Linux-сервер своими руками

Колисниченко Денис Николаевич

3. CHAP (Challenge Handshake Authentication Protocol) — протокол аутентификации по запросу/ответу. Этот протокол предоставляет более безопасный механизм аутентификации. При этом проверка права доступа осуществляется в три этапа:

 • на первом этапе аутентификации сервер посылает клиенту специальный запрос;

 • на втором этапе клиент с помощью специальной функции MD5 вычисляет и отсылает серверу ответ. При формировании ответа учитываются имя пользователя, пароль и присланный сервером запрос;

 • на третьем этапе сервер сравнивает полученный от клиента ответ с предполагаемым

и выдает соответствующий ответ, разрешая или запрещая доступ пользователю.

7.3.1. Терминальный способ

Не будем вдаваться в технические подробности, а опишем настройку соединения каждым способом. Начнем с самого простого терминального метода. Может быть, вы когда-нибудь подключались к провайдеру из-под Windows, устанавливая режим «Открыть окно терминала после набора номера»? Так вот это как раз этот способ аутентификации. Итак, рассмотрим подключение к одному из моих местных провайдеров, использующему как раз терминальный способ. Для этого потребуется следующая информация, которую можно узнать у провайдера, а жители города Кировограда могут использовать данный пример без изменений (см. табл. 7.1).

Параметры подключения к провайдеру Таблица 7.1

Параметр	Значение
Телефон для доступа	083
Имя пользователя для входа в сеть	dialup
Имя пользователя для доступа к серверу POP (почта)	name
Пароль для доступа в сеть	PassWord
Ваш IP-адрес	0.0.0.0
IP-адрес сервера DNS	194.183.166.3
Шлюз по умолчанию	194.183.166.3
Домен	frk.kr.ua (или host.kr.ua)
Прокси:порт	proxy.frk.kr.ua:8080

Пока ничего не забыл, нужно сделать несколько небольших замечаний.

Во-первых, имя пользователя для входа в сеть и для доступа к почтовику могут быть одинаковыми, а могут и отличаться. Все зависит от вашего провайдера. С точки зрения безопасности лучше иметь два различных имени и два разных пароля. Как вы видите, в данном случае используются два разных имени. В гл. 17 будут рассмотрены оба способа конфигурирования сервера входящих звонков.

Во-вторых, пароль я специально написал в таком виде: «PassWord». Этим я хочу показать, что при аутентификации учитывается регистр букв.

Далее, если у вас динамический IP-адрес (что скорее всего), то пишите 0.0.0.0 вместо нормального адреса. Кроме основного IP-адреса сервера DNS, может использоваться еще и вторичный сервер DNS. Этот адрес также лучше уточнить у провайдера. IP-адрес шлюза по умолчанию обычно совпадает с IP-адресом сервера DNS, так как обычно это один и тот же компьютер.

В

свойствах браузера можно выбрать тип подключения прямой или через прокси-сервер. В данном случае нам все равно, потому что наш провайдер использует прозрачный прокси-сервер, а имя прокси-сервера я привел исключительно в демонстрационных целях.

Прежде чем приступить к настройке протокола РРР, установите необходимое программное обеспечение. Далее, я сначала опишу установку из RPM, а потом полностью компилирование pppd из исходников. Установить РРР вы можете с помощью команд:

# mount /mnt/cdrom

# rpm –ih /mnt/cdrom/Mandrake/RPMS/ppp*

Нужно также позаботиться о том, чтобы ядро поддерживало РРР. В большинстве случаев поддержка РРР уже встроена в ядро. Проверить наличие поддержки РРР можно с помощью команды:

dmesg | grep РРР.

Желающие могут установить РРР из исходников. Последнюю версию можно скачать по адресу ftp://ftp.linuxcare.com.au/pub/ppp/. Установку РРР при этом можно выполнить с помощью таких команд:

# ./configure

# make

# make install

Естественно, что до этого необходимо сначала перейти в каталог с распакованными исходными текстами ррр.

Далее, возвращаясь к рассматриваемому примеру, установите имя машины:

# hostname name.frk.kr.ua

Затем может потребоваться подправить файл /etc/hosts.conf (хоти в большинстве случаев этого делать не надо):

order hosts, bind

multi on

Первая строка означает, что сначала адрес узла сети будет просматриваться в локальной базе данных — в файле /etc/hosts, а затем будет произведено обращение к серверу DNS (если нужного адреса там нет). Вторая строка разрешает использовать сразу несколько IP-адресов. Теперь подправим файл /etc/hosts:

127.0.0.1 localhost.localdomain localhost

0.0.0.0 name.frk.kr.ua name

Сейчас необходимо указать системе, какими серверами DNS нужно пользоваться. Эта информация хранится в файле /etc/resolv.conf

domain frk.kr.ua

nameserver 194.183.166.3

Можно также добавить еще и адрес вторичного сервера (добавив еще одну директиву nameserver). Всего можно указать четыре адреса.

Как уже отмечалось выше, процесс подключения состоит из нескольких этапов:

1. Соединение с сервером провайдера.

2. Регистрация.

3. Инициализация РРР-соединения.

Программы-дайлеры выполняют все эти функции, но в нашем случае эти функции выполняют следующий набор файлов:

демон pppd

/usr/sbin/ppp-on

/usr/sbin/ppp-off

/etc/ppp/ppp-on-dialer

/etc/ppp/options

Скрипт ррр-on предназначен для инициализации РРР-соединения, ppp-off — для выхода из сети. Далее приведен пример сценария ррр-оn (листинг 7.1).