ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Auth по CHAP через Radius || Tacacs ...



Hello Yury Yaroshevsky! 

 Thu, May 18, 2000 at 15:03:58, yk wrote about "Re: [inet-admins] Auth по CHAP через Radius || Tacacs ...": 

> Мне нужны патчи для pppd или user level ppp, которые посредством CHAP
> умеют auth через tacacs или radius, а также accounting через radius.

Тяжеловато.

CHAP (в обоих известных вариантах) работает, грубо говоря, так: когда сторона
A запрашивает авторизацию у стороны B, то сторона B посылает салт,
A приписывает к нему пароль, берет хэш от получившегося и посылает к B.
В силу необратимости хэширования сторона B должна знать пароль в открытом
виде, чтобы сравнить результаты своих вычислений и полученное от A.

Посему два варианта -
1) pppd/ppp запрашивают у AAA сервера пароль в plain text и производят
вычисления.
2) pppd/ppp посылают хэш (возможно, и салт), AAA сервер производит вычисления.

Первый вариант - чудовищно небезопасен. Второй - надо смотреть, можно
ли его сделать в такаксе и радиусе, и даже если можно - AAA-сервер придется
патчить.

--
NVA
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.