规划链路上的验证
本节包含有关提供 PPP 链路上验证的规划信息。第 19 章,设置 PPP 验证(任务)包含在您的站点中实现 PPP 验证的任务。
PPP 提供两种类型的验证:PAP(详见口令验证协议 (Password Authentication Protocol, PAP))和 CHAP(详见质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP))。
在链路上设置验证之前,必须选择最符合您站点的安全策略的验证协议。然后,为拨入计算机或呼叫者的拨出计算机(或者两种类型的计算机)设置机密文件和 PPP 配置文件。有关为您的站点选择合适的验证协议的信息,请参见为什么使用 PPP 验证?。
本节包含以下信息:
有关设置验证的任务,请参见第 19 章,设置 PPP 验证(任务)。
设置 PPP 验证之前
在您的站点设置验证应该作为 PPP 整体策略的一个不可或缺部分。实现验证之前,应组装硬件、配置软件并测试链路。
表 16–5 配置验证之前的先决条件|
信息 |
参考 |
|---|---|
|
配置拨号链路的任务 | |
|
测试链路的任务 | |
|
您站点的安全要求 |
您公司的安全策略。如果没有安全策略,则可通过设置 PPP 验证来创建安全策略。 |
|
有关在您的站点中使用 PAP 还是使用 CHAP 的建议 |
为什么使用 PPP 验证?。有关这些协议的更多详细信息,请参阅验证链路上的呼叫者。 |
PPP 验证配置示例
本节介绍要在第 19 章,设置 PPP 验证(任务)的过程中使用的验证方案示例。
使用 PAP 验证的配置示例
配置 PAP 验证中的任务说明如何在 PPP 链路上设置 PAP 验证。这些过程使用为拨号 PPP 配置示例中虚构的 "Big Company"创建的 PAP 方案作为示例。
Big Company 希望其用户能够在家工作。系统管理员则希望为连接到拨入服务器的串行线路提供一种安全解决方案。使用 NIS 口令数据库的 UNIX 样式登录已在过去为 Big Company 的网络提供了良好的服务。系统管理员希望对通过 PPP 链路进入网络的呼叫使用类似于 UNIX 的验证方案。因此,管理员可实现使用 PAP 验证的以下方案。
图 16–3 PAP 验证方案示例(在家工作)
系统管理员可创建一个专用的拨入 DMZ,它通过路由器与公司网络的其余部分隔开。术语 DMZ 来自军事术语“非军事化区”。DMZ 是为了安全而设置的一个隔离网络。DMZ 通常包含公司为公众提供的资源,如 Web 服务器、匿名 FTP 服务器、数据库和调制解调器服务器。一般情况下,网络设计者会将 DMZ 放置在防火墙与公司的 Internet 连接之间。
在图 16–3 中,唯一的 DMZ 占用者是拨入服务器 myserver 和路由器。设置链路时,拨入服务器要求呼叫者提供 PAP 凭证,包括用户名和口令。此外,拨入服务器还会使用 PAP 的 login 选项。因此,呼叫者的 PAP 用户名和口令必须与其在拨入服务器口令数据库中的 UNIX 用户名和口令完全相符。
建立 PPP 链路之后,呼叫者的包将转发到路由器。然后,路由器将传输内容转发到其在公司网络或 Internet 上的目标。
使用 CHAP 验证的配置示例
配置 CHAP 验证中的任务说明如何设置 CHAP 验证。这些过程使用要为租用线路链路配置示例中介绍的虚构 LocalCorp 创建的 CHAP 方案作为示例。
LocalCorp 通过连接到 ISP 的租用线路提供与 Internet 的连接。LocalCorp 中的技术支持部门会产生巨大的网络通信流量。因此,技术支持部门需要拥有自己的隔离专用网络。该部门的现场技术人员经常到处出差,他们需要从远程位置访问技术支持部门的网络以获取解决问题的信息。为了保护专用网络数据库中的敏感信息,必须对远程呼叫者进行验证方可授予登录权限。
因此,系统管理员可对拨号 PPP 配置实现以下 CHAP 验证方案。
图 16–4 CHAP 验证方案示例(呼叫专用网络)
技术支持部门网络与外界的唯一链路是连接到拨入服务器所在链路端的串行线路。系统管理员可配置每位现场服务代表的膝上型计算机,以实现具有 CHAP 安全性(包括 CHAP 机密)的 PPP。在拨入服务器的 chap-secrets 数据库中,包含允许呼入技术支持部门网络的所有计算机的 CHAP 凭证。
有关验证的更多参考信息
请选择以下内容:
-
请参见配置 PAP 验证。
-
请参见配置 CHAP 验证。
- © 2010, Oracle Corporation and/or its affiliates