Partie I Sujets relatifs aux services réseau
1. Service réseau (présentation)
2. Gestion des serveurs cache Web
Partie II Accès aux systèmes de fichiers réseau
4. Gestion des systèmes de fichiers NFS (présentation)
5. Administration de système de fichiers réseau (tâches)
6. Accès aux systèmes de fichiers réseau (référence)
8. Planification et activation de SLP (tâches)
9. Administration de SLP (tâches)
10. Intégration des services hérités
Partie IV Sujets relatifs aux services de messagerie
12. Services de messagerie (présentation)
13. Services de messagerie (tâches)
14. Services de messagerie (référence)
Partie V Sujets relatifs à la mise en réseau série
15. Solaris PPP 4.0 (Présentation)
16. Planification de la liaison PPP (tâches)
17. Configuration d'une liaison PPP commutée (tâches)
18. Configuration d'une liaison PPP de ligne spécialisée (tâches)
19. Paramétrage de l'authentification PPP (tâches)
Configuration de l'authentification PPP (liste des tâches)
Configuration de l'authentification PAP
Configuration de l'authentification PAP (liste des tâches)
Configuration de l'authentification PAP sur le serveur d'appel entrant
Création d'une base de données d'informations d'identification PAP (serveur d'appel entrant)
Modification des fichiers de configuration PPP pour PAP (serveur d'appel entrant)
Ajout de la prise en charge PAP dans les fichiers de configuration PPP (serveur d'appel entrant)
Configuration de l'authentification PAP pour les appelants de confiance (machines d'appel sortant)
Configuration des informations d'authentification PAP pour les appelants de confiance
Modification des fichiers de configuration PPP pour PAP (machine d'appel sortant)
Ajout de la prise en charge PAP dans les fichiers de configuration PPP (machine d'appel sortant)
Configuration de l'authentification CHAP
Configuration de l'authentification CHAP (liste des tâches)
Configuration de l'authentification CHAP sur le serveur d'appel entrant
Création d'une base de données d'informations d'identification CHAP (serveur d'appel entrant)
Modification des fichiers de configuration PPP pour CHAP (serveur d'appel entrant)
Ajout de la prise en charge CHAP dans les fichiers de configuration PPP (serveur d'appel entrant)
Configuration de l'authentification CHAP pour les appelants de confiance (machines d'appel sortant)
Configuration des informations d'authentification CHAP pour les appelants de confiance
Ajout de l'authentification CHAP dans les fichiers de configuration (machine d'appel sortant)
Ajout de la prise en charge CHAP dans les fichiers de configuration PPP (machine d'appel sortant)
20. Configuration d'un tunnel PPPoE (tâches)
21. Résolution des problèmes PPP courants (tâches)
22. Solaris PPP 4.0 (Référence)
23. Migration de Solaris PPP asynchrone à Solaris PPP 4.0 (tâches)
25. Administration du protocole UUCP (tâches)
Partie VI Utilisation de systèmes distants
27. Utilisation de systèmes distants (présentation)
28. Administration du serveur FTP (tâches)
29. Accès aux systèmes distants (tâches)
Partie VII Sujets relatifs au contrôle des services réseau
Les tâches décrites dans cette section expliquent comment mettre en œuvre l'authentification sur une liaison PPP à l'aide du protocole CHAP (Challenge-Handshake Authentication Protocol, protocole d'authentification par défi-réponse). Les tâches utilisent l'exemple de la Figure 16-4 afin d'illustrer un scénario CHAP qui fonctionne pour une liaison commutée sur un réseau privé. Utilisez les instructions comme base pour la mise en œuvre de l'authentification CHAP sur votre site.
Avant d'effectuer les procédures ci-dessous, vous devez réaliser les opérations suivantes :
Définissez et testez la liaison commutée entre le serveur d'appel entrant et les machines d'appel sortant appartenant à des appelants de confiance.
Obtenez les droits de superutilisateur pour la machine locale, qu'il s'agisse du serveur d'appel entrant ou de la machine d'appel sortant.
Tableau 19-4 Liste des tâches de l'authentification CHAP (serveur d'appel entrant)
|
Tableau 19-5 Liste des tâches pour l'authentification CHAP (machine d'appel sortant)
|
La première tâche de la configuration de l'authentification CHAP consiste à modifier le fichier /etc/ppp/chap-secrets. Ce fichier contient le informations d'identification de sécurité CHAP utilisées pour authentifier les appelants sur la liaison.
Remarque - Les mécanismes d'authentification PAM ou UNIX ne fonctionnent pas avec CHAP. Par exemple, vous ne pouvez pas utiliser l'option login PPP comme décrit dans la section Création d'une base de données d'informations d'identification PAP (serveur d'appel entrant) . Si votre scénario d'authentification nécessite l'authentification de type UNIX ou PAM, choisissez plutôt PAP.
La procédure suivante met en œuvre l'authentification CHAP pour un serveur d'appel entrant dans un réseau privé. La liaison PPP est la seule connexion au monde extérieur. Seuls les appelants autorisés par les gestionnaires du réseau (y compris l'administrateur système, éventuellement) peuvent accéder au réseau.
Les appelants de confiance incluent tous les utilisateurs auxquels les droits d'appel sur le réseau privé ont été accordés.
Remarque - Assurez-vous de choisir un secret CHAP difficile à deviner. Aucune autre restriction n'est appliquée sur le contenu du secret CHAP.
La méthode d'attribution des secrets CHAP dépend de la stratégie de sécurité de votre site. Soit vous avez la responsabilité de créer les secrets, soit les appelants doivent créer leurs secrets eux-mêmes. Si vous n'êtes pas responsable de l'affectation des secrets CHAP, veillez à vous procurer les secrets CHAP qui ont été créés par, ou pour, chaque appelant de confiance.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Cette version inclut un fichier /etc/ppp/chap-secrets qui contient des commentaires utiles, mais aucune option. Vous pouvez ajouter les options suivantes pour le serveur CallServe à la fin du fichier /etc/ppp/chap-secrets.
account1 CallServe key123 * account2 CallServe key456 *
key123 est le secret CHAP pour l'appelant de confiance account1.
key456 est le secret CHAP pour l'appelant de confiance account2.
Voir aussi
La liste ci-après fournit les références à des informations connexes.
Création d'une base de données d'informations d'identification CHAP (serveur d'appel entrant)
Ajout de la prise en charge CHAP dans les fichiers de configuration PPP (serveur d'appel entrant)
Configuration de l'authentification CHAP pour les appelants de confiance (machines d'appel sortant)
La tâche décrite dans cette section explique comment mettre à jour les fichiers de configuration PPP existants pour la prise en charge de l'authentification CHAP sur le serveur d'appel entrant.
Ajoutez les options indiquées en caractères gras pour la prise en charge CHAP.
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
Reportez-vous aux sections Configuration des utilisateurs du serveur d'appel entrant et Définition des communications sur la ligne série (serveur d'appel entrant) .
Voir aussi
Pour configurer les informations d'authentification CHAP des appelants de confiance, reportez-vous à la section Création d'une base de données d'informations d'identification CHAP (serveur d'appel entrant).
Cette section contient les tâches pour la configuration de l'authentification CHAP sur les machines d'appel sortant des appelants de confiance. En fonction de la stratégie de sécurité de votre site, vous ou les appelants de confiance pouvez être responsables de la configuration de l'authentification CHAP.
Pour que les appelants distants configurent l'authentification CHAP, assurez-vous que les secrets CHAP locaux des appelants correspondent aux secrets CHAP équivalents des appelants dans le fichier /etc/ppp/chap-secrets du serveur d'appel entrant. Ensuite, attribuez aux appelants les tâches de configuration CHAP décrites dans cette section.
La configuration CHAP pour les appelants de confiance implique deux tâches :
Création des informations d'identification de sécurité CHAP des appelants
Configuration des machines d'appel sortant des appelants pour prendre en charge l'authentification CHAP
Cette procédure indique comment configurer les informations d'identification CHAP de deux appelants de confiance. Elle implique que vous, l'administrateur système, créez les informations d'identification CHAP sur les machines d'appel sortant des appelants de confiance.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Utilisez l'exemple de configuration CHAP présenté à la section Exemple de configuration utilisant l'authentification CHAP et partez du principe que la machine d'appel sortant appartient à l'appelant de confiance account1.
Cette version inclut un fichier /etc/ppp/chap-secrets qui contient des commentaires utiles mais aucune option. Vous pouvez ajouter les options suivantes au fichier /etc/ppp/chap-secrets.
account1 CallServe key123 *
CallServe correspond au nom du pair que account1 tente d'atteindre. key123 est le secret CHAP à utiliser pour les liaisons entre account1 et CallServer.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Supposons que cette machine appartient à l'appelant account2.
account2 CallServe key456 *
À présent, le secret key456 correspond aux informations d'identification que l'appelant account2 utilise pour communiquer avec le pair CallServe via la liaison.
Voir aussi
La liste ci-après fournit les références à des informations connexes.
Création d'une base de données d'informations d'identification CHAP (serveur d'appel entrant)
Configuration des informations d'authentification CHAP pour les appelants de confiance
Pour en savoir plus sur l'authentification CHAP, reportez-vous à la section Protocole CHAP (Challenge-Handshake Authentication Protocol). La tâche suivante permet de configurer la machine d'appel sortant qui appartient à l'appelant account1, présenté à la section Exemple de configuration utilisant l'authentification CHAP.
# cat /etc/ppp/options lock nodefaultroute
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
L'option user account1 définit account1 comme le nom d'utilisateur CHAP à attribuer à CallServe. Pour obtenir une description des autres options du fichier précédent, reportez-vous au fichier similaire /etc/ppp/peers/myserver décrit à la section Définition de la connexion à un pair donné.
Voir aussi
Pour tester l'authentification CHAP en appelant le serveur d'appel entrant, reportez-vous à la section Appel du serveur d'appel entrant.