Linux PPP HOWTO: Skekretny plik PAP/CHAP Następna strona Poprzednia strona Spis treści 13. Skekretny plik PAP/CHAP Jeśli korzystasz z weryfikacja toższamośći pap lub chap, musisz również utworzyć odpowiedni plik sekretny: /etc/ppp/pap-secrets /etc/pp/chap-secrets Podstawową cechą tych plików jest to, że mają uwiarygodniać toższamość komputera (systemu) a nie użytkownika. "Tak? A jaka to róznica ?" słyszę jak zadajesz to pytanie. Taka, że po zestawieniu połączenia PPP z serwerem KAŻDY użytkownik twojego komputera może korzystąc z tego połączenia - nie tylko ty. To właśnie dlatego możesz za pomocą PPP zestawić połączenie WAN łączące ze sobą dwie sieci LAN. Twój dostawca poza podaniem ci identyfikatora użytkownika i hasła wymaganego do przyłązenia się do jego systemu prawdopodobnie nie będzie zainteresowany jakią nazwę nadałeś swojemu komputerowi, dlatego prawdopodobnie powienienś korzystać z identyfikatora użytkownika jaki masz u dostawcy jako nazwy swojego koputera [mówimy o PAP/CHAP]. Dokonuje sie tego za pomocą opcji name username programu pppd. Jeśli muszisz więc podawać swój identyfikator w systemie dostawcy dodaj do pliku /etc/ppp/options wiersz name twoj_identyfikator_obowiązujący_u_dostawcy Technicznie rzecz biorąc tak naprawdę powienieneś korzysztać z usertwoj_identyfikator_obowiązujący_u_dostawcy dla PAP, lecz pppd jest na tyle inteligentny aby zinterpretować name jako user jeśli tylko serwer zażąda użycia PAP. Zaletą korzystania z opcji name jest, to, że jest ona również poprawna dla CHAP. Ponieważ PAP/CHAP służy so sprawdzania toższamości komputerów, potrzebujesz również podać nazwę zdalnego komputera. Ponieważ jednak większość korzysta tylkoz jednego dostawcy, może w pliku sekretnym w miejscu nazwy zdalnego komputera wstawić znak uniwersalny (*). Wrto również pamiętać, że wielu dostawców korzysta z wielokrotnych farm modemowych podłączonych do różnych serwerów, dostępnych pod WSPÓLNYM numerem telefonicznym. Dlatego nie można być pewnym, do którego komputera zostaniemy przyłączeni. 13.1 Plik sekretny PAP Plik /etc/ppp/pap-secrets wygląda mniej więcej tak # Secrets for authentication using PAP # client server secret acceptable local IP addresses ćżtery pola rodzielaone odstępami. Pwiedzmy, że twój dostawca nadał ci nazwe fred i hasło flintstone. Wrtedy w pliku /etc/ppp/options.ttySx ustawił byś opcję name fred, a w pliku /etc/ppp/pap-secrets dopisał # Hasła do weryfikacji tożsamości za pomocą protokołu PAP # client server secret dopuszczalny lokalny adres IP fred * flintstone To oznacza, że w przypadku połązcenia lokalnego komputera o nazwie frd (którą używa pppd choć to nie musis być prawdziwa nazwa tego komputera) z dowolnym serwerm PPP należy używać hasła flintstone. Zauważ, że nie musimy podawać lokalnego adresu IP, cgyba że jesteśmy ZMUSZENI do korzystania zkonkretnego, STATYCZNEGO adresu IP. Jeśli łączysz sie korzystając z PAP z kilkoma różnymi serwerami, powinieneś albo zaranżować to w taki spsób aby na każdym serwerze posiadać inny identyfikator username lub poznać nazwy zdalnych serwerów, z którymi się łączysz. W ten sposób będziesz mógł dodać do pliku pap-secrets kolejne wiersze definiujące hasło połączenia - pod warunkiem, że nadasz prawidłową wartość opci tt/name/ odpowiednią dla każdego serwera z którym nawiązujesz połączenie, 13.2 Sekretny plik CHAP Aktualna wersja porgramu pppd wymaga korzystania z wzajemnych metod potwierdzania tożsamości - to znaczy musisz pozwolić aby twój komputer mogł zweryfikowac odległy serwer i aby odległy serwer mogł zweryfikować twój ompuer. Jęsli twój komputer nazywa się fred a zdalny serwer nazywa się barney, to podpowiednie pliki /etc/ppp/options.ttySx na twoim komputerze powinny zawierać name fred remotename barney, a na zdalnym serwerze na odwrót name barney remote name fred. Plik /etc/chap-secrets dla komputera fred wygląda tak # Hasła do weryfiakcji tozsamości za pomocą protokołu CHAP # client server secret dopuszczalny lokalny adres IP fred barney flintstone a dla komputera barney, tak # Hasła do weryfiakcji tozsamości za pomocą protokołu CHAP # client server secret dopuszczalny lokalny adres IP barney fred flintstone Następna strona Poprzednia strona Spis treści