Что это такое?

Это системная таблица паролей chap-secrets.

Зачем это нужно?

Для локальной аутентификации по протоколу CHAP и его модификациям (MS-CHAP, MS-CHAPv2).

ПРИМЕЧАНИЕ. При аутентификации по CHAP передаются имя клиента и хэш от пароля и имени сервера. Если злоумышленник, имеющий доступ к трафику сети, перехватит их, то восстановить по ним пароль он всё равно не сможет. По этой причине протокол CHAP в некоторых системах называется "безопасным паролем". Если у вас есть возможность выбора при построении вашей системы, то рекомендуется использовать именно его. Все современные реализации PPP равно поддерживают PAP и CHAP.

Как это настроить?

Для добавления записей в таблицы PAP и CHAP используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

Каждая запись состоит из следующих реквизитов: имя клиента, имя сервера, пароль, список IP-адресов. Обязательными являются имя клиента и его пароль. Имя сервера и разрешённые IP-адреса клиента в современной практике используются крайне редко; вместо имени сервера, если оно не должно быть каким-то определённым, необходимо поставить звёздочку (*).

Что делать, если это не работает?

1. Убедиться по журналам PPP-соединений (желательно — на обеих сторонах), что проблема состоит именно в аутентификации.
2. Убедиться, что имя и пароль пользователя (и остальные реквизиты, если используются) заданы правильно на обеих сторонах.
3. Убедиться, что тот протокол аутентификации, который установлен на аутентифицирующей стороне (сервере), не запрещён на аутентифицируемой стороне (клиенте).

Технические подробности

При аутентификации устройства NSG по CHAP как клиента на удалённом сервере:

• Имя клиента берётся из настроек PPP (sent-username).
• Имя сервера берётся из запроса CHAP.
• В ответе CHAP посылаются имя клиента и хэш пароля, соответствующие этой паре "клиент-сервер" (или "клиент-*").
• IP-адреса из этой записи не используются.

Для клиента рекомендуется задавать пароли данным способом только в том случае, если их необходимо использовать в сочетании с именем сервера (т.е. устройство NSG зарегистрировано на разных серверах как клиент с одним и тем же именем, но с разными паролями). В противном случае удобнее и безопаснее указывать пароль непосредственно в настройках физического порта или туннеля.

При аутентификации удалённого клиента на устройстве NSG как на сервере:

• В запросе CHAP посылается имя сервера, указанное в настройках PPP (sent-username).
• Проверяется сочетание этого имени и хэша пароля с реквизитами, полученными в ответе CHAP от удалённой стороны.
• Если в списке содержится запись, совпадающая по этим 3 параметрам, то процедура установления соединения продолжается.
• На этапе IPCP дополнительно проверяется IP-адрес, который удалённая сторона должна была бы использовать в результате согласования; либо, если клиент просит назначить ему динамический IP-адрес, посылается первый адрес из списка.