跳过导航链接 | |
退出打印视图 | |
系统管理指南:网络服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
本节中的任务说明如何使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 在 PPP 链路上实现验证。这些任务使用图 16-4 中的示例来说明进行专用网络拨号的 CHAP 工作方案。请根据这些说明在您的站点上实现 CHAP 验证。
执行后续过程之前,必须完成下列操作:
设置并测试拨入服务器与属于可信呼叫者的拨出计算机之间的拨号链路
获取本地计算机(拨入服务器或拨出计算机)的超级用户权限
表 19-4 CHAP 验证的任务列表(拨入服务器)
|
表 19-5 CHAP 验证的任务列表(拨出计算机)
|
设置 CHAP 验证的第一个任务是修改 /etc/ppp/chap-secrets 文件。此文件包含用于对链路上的呼叫者进行验证的 CHAP 安全凭证(包括 CHAP 机密)。
注 - UNIX 或 PAM 验证机制对 CHAP 无效。例如,不能按如何创建 PAP 凭证数据库(拨入服务器)中所述的内容使用 PPP login 选项。如果验证方案需要 PAM 或 UNIX 样式的验证,请改为选择 PAP。
以下过程为专用网络中的拨入服务器实现 CHAP 验证。PPP 链路是与外界的唯一连接。网络管理员(可能包括系统管理员)已对可访问网络的那些呼叫者授予权限。
可信呼叫者包括所有已授予呼叫专用网络权限的人员。
注 - 务必选择不易猜出的可靠 CHAP 机密。CHAP 机密的内容无任何其他限制。
指定 CHAP 机密的方法取决于站点的安全策略。或者由您负责创建机密,或者呼叫者必须创建自己的机密。如果您不负责指定 CHAP 机密,则务必获取由每个可信呼叫者创建的、或为每个可信呼叫者创建的 CHAP 机密。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
此发行版提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以在现有 /etc/ppp/chap-secrets 文件的末尾为服务器 CallServe 添加以下选项。
account1 CallServe key123 * account2 CallServe key456 *
key123 是可信呼叫者 account1 的 CHAP 机密。
key456 是可信呼叫者 account2 的 CHAP 机密。
另请参见
以下列出了相关的参考信息。
本节中的任务说明如何更新现有 PPP 配置文件,以支持在拨入服务器上进行 CHAP 验证。
添加以粗体显示的 CHAP 支持选项。
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
另请参见
要为可信呼叫者配置 CHAP 验证凭证,请参阅如何创建 CHAP 凭证数据库(拨入服务器)。
本节包含在可信呼叫者的拨出计算机上设置 CHAP 验证的任务。根据站点的安全策略,可以由您或可信呼叫者负责设置 CHAP 验证。
在远程呼叫者配置 CHAP 的情况下,应确保该呼叫者的本地 CHAP 机密与拨入服务器的 /etc/ppp/chap-secrets 文件中该呼叫者的等效 CHAP 机密匹配。然后,指示这些呼叫者执行本节中的任务以配置 CHAP。
为可信呼叫者配置 CHAP 涉及两个任务:
创建呼叫者的 CHAP 安全凭证
配置呼叫者的拨出计算机以支持 CHAP 验证
此过程说明如何为两个可信呼叫者设置 CHAP 凭证。此过程中的步骤假定,作为系统管理员的您要在可信呼叫者的拨出计算机上创建 CHAP 凭证。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
使用使用 CHAP 验证的配置示例中的 CHAP 配置样例,并假定拨出计算机属于可信呼叫者 account1。
此发行版提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以将以下选项添加到现有 /etc/ppp/chap-secrets 文件中。
account1 CallServe key123 *
CallServe 是 account1 要尝试访问的对等点的名称。key123 是将用于 account1 与 CallServer 之间的链路的 CHAP 机密。
角色包含授权和具有特权的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
假定此计算机属于呼叫者 account2。
account2 CallServe key456 *
现在,account2 将机密 key456 作为在指向对等点 CallServe 的链路上使用的 CHAP 凭证。
另请参见
以下列出了相关的参考信息。
要了解有关 CHAP 验证的更多信息,请参阅质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。下一任务将配置拨出计算机,该拨出计算机属于在使用 CHAP 验证的配置示例中介绍的呼叫者 account1。
# cat /etc/ppp/options lock nodefaultroute
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
选项 user account1 将 account1 设置为指定给 CallServe 的 CHAP 用户名。有关以上文件中其他选项的说明,请参见如何定义与单个对等点的连接中类似的 /etc/ppp/peers/myserver 文件。
另请参见
要通过呼叫拨入服务器来测试 CHAP 验证,请参阅如何呼叫拨入服务器。