, die in So erstellen Sie eine Datenbank für PAP-Berechtigungsnachweise (Einwahlserver) beschrieben wird. Wenn Ihr Authentifizierungsszenario die PAM- oder UNIX-basierte Authentifizierung verlangt, verwenden Sie stattdessen PAP.
Mithilfe des nächsten Verfahrens wird die CHAP-Authentifizierung für einen Einwahlserver in einem privaten Netzwerk implementiert. Die PPP-Verbindung ist die einzige Verbindung, die zur Verfügung steht. Es können nur Anrufer auf das Netzwerk zugreifen, die die entsprechenden Berechtigungen von den Administratoren des Netzwerks (oder vom Systemadministrator) erhalten haben.
Vertrauenswürdige Anrufer sind Personen, denen die Berechtigung erteilt wurde, das private Netzwerk aufzurufen.
Hinweis - Verwenden Sie ein sicheres CHAP-Geheimnis, das nicht leicht erraten werden kann. Für den Inhalt des CHAP-Geheimnisses gelten keine weiteren Einschränkungen.
Die Methode der Zuweisung des CHAP-Geheimnisses unterliegt den Sicherheitsrichtlinien Ihres Standorts. Entweder sind Sie für das Erstellen von Geheimdaten verantwortlich, oder die Anrufer müssen ihre eigenen Geheimnisse erstellen. Wenn Sie nicht für die Zuweisung des CHAP-Geheimnisses verantwortlich sind, müssen Sie sicherstellen, dass Sie die CHAP-Geheimnisse erhalten, die von den vertrauenswürdigen Anrufern oder für die vertrauenswürdigen Anrufer erstellt wurden.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Diese Version umfasst eine /etc/ppp/chap-secrets -Datei, die hilfreiche Kommentare enthält, aber keine Optionen. Sie können folgende Optionen für den CallServe am Ende der /etc/ppp/chap-secrets-Datei einfügen:
account1 CallServe key123 * account2 CallServe key456 *
key123 ist das CHAP-Geheimnis für den vertrauenswürdigen Anrufer (account1).
key456 ist das CHAP-Geheimnis für den vertrauenswürdigen Anrufer (account2 ).
Siehe auch
Die folgende Liste enthält Verweise auf relevante Informationen:
So erstellen Sie eine Datenbank für CHAP-Berechtigungsnachweise (Einwahlserver)
So fügen Sie CHAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Einwahlserver)
Konfigurieren der CHAP-Authentifizierung für vertrauenswürdige Anrufer (Hinauswahlrechner)
Die in diesem Abschnitt beschriebene Aufgabe zeigt, wie vorhandene PPP-Konfigurationsdateien aktualisiert werden, um die CHAP-Authentifizierung auf einem Einwahlserver zu unterstützen.
Fügen Sie die fett hervorgehobenen Optionen für die CHAP-Unterstützung ein.
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
Lesen Sie dazu So konfigurieren Sie Benutzer des Einwahlservers und So definieren Sie die Kommunikation über die serielle Verbindung (Einwahlserver).
Siehe auch
Um CHAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer zu konfigurieren, informieren Sie sich unter So erstellen Sie eine Datenbank für CHAP-Berechtigungsnachweise (Einwahlserver).
Dieser Abschnitt umfasst Aufgaben zum Einrichten der CHAP-Authentifizierung auf Hinauswahlrechnern von vertrauenswürdigen Anrufern. Von den Sicherheitsrichtlinien Ihres Standorts hängt ab, ob Sie oder die vertrauenswürdigen Anrufer für das Einrichten der CHAP-Authentifizierung verantwortlich sind.
Damit CHAP von Remote-Anrufern konfiguriert werden kann, müssen Sie sicherstellen, dass die lokalen CHAP-Geheimnisse der Anrufer mit den CHAP-Geheimnissen der Anrufer in der /etc/ppp/chap-secrets-Datei des Einwahlservers übereinstimmen. Anschließend weisen Sie den Anrufern die in diesem Abschnitt beschriebenen Aufgaben zu, damit diese CHAP konfigurieren können.
Mit dem Konfigurieren von CLIENT-HOSTAP für vertrauenswürdige Anrufer sind zwei Aufgaben verbunden:
Erstellen der CHAP-Sicherheitsberechtigungsnachweise der Anrufer
Konfigurieren der Hinauswahlrechner der Anrufer, um die CHAP-Authentifizierung zu unterstützen
Dieses Verfahren zeigt, wie CHAP-Berechtigungsnachweise für vertrauenswürdige Anrufer eingerichtet werden. In diesem Verfahren wird vorausgesetzt, dass Sie, der Systemadministrator, die CLIENT-HOSTAP-Berechtigungsnachweise auf den Hinauswahlrechnern vertrauenswürdiger Anrufer einrichten.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Verwenden Sie die in Beispiel einer Konfiguration mit CHAP-Authentifizierung gezeigte CHAP-Beispielkonfiguration, wobei Sie davon ausgehen, dass der Hinauswahlrechner zu account1 des vertrauenswürdigen Anrufers gehört.
Diese Version umfasst eine /etc/ppp/chap-secrets-Datei, die hilfreiche Kommentare enthält, aber keine Optionen. Sie können folgende Optionen in die /etc/ppp/chap-secrets -Datei einfügen:
account1 CallServe key123 *
CallServe ist der Name des Peers, den account1 zu erreichen versucht. key123 ist das CHAP-Geheimnis, das für Verbindungen zwischen account1 und CallServer verwendet wird.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Es wird vorausgesetzt, das dieser Rechner zu account2 gehört.
account2 CallServe key456 *
Jetzt verfügt account2 über das Geheimnis key456. Diese CHAP-Berechtigungsnachweise können für Verbindungen mit dem Peer CallServe verwendet werden.
Siehe auch
Die folgende Liste enthält Verweise auf relevante Informationen:
So erstellen Sie eine Datenbank für CHAP-Berechtigungsnachweise (Einwahlserver)
So konfigurieren Sie CHAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer
Weitere Informationen zur CHAP-Authentifizierung finden Sie unter CHAP (Challenge-Handshake Authentication Protocol). In der nächsten Aufgabe wird beschrieben, wie der Hinauswahlrechner konfiguriert wird, der zu account1 des Anrufers gehört. Informationen hierzu finden Sie unter Beispiel einer Konfiguration mit CHAP-Authentifizierung.
# cat /etc/ppp/options lock nodefaultroute
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
Mithilfe der Option user account1 wird account1 als CHAP-Benutzername festgelegt, der an CallServe weitergegeben wird. Eine Beschreibung der anderen Optionen in der oben genannten Datei finden Sie in derselben /etc/ppp/peers/myserver -Datei unter So definieren Sie die Verbindung mit einem bestimmten Peer.
Siehe auch
Informationen zum Prüfen der CHAP-Authentifizierung durch Aufrufen des Einwahlservers finden Sie unter So rufen Sie den Einwahlserver auf.