验证是检验用户是否是其声明的身份的过程。UNIX 登录序列是一种简单形式的验证:
login 命令提示用户键入名称和口令。
然后,login 尝试在口令数据库中查找所键入的用户名和口令以验证该用户。
如果数据库中包含该用户名和口令,则用户将通过验证并得到访问系统的权限。如果数据库中不包含该用户名和口令,则将拒绝用户访问系统。
缺省情况下,Solaris PPP 4.0 在未指定缺省路由的计算机上不要求验证。因此,不包含缺省路由的本地计算机不会验证远程呼叫者。相反,如果计算机定义了缺省路由,则计算机会始终验证远程呼叫者。
对于设置连接到您计算机的 PPP 链路的呼叫者,可以使用 PPP 验证协议来检验其身份。相反,如果本地计算机必须呼叫会验证呼叫者的对等点,则必须配置 PPP 验证信息。
由于呼叫者必须向远程对等点证明其身份,所以 PPP 链路上的呼叫计算机被视为被验证者。对等点被视为验证者。验证者将在安全协议的相应 PPP 文件中查找呼叫者的身份,然后确定是否对呼叫者进行验证。
通常为拨号链路配置 PPP 验证。开始呼叫时,拨出计算机是被验证者。拨入服务器是验证者。服务器中包含一个机密文件形式的数据库。此文件列出了被授予可设置连接到服务器的PPP 链路权限的用户。这些用户被视为可信赖呼叫者。
一些拨出计算机要求远程对等点在响应拨出计算机的呼叫时提供验证信息。然后,它们的角色将互换:远程对等点成为被验证者,而拨出计算机成为验证者。
PPP 4.0 不阻止租用线路对等点的验证,但租用线路链路中通常不使用验证。租用线路合同的性质通常表示,线路两端的参与者可相互识别。两端的参与者通常是可信赖的。但是,由于 PPP 验证并不难于管理,所以应认真考虑实现租用线路的验证。
PPP 验证协议包括口令验证协议 (Password Authentication Protocol, PAP) 和质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。对于允许链接到本地计算机的每个呼叫方,每一种协议都使用包含呼叫方的标识信息(或称为安全凭证)的机密数据库。有关 PAP 的详细说明,请参见口令验证协议 (Password Authentication Protocol, PAP)。有关 CHAP 说明,请参见质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。
在 PPP 链路上提供验证是可选操作。此外,尽管验证会检验对等点是否可信赖,但 PPP 验证不提供数据的机密性。为了保密,请使用加密软件,如 IPsec、PGP、SSL、Kerberos 和 Solaris 安全 Shell。
Solaris PPP 4.0 未实现 RFC 1968 中说明的 PPP 加密控制协议 (Encryption Control Protocol, ECP)。
请考虑在下列情况下实现 PPP 验证。
您的公司接受来自基于公共交换式电话网络的用户的传入呼叫。
您的公司安全策略要求远程用户在通过公司防火墙访问网络或从事安全事务时提供验证凭证。
您需要根据标准 UNIX 口令数据库(如 /etc/passwd、NIS、NIS+、LDAP 或 PAM)对呼叫者进行验证。对于此情况使用 PAP 验证。
公司的拨入服务器还提供网络的 Internet 连接。对于此情况使用 PAP 验证。
串行线路没有位于链路任何一端的计算机或网络上的口令数据库安全。对于此情况使用 CHAP 验证。