Teil I Netzwerkdienste - Themen
2. Verwalten von Webcache-Servern
Teil II Zugriff auf Netzwerkdateisysteme - Themen
4. Verwalten von Netzwerkdateisystemen (Übersicht)
5. Verwaltung des Netzwerkdateisystems (Aufgaben)
6. Zugreifen auf Netzwerkdateisysteme (Referenz)
Teil III SLP (Service Location Protocol) - Themen
8. Planen und Aktivieren von SLP (Aufgaben)
9. Verwalten von SLP (Aufgaben)
10. Integrieren von veralteten Services
Teil V Serielle Vernetzung - Themen
15. Solaris PPP 4.0 (Überblick)
16. PLanen einer PPP-Verbindung (Aufgaben)
17. Einrichten einer PPP-Einwahlverbindung (Aufgaben)
18. Einrichten einer PPP-Standleitungsverbindung (Aufgaben)
19. Einrichten der PPP-Authentifizierung (Aufgaben)
Konfigurieren der PPP-Authentifizierung (Übersicht der Schritte)
Konfigurieren der PAP-Authentifizierung
Einrichten der PAP-Authentifizierung (Übersicht der Schritte)
Konfigurieren der PAP-Authentifizierung auf dem Einwahlserver
So erstellen Sie eine Datenbank für PAP-Berechtigungsnachweise (Einwahlserver)
Modifizieren der PPP-Konfigurationsdateien für PAP (Einwahlserver)
So fügen Sie PAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Einwahlserver)
So konfigurieren Sie PAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer
Modifizieren von PPP-Konfigurationsdateien für PAP (Hinauswahlrechner)
So fügen Sie PAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Hinauswahlrechner)
Konfigurieren der CHAP-Authentifizierung
Einrichten der CHAP-Authentifizierung (Übersicht der Schritte)
Konfigurieren der CHAP-Authentifizierung auf dem Einwahlserver
So erstellen Sie eine Datenbank für CHAP-Berechtigungsnachweise (Einwahlserver)
Modifizieren der PPP-Konfigurationsdateien für CHAP (Einwahlserver)
So fügen Sie CHAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Einwahlserver)
Konfigurieren der CHAP-Authentifizierung für vertrauenswürdige Anrufer (Hinauswahlrechner)
So konfigurieren Sie CHAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer
Einfügen von CHAP in die Konfigurationsdateien (Hinauswahlrechner)
So fügen Sie CHAP-Unterstützungsoptionen in die PPP-Konfigurationsdateien ein (Hinauswahlrechner)
20. Einrichten eines PPPoE-Tunnels (Aufgaben)
21. Beheben von allgemeinen PPP-Problemen (Aufgaben)
22. Solaris PPP 4.0 (Referenz)
23. Migrieren von Asynchronous Solaris PPP zu Solaris PPP 4.0 (Aufgaben)
25. Verwalten von UUCP (Aufgaben)
Teil VI Arbeiten mit Remote-Systemen - Themen
27. Arbeiten mit Remote-Systemen (Übersicht)
28. Verwalten des FTP-Servers (Aufgaben)
29. Zugriff auf Remote-Systeme (Aufgaben)
Teil VII Überwachen von Netzwerkdiensten - Themen
Die Aufgaben in diesem Abschnitt zeigen auf, wie die Authentifizierung über eine PPP-Verbindung mithilfe des PAP (Password Authentication Protocol) durchgeführt wird. Das verwendete Beispiel, das unter Beispiele für PPP-Authentifizierungskonfigurationen aufgeführt wird, dient zur Veranschaulichung eines PAP-Szenarios für eine Einwahlverbindung. Verwenden Sie die Anweisungen als Basis für die Implementierung der PAP-Authentifizierung an Ihrem Standort.
Bevor Sie zu den nächsten Verfahren übergehen, führen Sie Folgendes aus:
Richten Sie eine Wählverbindung zwischen dem Einwahlserver und den Hinauswahlrechnern ein, die zu vertrauenswürdigen aufrufenden Programmen gehören, und testen Sie diese Wählverbindung.
Optimal für die Einwahlserver-Authentifizierung ist eine Superuser-Berechtigung für den Rechner, auf dem die Netzwerkpasswort-Datenbank verwaltet wird (beispielsweise in LDAP-, NIS- oder lokalen Dateien).
Holen Sie eine Superuser-Berechtigung für den lokalen Rechner ein (entweder ein Einwahlserver oder ein Hinauswahlrechner).
Verwenden Sie die nächste Übersicht der Schritte, um rasch auf PAP-bezogene Aufgaben für den Einwahlserver und vertrauenswürdige aufrufende Programme auf Hinauswahlrechnern zuzugreifen.
Tabelle 19-2 Übersicht der Schritte für die PAP-Authentifizierung (Einwahlserver)
|
Tabelle 19-3 Übersicht der Schritte für die PAP-Authentifizierung (Hinauswahlrechner)
|
Zum Einrichten der PAP-Authentifizierung gehen Sie wie folgt vor:
Erstellen Sie eine Datenbank für PAP-Berechtigungsnachweise.
Modifizieren Sie die PPP-Konfigurationsdateien für die PAP-Unterstützung.
Dieses Verfahren dient zum Modifizieren der /etc/ppp/pap-secrets-Datei, in der die PAP-Sicherheitsberechtigungsnachweise enthalten sind, die verwendet werden, um aufrufende Programme zu authentifizieren. /etc/ppp/pap-secrets muss auf beiden Rechnern vorhanden sein, die über eine PPP-Verbindung kommunuzieren.
In der in Abbildung 16-3 dargestellten PAP-Beispielkonfiguration wird die login-Option von PAP verwendet. Wenn Sie vorhaben, diese Option zu verwenden, müssen Sie möglicherweise auch die Passwortdatenbank Ihres Netzwerks aktualisieren. Weitere Informationen zur login-Option finden Sie unter Verwenden der login-Option mit /etc/ppp/pap-secrets.
Hinweis - Diese Verifizierung ist vor allem für die PAP-Beispielkonfiguration wichtig. In dieser Konfiguration wird die login-Option von PAP verwendet, um Anrufer (bzw. aufrufende Programme) zu authentifizieren. Wenn Sie login nicht für PAP implementieren, müssen die PAP-Benutzernamen der Anrufer nicht mit den UNIX-Benutzernamen übereinstimmen. Weitere Informationen zu standardmäßigen /etc/ppp/pap-secrets finden Sie unter /etc/ppp/pap-secrets-Datei.
Gehen Sie wie folgt vor, wenn ein potenzieller vertrauenswürdiger Anrufer (bzw. ein aufrufdendesProgramm) weder einen UNIX-Benutzernamen noch ein Passwort hat:
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Diese Version bietet eine pap-secrets-Datei in /etc/ppp, die Kommentare zur Verwendung der PAP-Authentifizierung enthält, aber keine Optionen. Am Ende der Kommentare können Sie folgende Optionen eintragen:
user1 myserver "" * user2 myserver "" * myserver user2 serverpass *
Um die login-Option von /etc/ppp/pap-secrets zu verwenden, müssen Sie den UNIX-Benutzernamen jedes vertrauenswürdigen Anrufers eintragen. Wenn Anführungszeichen (““) im dritten Feld erscheinen, wird das Passwort des Anrufers in der Passwortdatenbank des Servers gesucht.
Der Eintrag myserver * serverpass * enthält den PAP-Benutzernamen und das Passwort für den Einwahlserver. In Abbildung 16-3 benötigt der vertrauenswürdige Anrufer (user2) eine Authentifizierung von Remote-Peers. Aus diesem Grund enthält die zu myserver gehörende /etc/ppp/pap-secrets-Datei die PAP-Berechtigungsnachweise, die zu verwenden sind, wenn eine Verbindung mit user2 hergestellt wird.
Siehe auch
Die folgende Liste enthält Verweise auf relevante Informationen:
Die Aufgaben in diesem Abschnitt zeigen auf, wie vorhandene PPP-Konfigurationsdateien aktualisiert werden, um die PAP-Authentifizierung auf einem Einwahlserver zu unterstützen.
In dem Verfahren dienen die unter So definieren Sie die Kommunikation über die serielle Verbindung (Einwahlserver) vorgestellten PPP-Konfigurationsdateien als Beispiele.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Sie können beispielsweise die nachstehenden fett hervorgehobenen Optionen in eine vorhandene /etc/ppp/options-Datei eintragen, um die PAP-Authentifizierung zu implementieren.
lock auth login nodefaultroute proxyarp ms-dns 10.0.0.1 idle 120
Gibt an, dass der Server den Anrufer authentifizieren muss, bevor eine Verbindung hergestellt wird.
Gibt an, dass der Remote-Anrufer durch die standardmäßigen Authentifizierungsservices für UNIX-Benutzer authentifiziert wird.
Gibt an, dass keine pppd-Sitzung auf dem lokalen System eine Standardroute ohne root-Berechtigungen herstellen kann.
Fügt einen Eintrag in die ARP-Tabelle (Address Resolution Protocol) des Systems ein, die die IP-Adresse des Peers und die Ethernet-Adresse des Systems angibt. Mit dieser Option ist der Peer für andere Systeme im lokalen Ethernet sichtbar.
Ermöglicht pppd, eine DNS-Adresse (Domain Name Server) 10.0.0.1 für den Client bereitzustellen.
Gibt an, dass inaktive Benutzer nach zwei Minuten getrennt werden.
:10.0.0.2
:10.0.0.3
* * "" *
Hinweis - Die login-Option ermöglicht, wie zuvor beschrieben, die Benutzerauthentifizierung. Dieser Eintrag in der /etc/ppp/pap-secrets -Datei bietet die Möglichkeit, PAP standardmäßig mit der login-Option zu aktivieren.
Siehe auch
Um PAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer des Einwahlservers zu konfigurieren, informieren Sie sich unter Konfigurieren der PAP-Authentifizierung für vertrauenswürdige Anrufer bzw. aufrufende Programme (Hinauswahlrechner).
Dieser Abschnitt enthält Aufgaben zum Einrichten der PAP-Authentifizierung auf Hinauswahlrechnern von vertrauenswürdigen Anrufern. Als Systemadministrator können Sie die PAP-Authentifizierung in Systemen einrichten, bevor potenzielle Anrufer authentifiziert werden. Wenn die Remote-Anrufer bereits über ihre Rechner verfügen, können Sie diesen Anrufern die in diesem Abschnitt beschriebenen Aufgaben zuweisen.
Mit dem Konfigurieren von PAP für vertrauenswürdige Anrufer sind zwei Aufgaben verbunden:
Konfigurieren der PAP-Sicherheitsberechtigungsnachweise der Anrufer
Konfigurieren des Hinauswahlrechners der Anrufer, um die PAP-Authentifizierung zu unterstützen
Dieses Verfahren zeigt, wie PAP-Berechtigungsnachweise für vertrauenswürdige Anrufer eingerichtet werden, wenn Authentifizierungs-Berechtigungsnachweise von Remote-Peers benötigt werden. Es wird vorausgesetzt, dass Sie, der Systemadministrator, die PAP-Berechtigungsnachweise auf den Hinauswahlrechnern vertrauenswürdiger Anrufer einrichten.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Verwenden Sie die in Abbildung 16-3 dargestellte PAP-Beispielkonfiguration, wobei Sie davon ausgehen, dass der Hinauswahlsrechner zu user1 gehört.
Diese Version umfasst eine /etc/ppp/pap-secrets-Datei, die hilfreiche Kommentare enthält, aber keine Optionen. In diese /etc/ppp/pap-secrets-Datei können Sie folgende Optionen eintragen:
user1 myserver pass1 *
Beachten Sie, dass das zu user1 gehörende Passwort pass1 in lesbarem ASCII-Format über die Verbindung weitergegeben wird. myserver ist der zu user1 gehörende Name des Peers.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Verwenden Sie das PAP-Authentifizierungsbeispiel, wobei Sie davon ausgehen, dass der Hinauswahlrechner zu user2 gehört.
Am Ende der /etc/ppp/pap-secrets-Datei können Sie die nächsten Optionen eintragen.
user2 myserver pass2 * myserver user2 serverpass *
In diesem Beispiel hat /etc/ppp/pap-secrets zwei Einträge. Der erste Eintrag enthält die PAP-Sicherheitsberechtigungsnachweise, die user2 an den Einwahlserver myserver zur Authentifizierung weitergibt.
user2 benötigt PAP-Berechtigungsnachweise vom Einwahlserver, damit die Verbindung ausgehandelt werden kann. Aus diesem Grund enthält /etc/ppp/pap-secrets auch die PAP-Berechtigungsnachweise, die von myserver in der zweiten Leitung erwartet werden.
Siehe auch
Die folgende Liste enthält Verweise auf relevante Informationen:
So erstellen Sie eine Datenbank für PAP-Berechtigungsnachweise (Einwahlserver)
So konfigurieren Sie PAP-Authentifizierungs-Berechtigungsnachweise für vertrauenswürdige Anrufer
Die folgenden Aufgaben zeigen auf, wie vorhandene PPP-Konfigurationsdateien aktualisiert werden, um die PAP-Authentifizierung auf Hinauswahlrechnern von vertrauenswürdigen Anrufern zu unterstützen.
Die folgenden Parameter werden zum Konfigurieren der PAP-Authentifizierung auf dem Hinauswahlrechner verwendet, der zu user2 gehört, der in Abbildung 16-3 dargestellt ist. user2 verlangt von Anrufern, sich zu authentifizieren. Dies gilt auch für Anrufe über den Einwahlserver myserver.
In diesem Verfahren dienen die unter So definieren Sie die Kommunikation über die serielle Verbindung vorgestellten PPP-Konfigurationsdateien als Beispiele. Es wird beschrieben, wie der Hinauswahlrechner konfiguriert wird, der zu user2 gehört (siehe Abbildung 16-3).
Die nächste /etc/ppp/options-Datei enthält die fett hervorgehobenen Optionen für die PAP-Unterstützung.
# cat /etc/ppp/options lock name user2 auth require-pap
Legt user2 als PAP-Namen des Benutzers auf dem lokalen Rechner fest. Wenn die login-Option verwendet wird, muss der PAP-Name mit dem UNIX-Benutzernamen des Benutzers in der Passwortdatenbank übereinstimmen.
Gibt an, dass Anrufer durch den Hinauswahlrechner authentifiziert werden müssen, bevor die Verbindung hergestellt wird.
Hinweis - Dieser Hinauswahlrechner fordert die Authentifizierung von seinen Peers an, obwohl die meisten Hinauswahlrechner keine solche Authentifizierung anfordern. Beides ist akzeptabel.
Das nächste Beispiel zeigt, wie die PAP-Unterstützung in eine /etc/ppp/peers/myserver -Datei eintragen wird, die anhand des Verfahrens erstellt wurde, das unter So definieren Sie die Verbindung mit einem bestimmten Peer beschrieben wird.
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat"
Die fett hervorgehobenen neuen Optionen dienen zum Hinzufügen von PAP-Anforderungen an den myserver.
Definiert user2 als Benutzernamen für den lokalen Rechner.
Definiert myserver als Peer, der Authentifizierungs-Berechtigungsnachweise vom lokalen Rechner benötigt.
Siehe auch
Die folgende Liste enthält Verweise auf relevante Informationen:
Um die PAP-Authentifizierung durch Aufrufen des Einwahlservers zu prüfen, informieren Sie sich unter So rufen Sie den Einwahlserver auf.
Weitere Informationen zur PAP-Authentifizierung finden Sie unter PAP (Password Authentication Protocol).