| 跳过导航链接 | |
| 退出打印视图 | |
|
系统管理指南:网络服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
系统管理指南:网络服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
如何将 CHAP 支持添加到 PPP 配置文件(拨入服务器)
如何将 CHAP 支持添加到 PPP 配置文件(拨出计算机)
本节中的任务说明如何使用口令验证协议 (Password Authentication Protocol, PAP) 在 PPP 链路上实现验证。这些任务使用PPP 验证配置示例中的示例来说明拨号链路的 PAP 工作方案。请根据这些说明在您的站点上实现 PAP 验证。
设置并测试拨入服务器与属于可信呼叫者的拨出计算机之间的拨号链路
理论上,对于拨入服务器验证,必须获取管理网络口令数据库(例如,在 LDAP、NIS 或本地文件中)的计算机的超级用户权限
获取本地计算机(拨入服务器或拨出计算机)的超级用户权限
借助下面的任务列表,可快速访问针对拨入服务器和针对拨出计算机上的可信呼叫者的 PAP 相关任务。
表 19-2 PAP 验证的任务列表(拨入服务器)
|
表 19-3 PAP 验证的任务列表(拨出计算机)
|
要设置 PAP 验证,必须执行以下操作:
创建 PAP 凭证数据库
修改 PPP 配置文件以支持 PAP
此过程修改 /etc/ppp/pap-secrets 文件,该文件包含用于对链路上的呼叫者进行验证的 PAP 安全凭证。PPP 链路上的两台计算机中必须都存在 /etc/ppp/pap-secrets。
图 16-3 中介绍的 PAP 配置样例使用了 PAP 的 login 选项。如果计划使用此选项,则可能还需要更新网络的口令数据库。有关 login 选项的更多信息,请参阅使用带有 login 选项的 /etc/ppp/pap-secrets。
注 - 对于使用 PAP 的 login 选项对呼叫者进行验证的 PAP 配置样例,这种检验尤其重要。如果选择不实现 PAP 的 login 选项,则呼叫者的 PAP 用户名不必与其 UNIX 用户名相符。有关标准 /etc/ppp/pap-secrets 的信息,请参阅/etc/ppp/pap-secrets 文件。
如果某个可能的可信呼叫者没有 UNIX 用户名和口令,请执行以下操作:
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
此发行版在 /etc/ppp 中提供了一个 pap-secrets 文件,该文件包含有关如何使用 PAP 验证的注释,但不包含任何选项。可以在注释末尾添加以下选项。
user1 myserver "" * user2 myserver "" * myserver user2 serverpass *
要使用 /etc/ppp/pap-secrets 的 login 选项,必须键入每个可信呼叫者的 UNIX 用户名。只要第三个字段中出现一组双引号 (""),就会在服务器的口令数据库中查找该呼叫者的口令。
myserver * serverpass * 项包含拨入服务器的 PAP 用户名和口令。在图 16-3 中,可信呼叫者 user2 需要从远程对等点进行验证。因此,myserver 的 /etc/ppp/pap-secrets 文件包含与 user2 建立链路时要使用的 PAP 凭证。
另请参见
以下列出了相关的参考信息。
本节中的任务说明如何更新任何现有 PPP 配置文件,以支持在拨入服务器上进行 PAP 验证。
此过程以如何定义串行线路上的通信(拨入服务器)中介绍的 PPP 配置文件为例。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
例如,将以粗体显示的选项添加到现有 /etc/ppp/options 文件中,以实现 PAP 验证:
lock auth login nodefaultroute proxyarp ms-dns 10.0.0.1 idle 120
表明如果没有 root 特权,则本地系统上的任何 pppd 会话都无法建立缺省路由。
在系统的地址解析协议 (Address Resolution Protocol, ARP) 表中添加项,用于指定对等点的 IP 地址和系统的以太网地址。使用此选项,对等点看起来位于其他系统的本地以太网中。
启用 pppd 以便为客户机提供域名服务器 (Domain Name Server, DNS) 地址 10.0.0.1。
指定将在两分钟后断开空闲用户的连接。
:10.0.0.2
:10.0.0.3
* * "" *
注 - 如前所述,login 选项提供必需的用户验证。/etc/ppp/pap-secrets 文件中的此项是使用 login 选项启用 PAP 的标准方法。
另请参见
有关如何为拨入服务器的可信呼叫者配置 PAP 验证凭证,请参阅为可信呼叫者配置 PAP 验证(拨出计算机)。
本节包含在可信呼叫者的拨出计算机上设置 PAP 验证的任务。作为系统管理员,在将 PAP 凭证分发给预期呼叫者之前,可在系统上设置 PAP 验证。或者,如果远程呼叫者已经有自己的计算机,则可以指导这些呼叫者完成本节中的任务。
为可信呼叫者配置 PAP 涉及两个任务:
配置呼叫者的 PAP 安全凭证
配置呼叫者的拨出计算机以支持 PAP 验证
此过程说明如何为两个可信呼叫者设置 PAP 凭证,其中一个可信呼叫者需要来自远程对等点的验证凭证。此过程中的步骤假定,作为系统管理员的您要在可信呼叫者的拨出计算机上创建 PAP 凭证。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
使用图 16-3 中介绍的 PAP 配置样例,并假定拨出计算机属于 user1。
此发行版提供了一个包含有用注释但不包含任何选项的 /etc/ppp/pap-secrets 文件。可以将以下选项添加到此 /etc/ppp/pap-secrets 文件中。
user1 myserver pass1 *
请注意,user1 的口令 pass1 以可读的 ASCII 格式在链路中传递。myserver 是呼叫者 user1 的对等点名称。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
使用 PAP 验证示例,并假定此拨出计算机属于呼叫者 user2。
可以将以下选项添加到现有 /etc/ppp/pap-secrets 文件的末尾。
user2 myserver pass2 * myserver user2 serverpass *
在此示例中,/etc/ppp/pap-secrets 有两个项。第一个项包含 user2 传递给拨入服务器 myserver 以进行验证的 PAP 安全凭证。
作为链路协商的一部分,user2 需要拨入服务器的 PAP 凭证。因此,/etc/ppp/pap-secrets 的第二行中还包含期望来自 myserver 的 PAP 凭证。
另请参见
以下列出了相关的参考信息。
以下任务说明如何更新现有 PPP 配置文件,以支持在可信呼叫者的拨出计算机上进行 PAP 验证。
此过程使用以下参数在属于图 16-3 中介绍的 user2 的拨出计算机上配置 PAP 验证。user2 要求传入呼叫者对呼叫(包括来自拨入服务器 myserver 的呼叫)进行验证。
此过程以如何定义串行线路上的通信中介绍的 PPP 配置文件为例。此过程将配置属于 user2 的拨出计算机,如图 16-3 中所示。
以下 /etc/ppp/options 文件包含 PAP 支持选项,如粗体所示。
# cat /etc/ppp/options lock name user2 auth require-pap
以下示例说明如何将 PAP 支持添加到如何定义与单个对等点的连接中创建的现有 /etc/ppp/peers/myserver 文件。
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat"
以粗体显示的新选项用于添加对等点 myserver 的 PAP 要求。
将 user2 定义为本地计算机的用户名
将 myserver 定义为要求来自本地计算机的验证凭证的对等点
另请参见
以下列出了相关的参考信息。
要通过呼叫拨入服务器来测试 PAP 验证设置,请参见如何呼叫拨入服务器。
有关 PAP 验证的更多信息,请参见口令验证协议 (Password Authentication Protocol, PAP)。
|