Что это такое?

Это таблицы паролей PAP и CHAP.

Зачем это нужно?

Для локальной аутентификации в рамках протокола PPP и его производных (PPPoE, PPTP). Собственно аутентификация производится по протоколам PAP, CHAP или его производным (MS-CHAP, MS-CHAPv2).

ПРИМЕЧАНИЕ. Протокол PPP симметричен и предусматривает, что любая из сторон может потребовать аутентификацию от другой стороны (или обе взаимно). При этом отношения "аутентифицирующая/аутентифицируемая сторона", в общем случае, никак не связаны с отношениями "вызывающая/отвечающая сторона". Термины "клиент/сервер" имеют однозначный смысл только при классическом способе совокупления, когда клиент инициирует соединение и должен аутентифицировать себя на сервере, а сервер отвечает на вызовы клиентов и требует от них аутентификации; разных других вариантов в жизни может встретиться очень много: кто, кого, чем и в какое именно отверстие. Подробнее о протоколе PPP...

ВНИМАНИЕ! В общем случае, системные таблицы PAP и CHAP используются в *NIX как для аутентификации данной системы на удалённой стороне, так и для аутентификации удалённого клиента на данной системе. Однако в современной практике такая двойственность является излишней и, хуже того, при определённом сочетании факторов может создавать дыру в безопасности. В NSG Linux для аутентификации данной системы как клиента на удалённом сервере предусмотрен иной механизм — имя и пароль указываются непосредственно в настройках PPP физического порта или туннеля. Настоятельно рекомендуется (да и удобнее, кстати) использовать этот способ, а системные таблицы PAP/CHAP — только в сложных случаях (аутентификация по совокупности 3 параметров "клиент-сервер-пароль") и при работе данной системы как сервера, для аутентификации удалённых пользователей.

Как это настроить?

Данный узел является интерфейсом к стандартным системным таблицам pap-secrets и chap-secrets, соответственно. Для добавления записей в таблицы используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

В каждой записи необходимо указать имя клиента и его пароль. Имя сервера и разрешённые IP-адреса клиента в современной практике используются крайне редко; вместо имени сервера, если оно не должно быть каким-то определённым, необходимо поставить звёздочку (*).

Что делать, если это не работает?

1. Убедиться по журналам PPP-соединений (желательно — на обеих сторонах), что проблема состоит именно в аутентификации.
2. Убедиться, что имя и пароль пользователя (и остальные реквизиты, если используются) заданы правильно на обеих сторонах.
3. Убедиться, что тот протокол аутентификации, который установлен на аутентифицирующей стороне (сервере), не запрещён на аутентифицируемой стороне (клиенте).