Народ?

Дохиливает ситуация, что при регистрации пользователя приходится (помимо регистрации в passwd ещё и прописывать его в файлах pap-secrets и/или chap-secrets.
В принципе это не страшно, пока пользователь не захочет сменить пароль. Вот тут и начинается головная боль Там сменить, здесь поменять и т.д.
А возможно ли вообще не обращаться к файлам pap-secrets и chap-secrets?
Нехитрый эксперимент показал, что если в файл pap-secrets записать строчку
* * "" *
Аутентификация по PAP проходит на ура! Однако, с CHAP этот фоокус не прокатил.
Скажите, можно ли подобным образом приручить и CHAP?

• RE: Возможно ли избавиться от файлов pap-secrets и chap-secrets?,Олег, 13:00 , 25-Дек-02
  • RE: Возможно ли избавиться от файлов pap-secrets и chap-secr...,harlan, 07:19 , 26-Дек-02
    • RE: Возможно ли избавиться от файлов pap-secrets и chap-secr...,A Clockwork Orange, 09:09 , 26-Дек-02
      • RE: Возможно ли избавиться от файлов pap-secrets и chap-secr...,harlan, 10:37 , 26-Дек-02
        • RE: Возможно ли избавиться от файлов pap-secrets и chap-secr...,A Clockwork Orange, 11:07 , 26-Дек-02
          • RE: Возможно ли избавиться от файлов pap-secrets и chap-secr...,harlan, 12:25 , 26-Дек-02

>Скажите, можно ли подобным образом приручить и CHAP?

Так чапу по-моему вообще пофиг /etc/passwd и /etc/shadow и юзера не надо создавать - достаточно прописать в chap-secrets

>Так чапу по-моему вообще пофиг /etc/passwd и /etc/shadow и юзера не надо
>создавать - достаточно прописать в chap-secrets

Согласен. Пофигу. Но клиент хочет и электронную почту и хомяка с R/W-доступом по FTP. А эти вещи упорно не желают обращаться к chap-secrets. Им нужно, что бы был создан аккаунт. Вот и получается, что вроде бы PAM и существует, но пароль нужно прописывать в нескольких местах, причём в chap-secrets он лежит в открытом виде (вариант с crypt у меня почему-то не сработал), что отнюдь не повышает безопасность системы.

>>Так чапу по-моему вообще пофиг /etc/passwd и /etc/shadow и юзера не надо
>>создавать - достаточно прописать в chap-secrets
>
>Согласен. Пофигу. Но клиент хочет и электронную почту и хомяка с R/W-доступом
>по FTP. А эти вещи упорно не желают обращаться к chap-secrets.
>Им нужно, что бы был создан аккаунт. Вот и получается, что
>вроде бы PAM и существует, но пароль нужно прописывать в нескольких
>местах, причём в chap-secrets он лежит в открытом виде (вариант с
>crypt у меня почему-то не сработал), что отнюдь не повышает безопасность
>системы.

1. pap- chap-secrets для того и нужны чтобы пользователь имел только ppp доступ без системных эккаунтов, что и повышает безопасность системы.
файлы принадлежат суперпользователю и уж если к ним получат доступ наверняка смогут получить доступ и к /etc/passwd
2. хочешь использовать системные эккаутны ну так настривай ppp c авторизацией через системные эккаунты.

>1. pap- chap-secrets для того и нужны чтобы пользователь имел только ppp
>доступ без системных эккаунтов, что и повышает безопасность системы.
>файлы принадлежат суперпользователю и уж если к ним получат доступ наверняка смогут
>получить доступ и к /etc/passwd
>2. хочешь использовать системные эккаутны ну так настривай ppp c авторизацией через
>системные эккаунты.

1. А как без системных аккаунтов сделать юзверю почтовый ящик?

2. Этот ответ мне напомнил известный анекдот - "...Тут трактор нужен..."
Если не лень посмотреть мой первый вопрос, я именно это и спрашивал - Как настроить ppp с CHAP-авторизацией через системные аккаунты?

>>1. pap- chap-secrets для того и нужны чтобы пользователь имел только ppp
>>доступ без системных эккаунтов, что и повышает безопасность системы.
>>файлы принадлежат суперпользователю и уж если к ним получат доступ наверняка смогут
>>получить доступ и к /etc/passwd
>>2. хочешь использовать системные эккаутны ну так настривай ppp c авторизацией через
>>системные эккаунты.
>
>1. А как без системных аккаунтов сделать юзверю почтовый ящик?
>
>2. Этот ответ мне напомнил известный анекдот - "...Тут трактор нужен..."
>Если не лень посмотреть мой первый вопрос, я именно это и спрашивал
>- Как настроить ppp с CHAP-авторизацией через системные аккаунты?

Первый вопрос :"Возможно ли избавиться от файлов pap-secrets и chap-secr..."
Ответ : "Возможно"

А то что у тебя прокатило с PAP вероятнее всего что ты просто проходил CHAP авторизацию, и PAP просто не читался

По умолчанию:
При входе с windows2000 используется CHAP аутентификация
При входе с windows98 используется CHAP аутентификация
При входе с FreeBSD использует CHAP и PAP аутентификацию с зависимости от настроек в программе дозвона.
При входе с windows XP используется CHAP аутентификация
При входе с windows NT используется CHAP аутентификация

>Первый вопрос :"Возможно ли избавиться от файлов pap-secrets и chap-secr..."
>Ответ : "Возможно"
>
>А то что у тебя прокатило с PAP вероятнее всего что ты
>просто проходил CHAP авторизацию, и PAP просто не читался

Эксперименты подобного рода я ставлю уже давно (когда в плотную познакомился со стилем ответов "закалённых фидошников")
Поэтому строчку вида * * "" * я ставил в оба файла одновременно.
Когда в файле /etc/ppp/options я прописывал
refuse-chap
require-pap
Аутентификация проходила, а в лог писалось -
PAP peer authentication succeeded for user

Когда-же прописывал
require-chap
refuse-pap
Подключение не устанавливалось, а в логе было -
CHAP peer authentication filed for user

В винде (2000) Выставлял различные параметры. CHAP метод проходил только тогда, когда в /etc/ppp/options прописывал
require-chap
refuse-pap
и в файл chap-secrets прописывал
user domain "Password" *

Теперь второе:
Если ты знаешь как заставить pppd брать пароли для CHAP аутентификации из shadow, то поделись опытом. Если же нет - не стоит оттачивать свой "фидошный штиль", не оценю.

WBR.