Hello Yury Yaroshevsky!
Thu, May 18, 2000 at 15:03:58, yk wrote about "Re: [inet-admins] Auth по CHAP через Radius || Tacacs ...":
> Мне нужны патчи для pppd или user level ppp, которые посредством CHAP
> умеют auth через tacacs или radius, а также accounting через radius.
Тяжеловато.
CHAP (в обоих известных вариантах) работает, грубо говоря, так: когда сторона
A запрашивает авторизацию у стороны B, то сторона B посылает салт,
A приписывает к нему пароль, берет хэш от получившегося и посылает к B.
В силу необратимости хэширования сторона B должна знать пароль в открытом
виде, чтобы сравнить результаты своих вычислений и полученное от A.
Посему два варианта -
1) pppd/ppp запрашивают у AAA сервера пароль в plain text и производят
вычисления.
2) pppd/ppp посылают хэш (возможно, и салт), AAA сервер производит вычисления.
Первый вариант - чудовищно небезопасен. Второй - надо смотреть, можно
ли его сделать в такаксе и радиусе, и даже если можно - AAA-сервер придется
патчить.
--
NVA
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
