> Что касается безопасности, я бы вообще не советовал внедрять CHAP.
> В лучшем случае (при хорошей реализации), будут передаваться хеши,
> причем подверженные гораздо более быстрому подбору по ним пароля,
^^^^^^^^^^^^^^^^^^
> чем получаемые от crypt(3). Но это ценой хранения паролей открытым
Даже в случае использования CHAP (type 0x05) ?
> текстом на сервере. Если паролей так мало что их все в случае чего
> можно поменять, вообще не понятно ради чего такие заботы. Если же их
> не так мало, то открытым текстом хранить нельзя (ибо поменять будет
> нелегко и больно). К этому можно добавить, что пользователи имеют
> обыкновение еще и использовать те же самые пароли на другие сервисы
> (где их своевременно найти и поменять еще сложнее или невозможно).
> (Последнюю проблему можно решать в случае CRAM-MD5, но мы про CHAP.)
Заботы эти связаны с тем, что вся PPP auth будет бегать через мою сетку.
Где между NAS и сервером TACACS/RADIUS - trusted network, а между NAS
и клиентом - нет. И первостепенной задачей - является защита от "слухачей".
То что при этом пароли будут находиться на серваке в открытом
виде - это конечно большой минус, но других вариантов я не вижу. :(
--
Yury V. Yaroshevsky | Donetsk State Technical University
YY18-RIPE | (380 62) 3356455 yk@dgtu.donetsk.ua
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
