Народ?Дохиливает ситуация, что при регистрации пользователя приходится (помимо регистрации в passwd ещё и прописывать его в файлах pap-secrets и/или chap-secrets.
В принципе это не страшно, пока пользователь не захочет сменить пароль. Вот тут и начинается головная боль Там сменить, здесь поменять и т.д.
А возможно ли вообще не обращаться к файлам pap-secrets и chap-secrets?
Нехитрый эксперимент показал, что если в файл pap-secrets записать строчку
* * "" *
Аутентификация по PAP проходит на ура! Однако, с CHAP этот фоокус не прокатил.
Скажите, можно ли подобным образом приручить и CHAP?
>Скажите, можно ли подобным образом приручить и CHAP?Так чапу по-моему вообще пофиг /etc/passwd и /etc/shadow и юзера не надо создавать - достаточно прописать в chap-secrets
>Так чапу по-моему вообще пофиг /etc/passwd и /etc/shadow и юзера не надо
>создавать - достаточно прописать в chap-secretsСогласен. Пофигу. Но клиент хочет и электронную почту и хомяка с R/W-доступом по FTP. А эти вещи упорно не желают обращаться к chap-secrets. Им нужно, что бы был создан аккаунт. Вот и получается, что вроде бы PAM и существует, но пароль нужно прописывать в нескольких местах, причём в chap-secrets он лежит в открытом виде (вариант с crypt у меня почему-то не сработал), что отнюдь не повышает безопасность системы.
>>Так чапу по-моему вообще пофиг /etc/passwd и /etc/shadow и юзера не надо
>>создавать - достаточно прописать в chap-secrets
>
>Согласен. Пофигу. Но клиент хочет и электронную почту и хомяка с R/W-доступом
>по FTP. А эти вещи упорно не желают обращаться к chap-secrets.
>Им нужно, что бы был создан аккаунт. Вот и получается, что
>вроде бы PAM и существует, но пароль нужно прописывать в нескольких
>местах, причём в chap-secrets он лежит в открытом виде (вариант с
>crypt у меня почему-то не сработал), что отнюдь не повышает безопасность
>системы.1. pap- chap-secrets для того и нужны чтобы пользователь имел только ppp доступ без системных эккаунтов, что и повышает безопасность системы.
файлы принадлежат суперпользователю и уж если к ним получат доступ наверняка смогут получить доступ и к /etc/passwd
2. хочешь использовать системные эккаутны ну так настривай ppp c авторизацией через системные эккаунты.
>1. pap- chap-secrets для того и нужны чтобы пользователь имел только ppp
>доступ без системных эккаунтов, что и повышает безопасность системы.
>файлы принадлежат суперпользователю и уж если к ним получат доступ наверняка смогут
>получить доступ и к /etc/passwd
>2. хочешь использовать системные эккаутны ну так настривай ppp c авторизацией через
>системные эккаунты.1. А как без системных аккаунтов сделать юзверю почтовый ящик?
2. Этот ответ мне напомнил известный анекдот - "...Тут трактор нужен..."
Если не лень посмотреть мой первый вопрос, я именно это и спрашивал - Как настроить ppp с CHAP-авторизацией через системные аккаунты?
>>1. pap- chap-secrets для того и нужны чтобы пользователь имел только ppp
>>доступ без системных эккаунтов, что и повышает безопасность системы.
>>файлы принадлежат суперпользователю и уж если к ним получат доступ наверняка смогут
>>получить доступ и к /etc/passwd
>>2. хочешь использовать системные эккаутны ну так настривай ppp c авторизацией через
>>системные эккаунты.
>
>1. А как без системных аккаунтов сделать юзверю почтовый ящик?
>
>2. Этот ответ мне напомнил известный анекдот - "...Тут трактор нужен..."
>Если не лень посмотреть мой первый вопрос, я именно это и спрашивал
>- Как настроить ppp с CHAP-авторизацией через системные аккаунты?Первый вопрос :"Возможно ли избавиться от файлов pap-secrets и chap-secr..."
Ответ : "Возможно"А то что у тебя прокатило с PAP вероятнее всего что ты просто проходил CHAP авторизацию, и PAP просто не читался
По умолчанию:
При входе с windows2000 используется CHAP аутентификация
При входе с windows98 используется CHAP аутентификация
При входе с FreeBSD использует CHAP и PAP аутентификацию с зависимости от настроек в программе дозвона.
При входе с windows XP используется CHAP аутентификация
При входе с windows NT используется CHAP аутентификация
>Первый вопрос :"Возможно ли избавиться от файлов pap-secrets и chap-secr..."
>Ответ : "Возможно"
>
>А то что у тебя прокатило с PAP вероятнее всего что ты
>просто проходил CHAP авторизацию, и PAP просто не читалсяЭксперименты подобного рода я ставлю уже давно (когда в плотную познакомился со стилем ответов "закалённых фидошников")
Поэтому строчку вида * * "" * я ставил в оба файла одновременно.
Когда в файле /etc/ppp/options я прописывал
refuse-chap
require-pap
Аутентификация проходила, а в лог писалось -
PAP peer authentication succeeded for userКогда-же прописывал
require-chap
refuse-pap
Подключение не устанавливалось, а в логе было -
CHAP peer authentication filed for userВ винде (2000) Выставлял различные параметры. CHAP метод проходил только тогда, когда в /etc/ppp/options прописывал
require-chap
refuse-pap
и в файл chap-secrets прописывал
user domain "Password" *Теперь второе:
Если ты знаешь как заставить pppd брать пароли для CHAP аутентификации из shadow, то поделись опытом. Если же нет - не стоит оттачивать свой "фидошный штиль", не оценю.WBR.