Gestión de redes seriales con UUCP y PPP en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Protocolo de autenticación de contraseña (PAP)

La autenticación PAP es parecida en operación al programa login de UNIX, aunque PAP no concede acceso shell al usuario. PAP utiliza los archivos de configuración de PPP y la base de datos de PAP en forma del archivo /etc/ppp/pap-secrets para configurar la autenticación. PAP también utiliza /etc/ppp/pap-secrets para definir credenciales de seguridad de PAP. Estas credenciales incluyen un nombre de par, un "nombre de usuario" en lenguaje de PAP y una contraseña. Las credenciales de PAP también contienen información relacionada para cada emisor de llamada al que se le permite establecer un enlace con el equipo local. Los nombres de usuario y las contraseñas de PAP pueden ser idénticos o diferentes de los nombres de usuario y las contraseñas de UNIX en la base de datos de contraseñas.

Archivo /etc/ppp/pap-secrets

La base de datos de PAP se implementa en el archivo /etc/ppp/pap-secrets. Las máquinas en ambos lados del enlace de PPP deben haber configurado correctamente las credenciales de PAP en sus archivos /etc/ppp/pap-secrets para una autenticación correcta. El emisor de llamada (autenticado) proporciona credenciales en las columnas user y password del archivo /etc/ppp/pap-secrets o en el archivo +ua obsoleto. El servidor (autenticador) valida estas credenciales comparando la información en /etc/ppp/pap-secrets, a través de la base de datos passwd de UNIX o en la utilidad de PAM.

El archivo /etc/ppp/pap-secrets tiene la siguiente sintaxis.

myclient ISP-server mypassword *

Los parámetros tienen el siguiente significado.

myclient

Nombre de usuario de PAP del emisor de llamada. Con frecuencia, este nombre es idéntico al nombre de usuario de UNIX del emisor, especialmente si el servidor de marcación de entrada utiliza la opción login de PAP.

ISP-server

Nombre del equipo remoto, generalmente un servidor de marcación de entrada.

mypassword

Contraseña de PAP del emisor de llamada.

*

Dirección IP que está asociada con el emisor. Utilice un asterisco (*) para indicar cualquier dirección IP.

Creación de contraseñas de PAP

    Las contraseñas de PAP se envían a través del enlace sin cifrar, es decir, en formato ASCII legible. Para el emisor de llamada (autenticado), la contraseña de PAP se debe almacenar sin cifrar en cualquiera de las siguientes ubicaciones:

  • En /etc/ppp/pap-secrets

  • En otro archivo externo

  • En una conducción con nombre a través de la función pap-secrets @

  • Como una opción para pppd, en la línea de comandos o en un archivo de configuración de PPP

  • A través del archivo +ua

    En el servidor (autenticador), la contraseña de PAP se puede ocultar al realizar una de las siguientes acciones:

  • Especificar papcrypt y utilizar contraseñas a las que se les ha aplicado un algoritmo hash mediante el comando encrypt en el archivo pap-secrets.

  • Especificar la opción login para pppd y omitir la contraseña del archivo pap-secrets colocando comillas dobles ("") en la columna de contraseña. En esta instancia, la autenticación se realiza a través de la base de datos "passwd" de UNIX o el mecanismo PAM.

Qué sucede durante la autenticación PAP

La autenticación PAP se produce en la siguiente secuencia.

Figura 8-1  Proceso de autenticación PAP

image:El siguiente contexto describe la secuencia que se muestra en el diagrama de flujo.

  1. El emisor de llamada (autenticado) llama al par remoto (autenticador) y proporciona su nombre de usuario y contraseña de PAP como parte de la negociación del enlace.

  2. El par verifica la identidad del emisor de llamada en su archivo /etc/ppp/pap-secrets. Si el par utiliza la opción login de PAP, el par verifica el nombre de usuario y la contraseña del emisor de llamada en su base de datos de contraseñas.

  3. Si la autenticación es correcta, el par continúa la negociación del enlace con el emisor. Si la autenticación falla, el enlace se pierde.

  4. (Opcional) Si el emisor de llamada autentica respuestas de iguales remotos, el par remoto debe enviar sus propias credenciales de PAP al emisor. Por lo tanto, el par remoto se convierte en el autenticado y el emisor en el autenticador.

  5. (Opcional) El emisor de llamada original lee su propio /etc/ppp/pap-secrets para verificar la identidad del par remoto.

    Notas - Si el emisor de llamada original requiere credenciales de autenticación del par remoto, el paso 1 y el paso 4 suceden en paralelo.

    Si se autentica al par, la negociación continúa. De lo contrario, el enlace se pierde.

  6. La negociación entre el emisor de llamada y el par continúa hasta que el enlace se establece correctamente.

Uso de la opción login con /etc/ppp/pap-secrets

Puede agregar la opción login para autenticar credenciales de PAP en cualquier archivo de configuración de PPP. Cuando se especifica login, por ejemplo, en /etc/ppp/options, pppd verifica que las credenciales de PAP del emisor de llamada existen en la base de datos de contraseñas. En el siguiente ejemplo, se muestra el formato de un archivo /etc/ppp/pap-secrets con la opción login.

joe    *  ""  *
sally  *  ""  *
sue    *  ""  *

Los parámetros tienen los siguientes significados.

Emisor de llamada

joe, sally y sue son los nombres de los emisores de llamadas autorizados.

Servidor

Asterisco (*), que indica que cualquier nombre de servidor es válido. La opción name no es necesaria en los archivos de configuración de PPP.

Contraseña

Comillas dobles, que indican que cualquier contraseña es válida.

Si una contraseña está en esta columna, la contraseña del par debe coincidir con la contraseña de PAP y la base de datos passwd de UNIX.

Direcciones IP

Asterisco (*), que indica que se permite cualquier dirección IP.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente