第 19 章 设置 PPP 验证(任务)
本章介绍设置 PPP 验证的任务,具体包含以下主题:
这些过程说明如何基于拨号链路实现验证,因为与租用线路链路相比,配置拨号链路进行验证的可能性更大。如果公司的安全策略要求基于租用线路进行验证,则可以配置该验证。可使用本章中的任务来指导租用线路验证。
如果要使用 PPP 验证,但又不能确定应使用的协议,请查看为什么使用 PPP 验证?一节。有关 PPP 验证的更多详细信息,请参阅 pppd(1M) 手册页和验证链路上的呼叫者。
配置 PPP 验证(任务列表)
本节包含有助于您快速访问 PPP 验证过程的任务列表。
表 19–1 常规 PPP 验证的任务列表|
任务 |
说明 |
参考 |
|---|---|---|
|
配置 PAP 验证 |
使用这些过程在拨入服务器和拨出计算机上启用 PAP 验证。 | |
|
配置 CHAP 验证 |
使用这些过程在拨入服务器和拨出计算机上启用 CHAP 验证。 |
配置 PAP 验证
本节中的任务说明如何使用口令验证协议 (Password Authentication Protocol, PAP) 在 PPP 链路上实现验证。这些任务使用PPP 验证配置示例中的示例来说明拨号链路的 PAP 工作方案。请根据这些说明在您的站点上实现 PAP 验证。
-
设置并测试拨入服务器与属于可信赖呼叫者的拨出计算机之间的拨号链路
-
理论上,对于拨入服务器验证,必须获取管理网络口令数据库(例如,在 LDAP、NIS 或本地文件中)的计算机的超级用户权限
-
获取本地计算机(拨入服务器或拨出计算机)的超级用户权限
设置 PAP 验证(任务列表)
使用下面的任务列表,可快速访问拨入服务器中与 PAP 相关的任务和拨出计算机上的可信赖呼叫者。
表 19–2 PAP 验证的任务列表(拨入服务器)|
任务 |
说明 |
参考 |
|---|---|---|
|
1. 收集预配置信息 |
收集验证所需的用户名和其他数据。 | |
|
2. 如有必要,更新口令数据库 |
确保所有可能的呼叫者均位于服务器的口令数据库中。 | |
|
3. 创建 PAP 数据库 |
在 /etc/ppp/pap-secrets 中为所有预期呼叫者创建安全凭证。 | |
|
4. 修改 PPP 配置文件 |
将特定于 PAP 的选项添加到 /etc/ppp/options 和 /etc/ppp/peers/peer-name 文件中。 |
表 19–3 PAP 验证的任务列表(拨出计算机)
|
任务 |
说明 |
参考 |
|---|---|---|
|
1. 收集预配置信息 |
收集验证所需的用户名和其他数据。 | |
|
2. 为可信赖呼叫者的计算机创建 PAP 数据库 |
在 /etc/ppp/pap-secrets 中为可信赖呼叫者创建安全凭证,如有必要,还为呼叫拨出计算机的其他用户创建安全凭证。 | |
|
3. 修改 PPP 配置文件 |
将特定于 PAP 的选项添加到 /etc/ppp/options 和 /etc/ppp/peers/peer-name 文件中。 |
在拨入服务器上配置 PAP 验证
要设置 PAP 验证,必须执行以下操作:
-
创建 PAP 凭证数据库
-
修改 PPP 配置文件以支持 PAP
如何创建 PAP 凭证数据库(拨入服务器)
此过程修改 /etc/ppp/pap-secrets 文件,该文件包含用于对链路上的呼叫者进行验证的 PAP 安全凭证。PPP 链路上的两台计算机中必须都存在 /etc/ppp/pap-secrets。
图 16–3 中介绍的 PAP 配置样例使用了 PAP 的 login 选项。如果计划使用此选项,则可能还需要更新网络的口令数据库。有关 login 选项的更多信息,请参阅使用带有 login 选项的 /etc/ppp/pap-secrets。
-
检验每个可信赖呼叫者在拨入服务器的口令数据库中是否已具有 UNIX 用户名和口令。
注 –对于使用 PAP 的 login 选项对呼叫者进行验证的 PAP 配置样例,这种检验尤其重要。如果选择不实现 PAP 的 login 选项,则呼叫者的 PAP 用户名不必与其 UNIX 用户名相符。有关标准 /etc/ppp/pap-secrets 的信息,请参阅 /etc/ppp/pap-secrets 文件。
如果某个可能的可信赖呼叫者没有 UNIX 用户名和口令,请执行以下操作:
-
成为拨入服务器的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
Solaris PPP 4.0 在 /etc/ppp 中提供了一个 pap-secrets 文件,该文件包含有关如何使用 PAP 验证的注释,但不包含任何选项。可以在注释末尾添加以下选项。
user1 myserver "" * user2 myserver "" * myserver user2 serverpass *
要使用 /etc/ppp/pap-secrets 的 login 选项,必须键入每个可信赖呼叫者的 UNIX 用户名。只要第三个字段中出现一组双引号 (““),就会在服务器的口令数据库中查找该呼叫者的口令。
myserver * serverpass * 项包含拨入服务器的 PAP 用户名和口令。在图 16–3 中,可信赖呼叫者 user2 需要从远程对等点进行验证。因此,myserver 的 /etc/ppp/pap-secrets 文件包含与 user2 建立链路时要使用的 PAP 凭证。
另请参见
以下列出了相关的参考信息。
修改 PPP 配置文件以进行 PAP 验证(拨入服务器)
本节中的任务说明如何更新任何现有 PPP 配置文件,以支持在拨入服务器上进行 PAP 验证。
如何将 PAP 支持添加到 PPP 配置文件(拨入服务器)
此过程以如何定义串行线路上的通信(拨入服务器)中介绍的 PPP 配置文件为例。
-
以超级用户身份登录到拨入服务器或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
将验证选项添加到 /etc/ppp/options 文件中。
例如,将以粗体显示的选项添加到现有 /etc/ppp/options 文件中,以实现 PAP 验证:
lock auth login nodefaultroute proxyarp ms-dns 10.0.0.1 idle 120
- auth
- login
- nodefaultroute
-
表明如果没有 root 权限,则本地系统上的任何 pppd 会话都无法建立缺省路由。
- proxyarp
-
在系统的地址解析协议 (Address Resolution Protocol, ARP) 表中添加项,用于指定对等点的 IP 地址和系统的以太网地址。使用此选项,对等点看起来位于其他系统的本地以太网中。
- ms-dns 10.0.0.1
-
启用 pppd 以便为客户机提供域名服务器 (Domain Name Server, DNS) 地址 10.0.0.1。
- idle 120
-
指定将在两分钟后断开空闲用户的连接。
-
在 /etc/ppp/options.cua.a 文件中,为 cua/a 用户添加以下地址。
:10.0.0.2
-
在 /etc/ppp/options.cua.b 文件中,为 cua/b 用户添加以下地址。
:10.0.0.3
-
在 /etc/ppp/pap-secrets 文件中,添加以下项。
* * "" *
注 –如前所述,login 选项提供必需的用户验证。/etc/ppp/pap-secrets 文件中的此项是使用 login 选项启用 PAP 的标准方法。
另请参见
有关如何为拨入服务器的可信赖呼叫者配置 PAP 验证凭证,请参阅为可信赖呼叫者配置 PAP 验证(拨出计算机)。
为可信赖呼叫者配置 PAP 验证(拨出计算机)
本节包含在可信赖呼叫者的拨出计算机上设置 PAP 验证的任务。作为系统管理员,在将 PAP 凭证分发给预期呼叫者之前,可在系统上设置 PAP 验证。或者,如果远程呼叫者已经有自己的计算机,则可以指导这些呼叫者完成本节中的任务。
为可信赖呼叫者配置 PAP 涉及两个任务:
-
配置呼叫者的 PAP 安全凭证
-
配置呼叫者的拨出计算机以支持 PAP 验证
如何为可信赖呼叫者配置 PAP 验证凭证
此过程说明如何为两个可信赖呼叫者设置 PAP 凭证,其中一个可信赖呼叫者需要来自远程对等点的验证凭证。此过程中的步骤假定,作为系统管理员的您要在可信赖呼叫者的拨出计算机上创建 PAP 凭证。
-
成为拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
使用图 16–3 中介绍的 PAP 配置样例,并假定拨出计算机属于 user1。
-
修改呼叫者的 pap-secrets 数据库。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/pap-secrets 文件。可以将以下选项添加到此 /etc/ppp/pap-secrets 文件中。
user1 myserver pass1 *
请注意,user1 的口令 pass1 以可读的 ASCII 格式在链路中传递。myserver 是呼叫者 user1 的对等点名称。
-
成为另一台拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
使用 PAP 验证示例,并假定此拨出计算机属于呼叫者 user2。
-
修改呼叫者的 pap-secrets 数据库。
可以将以下选项添加到现有 /etc/ppp/pap-secrets 文件的末尾。
user2 myserver pass2 * myserver user2 serverpass *
在此示例中,/etc/ppp/pap-secrets 有两个项。第一个项包含 user2 传递给拨入服务器 myserver 以进行验证的 PAP 安全凭证。
作为链路协商的一部分,user2 需要拨入服务器的 PAP 凭证。因此,/etc/ppp/pap-secrets 的第二行中还包含期望来自 myserver 的 PAP 凭证。
注 –由于大多数 ISP 不提供验证凭证,因此要与 ISP 进行通信,上述方案可能不切实际。
另请参见
以下列出了相关的参考信息。
修改 PPP 配置文件以进行 PAP 验证(拨出计算机)
以下任务说明如何更新现有 PPP 配置文件,以支持在可信赖呼叫者的拨出计算机上进行 PAP 验证。
此过程使用以下参数在属于图 16–3 中介绍的 user2 的拨出计算机上配置 PAP 验证。user2 要求传入呼叫者对呼叫(包括来自拨入服务器 myserver 的呼叫)进行验证。
如何将 PAP 支持添加到 PPP 配置文件(拨出计算机)
此过程以如何定义串行线路上的通信中介绍的 PPP 配置文件为例。此过程将配置属于 user2 的拨出计算机,如图 16–3 中所示。
-
以超级用户身份登录到拨出计算机。
-
以下 /etc/ppp/options 文件包含 PAP 支持选项,如粗体所示。
# cat /etc/ppp/options lock name user2 auth require-pap
-
为远程计算机 myserver 创建 /etc/ppp/peers/peer-name 文件。
以下示例说明如何将 PAP 支持添加到如何定义与单个对等点的连接中创建的现有 /etc/ppp/peers/myserver 文件。
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat"
以粗体显示的新选项用于添加对等点 myserver 的 PAP 要求。
- user user2
-
将 user2 定义为本地计算机的用户名
- remotename myserver
-
将 myserver 定义为要求来自本地计算机的验证凭证的对等点
另请参见
以下列出了相关的参考信息。
-
要通过呼叫拨入服务器来测试 PAP 验证设置,请参见如何呼叫拨入服务器。
-
有关 PAP 验证的更多信息,请参见口令验证协议 (Password Authentication Protocol, PAP)。
配置 CHAP 验证
本节中的任务说明如何使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 在 PPP 链路上实现验证。这些任务使用图 16–4 中的示例来说明进行专用网络拨号的 CHAP 工作方案。请根据这些说明在您的站点上实现 CHAP 验证。
执行后续过程之前,必须完成下列操作:
-
设置并测试拨入服务器与属于可信赖呼叫者的拨出计算机之间的拨号链路
-
获取本地计算机(拨入服务器或拨出计算机)的超级用户权限
设置 CHAP 验证(任务列表)
表 19–4 CHAP 验证的任务列表(拨入服务器)|
任务 |
说明 |
参考 |
|---|---|---|
|
1. 将 CHAP 机密指定给所有可信赖呼叫者 |
创建呼叫者的 CHAP 机密,或指示呼叫者创建自己的 CHAP 机密。 | |
|
2. 创建 chap-secrets 数据库 |
将所有可信赖呼叫者的安全凭证添加到 /etc/ppp/chap-secrets 文件中。 | |
|
3. 修改 PPP 配置文件 |
将特定于 CHAP 的选项添加到 /etc/ppp/options 和 /etc/ppp/peers/peer-name 文件中。 |
表 19–5 CHAP 验证的任务列表(拨出计算机)
|
任务 |
说明 |
参考 |
|---|---|---|
|
1. 为可信赖呼叫者的计算机创建 CHAP 数据库 |
在 /etc/ppp/chap-secrets 中为可信赖呼叫者创建安全凭证,如有必要,还为呼叫拨出计算机的其他用户创建安全凭证。 | |
|
2. 修改 PPP 配置文件 |
将特定于 CHAP 的选项添加到 /etc/ppp/options 文件中。 |
在拨入服务器上配置 CHAP 验证
设置 CHAP 验证的第一个任务是修改 /etc/ppp/chap-secrets 文件。此文件包含用于对链路上的呼叫者进行验证的 CHAP 安全凭证(包括 CHAP 机密)。
注 –
UNIX 或 PAM 验证机制对 CHAP 无效。例如,不能按如何创建 PAP 凭证数据库(拨入服务器)中所述的内容使用 PPP login 选项。如果验证方案需要 PAM 或 UNIX 样式的验证,请改为选择 PAP。
以下过程为专用网络中的拨入服务器实现 CHAP 验证。PPP 链路是与外界的唯一连接。网络管理员(可能包括系统管理员)已对可访问网络的那些呼叫者授予权限。
如何创建 CHAP 凭证数据库(拨入服务器)
-
汇编包含所有可信赖呼叫者的用户名的列表。可信赖呼叫者包括所有已授予呼叫专用网络权限的人员。
-
为每个用户指定 CHAP 机密。
注 –务必选择不易猜出的可靠 CHAP 机密。CHAP 机密的内容无任何其他限制。
指定 CHAP 机密的方法取决于站点的安全策略。或者由您负责创建机密,或者呼叫者必须创建自己的机密。如果您不负责指定 CHAP 机密,则务必获取由每个可信赖呼叫者创建的、或为每个可信赖呼叫者创建的 CHAP 机密。
-
成为拨入服务器的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
修改 /etc/ppp/chap-secrets 文件。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以在现有 /etc/ppp/chap-secrets 文件的末尾为服务器 CallServe 添加以下选项。
account1 CallServe key123 * account2 CallServe key456 *
key123 是可信赖呼叫者 account1 的 CHAP 机密。
key456 是可信赖呼叫者 account2 的 CHAP 机密。
另请参见
以下列出了相关的参考信息。
修改 PPP 配置文件以进行 CHAP 验证(拨入服务器)
本节中的任务说明如何更新现有 PPP 配置文件,以支持在拨入服务器上进行 CHAP 验证。
如何将 CHAP 支持添加到 PPP 配置文件(拨入服务器)
-
以超级用户身份登录到拨入服务器。
-
修改 /etc/ppp/options 文件。
添加以粗体显示的 CHAP 支持选项。
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
-
创建其他 PPP 配置文件以支持可信赖呼叫者。
另请参见
要为可信赖呼叫者配置 CHAP 验证凭证,请参阅如何创建 CHAP 凭证数据库(拨入服务器)。
为可信赖呼叫者配置 CHAP 验证(拨出计算机)
本节包含在可信赖呼叫者的拨出计算机上设置 CHAP 验证的任务。根据站点的安全策略,可以由您或可信赖呼叫者负责设置 CHAP 验证。
在远程呼叫者配置 CHAP 的情况下,应确保该呼叫者的本地 CHAP 机密与拨入服务器的 /etc/ppp/chap-secrets 文件中该呼叫者的等效 CHAP 机密匹配。然后,指示这些呼叫者执行本节中的任务以配置 CHAP。
为可信赖呼叫者配置 CHAP 涉及两个任务:
-
创建呼叫者的 CHAP 安全凭证
-
配置呼叫者的拨出计算机以支持 CHAP 验证
如何为可信赖呼叫者配置 CHAP 验证凭证
此过程说明如何为两个可信赖呼叫者设置 CHAP 凭证。此过程中的步骤假定,作为系统管理员的您要在可信赖呼叫者的拨出计算机上创建 CHAP 凭证。
-
成为拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
使用使用 CHAP 验证的配置示例中的 CHAP 配置样例,并假定拨出计算机属于可信赖呼叫者 account1。
-
修改呼叫者 account1 的 chap-secrets 数据库。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以将以下选项添加到现有 /etc/ppp/chap-secrets 文件中。
account1 CallServe key123 *
CallServe 是 account1 要尝试访问的对等点的名称。key123 是将用于 account1 与 CallServer 之间的链路的 CHAP 机密。
-
成为另一台拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
假定此计算机属于呼叫者 account2。
-
修改呼叫者 account2 的 /etc/ppp/chap-secrets 数据库。
account2 CallServe key456 *
现在,account2 将机密 key456 作为在指向对等点 CallServe 的链路上使用的 CHAP 凭证。
另请参见
以下列出了相关的参考信息。
将 CHAP 添加到配置文件(拨出计算机)
要了解有关 CHAP 验证的更多信息,请参阅质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。下一任务将配置属于在使用 CHAP 验证的配置示例中介绍的呼叫者 account1 的拨出计算机。
如何将 CHAP 支持添加到 PPP 配置文件(拨出计算机)
-
以超级用户身份登录到拨出计算机。
-
确保 /etc/ppp/options 文件包含以下选项。
# cat /etc/ppp/options lock nodefaultroute
-
为远程计算机 CallServe 创建 /etc/ppp/peers/peer-name 文件。
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
选项 user account1 将 account1 设置为指定给 CallServe 的 CHAP 用户名。有关以上文件中其他选项的说明,请参见如何定义与单个对等点的连接中类似的 /etc/ppp/peers/myserver 文件。
另请参见
要通过呼叫拨入服务器来测试 CHAP 验证,请参阅如何呼叫拨入服务器。
- © 2010, Oracle Corporation and/or its affiliates