Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: system.ppp-secrets.chap.…далее…

Что это такое?

Это системная таблица паролей chap-secrets.

Зачем это нужно?

Для локальной аутентификации по протоколу CHAP и его модификациям (MS-CHAP, MS-CHAPv2).

ПРИМЕЧАНИЕ. При аутентификации по CHAP передаются имя клиента и хэш от пароля и имени сервера. Если злоумышленник, имеющий доступ к трафику сети, перехватит их, то восстановить по ним пароль он всё равно не сможет. По этой причине протокол CHAP в некоторых системах называется "безопасным паролем". Если у вас есть возможность выбора при построении вашей системы, то рекомендуется использовать именно его. Все современные реализации PPP равно поддерживают PAP и CHAP.

Как это настроить?

Для добавления записей в таблицы PAP и CHAP используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

Каждая запись состоит из следующих реквизитов: имя клиента, имя сервера, пароль, список IP-адресов. Обязательными являются имя клиента и его пароль. Имя сервера и разрешённые IP-адреса клиента в современной практике используются крайне редко; вместо имени сервера, если оно не должно быть каким-то определённым, необходимо поставить звёздочку (*).

Что делать, если это не работает?

  1. Убедиться по журналам PPP-соединений (желательно — на обеих сторонах), что проблема состоит именно в аутентификации.
  2. Убедиться, что имя и пароль пользователя (и остальные реквизиты, если используются) заданы правильно на обеих сторонах.
  3. Убедиться, что тот протокол аутентификации, который установлен на аутентифицирующей стороне (сервере), не запрещён на аутентифицируемой стороне (клиенте).

Технические подробности

При аутентификации устройства NSG по CHAP как клиента на удалённом сервере:

Для клиента рекомендуется задавать пароли данным способом только в том случае, если их необходимо использовать в сочетании с именем сервера (т.е. устройство NSG зарегистрировано на разных серверах как клиент с одним и тем же именем, но с разными паролями). В противном случае удобнее и безопаснее указывать пароль непосредственно в настройках физического порта или туннеля.

При аутентификации удалённого клиента на устройстве NSG как на сервере:


© Network Systems Group 2015–2024 Отдел документации