> Hello Yury Yaroshevsky!
> > Мне нужны патчи для pppd или user level ppp, которые посредством CHAP
> > умеют auth через tacacs или radius, а также accounting через radius.
>
> Тяжеловато.
А кому сейчас легко? :)
> CHAP (в обоих известных вариантах) работает, грубо говоря, так: когда сторона
> A запрашивает авторизацию у стороны B, то сторона B посылает салт,
> A приписывает к нему пароль, берет хэш от получившегося и посылает к B.
> В силу необратимости хэширования сторона B должна знать пароль в открытом
> виде, чтобы сравнить результаты своих вычислений и полученное от A.
:( Все это мне известно, так как предварительно просмотрел исходники
от user level ppp и от pppd.
>
> Посему два варианта -
> 1) pppd/ppp запрашивают у AAA сервера пароль в plain text и производят
> вычисления.
> 2) pppd/ppp посылают хэш (возможно, и салт), AAA сервер производит вычисления.
>
> Первый вариант - чудовищно небезопасен. Второй - надо смотреть, можно
> ли его сделать в такаксе и радиусе, и даже если можно - AAA-сервер придется
Это из man по ppp (FreeBSD):
[skip]
Supports RADIUS (rfc 2138) authentication. An extension to PAP and CHAP,
Remote Access Dial In User Service allows authentication information to
be stored in a central or distributed database along with various per-us-
er framed connection characteristics. If libradius is available at com-
pile time, ppp will use it to make RADIUS requests when configured to do
so.
[skip]
Бегло глянув исходники и этот кусок man страницы я посчитал, что патчить
все же прийдется pppd, добавляя туда CHAP + Radius.
Так может быть кто-то это уже делал?
--
Yury V. Yaroshevsky | Donetsk State Technical University
YY18-RIPE | (380 62) 3356455 yk@dgtu.donetsk.ua
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
