Справка по NSG Linux: дерево команд

Что это такое?

Это системная таблица паролей pap-secrets.

Зачем это нужно?

Для локальной аутентификации по протоколу PAP.

ПРИМЕЧАНИЕ. При аутентификации по PAP передаются имя клиента (открытым текстом) и пароль (в слабозашифрованном виде, что практически то же самое). Они могут быть перехвачены любым злоумышленником, имеющим доступ к трафику сети. По этой причине протокол PAP в некоторых системах называется "небезопасным паролем". Использовать его без настоятельной необходимости не очень желательно, тем более, что все современные реализации PPP равно поддерживают PAP и CHAP.

Как это настроить?

Так же, как и таблицу chap. Формат обеих таблиц одинаков. Ещё подробнее см. man pages по файлам pap-secrets, chap-secrets.

Технические подробности

При аутентификации устройства NSG по PAP как клиента на удалённом сервере:

Имя клиента берётся из настроек PPP (sent-username).
Если для этого клиента существуют несколько записей, то имя сервера следует указать в настройках PPP отдельно (в данной версии — с помощью параметра options="remotename имя").
Удалённой стороне посылаются имя клиента и пароль, соответствующие этой паре "клиент-сервер" (или "клиент-*").
IP-адреса из этой записи не используются.

Для клиента рекомендуется задавать пароли данным способом только в том случае, если их необходимо использовать в сочетании с именем сервера (т.е. устройство NSG зарегистрировано на разных серверах как клиент с одним и тем же именем, но с разными паролями). В противном случае удобнее и безопаснее указывать пароль непосредственно в настройках физического порта или туннеля.

При аутентификации удалённого клиента на устройстве NSG как на сервере:

Проверяется сочетание имени клиента и пароля, полученных от удалённой стороны, и имени устройства NSG, указанного в настройках PPP (sent-username).
Если в списке содержится запись, совпадающая по этим 3 параметрам, то процедура установления соединения продолжается.
На этапе IPCP дополнительно проверяется IP-адрес, который удалённая сторона должна была бы использовать в результате согласования; либо, если клиент просит назначить ему динамический IP-адрес, посылается первый адрес из списка.