El fichero de claves CHAP


Cuando tiene que autentificarse con algún servidor utilizando el CHAP, el pppd busca en el fichero chap-se cret s una entrada cuyo campo de cliente sea igual al nombre del ordenador local, y cuyo campo de servidor sea igual al nombre del ordenador remoto enviado en el reto del CHAP. Cuando solicita a la otra máquina que se autentifique, los roles son simplemente al revés: el pppd entonces buscara una entrada que tenga el campo de cliente igual al nombre del ordenador remoto (enviado en la respuesta del CHAP del cliente), y el campo de servidor igual al nombre del ordenador local.
El siguiente es un fichero de ejemplo del chap-secrets para vlager:12
Cuando se intenta establecer una conexión PPP con c3po, c3po pide a vlager que se autentifique usando el CHAP mediante el envío de un reto del CHAP. El pppd entonces examina chap-secrets buscando una entrada cuyo campo de cliente sea igual a vlager.vbrew.com y el campo de servidor sea c3po.lucas.com, y encuentra la primera línea mostrada en el ejemplo.13 Entonces produce la respuesta del CHAP a partir de la cadena del reto y la clave (Use The Source Luke), y la envía de vuelta a c3po.
Al mismo tiempo, el pppd produce un reto del CHAP para c3po, conteniendo una única cadena de reto y su nombre de ordenador completo vlager.vbrew.com. c3po construye una respuesta del CHAP de la manera que acabamos de decir, y se la devuelve a vlager. El pppd extrae ahora el nombre del cliente (c3po.vbrew.com) de la respuesta, y busca en el fichero chap-secrets una línea que tenga c3po como cliente y vlager como servidor. La segunda línea se corresponde con esto, así que el pppd combina el reto del CHAP y la clave arttoo! arttoo!, las encripta, y compara el resultado con la respuesta del CHAP de c3po.
El cuarto campo opcional lista las direcciones IP que son aceptables por los clientes nombrados en el primer campo. Las direcciones pueden ser dadas en notación de cuarteto numérico o como nombres de ordenador que son resueltos posteriormente. Por ejemplo, si c3po solicita usar una dirección IP que no esta en esta lista durante la negociación IPCP, la petición será rechazada, y IPCP se desconectara. En el fichero de ejemplo anterior, c3po esta limitado a poder usar solo su propia dirección. Si el campo de dirección está vacío, se permitirá cualquier dirección; un valor de “-” evita el uso de una cierta dirección IP con un cliente.
La tercera línea del fichero chap- secret s de prueba, permite a cualquier ordenador establecer un enlace PPP con vlager, pues si aparece la expresión * en los campos de cliente o servidor, será valido cualquier nombre. El único requisito es que sepa la clave, y utiliza la dirección de pub.vbrew.com. Pueden aparecer perfectamente entradas con comodines en los nombres en cualquier lugar del fichero de claves, pues el pppd siempre utilizará la entrada mas especifica que pueda ser aplicada a un par cliente/servidor.
Hay algunas cosas que decir sobre la manera en que el pppd encuentra los nombres de ordenadores que busca en el fichero de claves. Como se explicó anteriormente, el nombre del ordenador remoto es siempre proporcionado por el otro ordenador en el paquete de reto o respuesta del CHAP. El nombre del ordenador local será obtenido por defecto llamando a la función gethostname (2) . Si ha configurado el nombre del sistema como el nombre del ordenador sin calificar, entonces tendrá que dar al pppd el nombre del dominio a añadir usando la opción domain:
Esto añadirá el nombre del dominio de la Cervecera a vlager para todas las actividades relacionadas con la autentificación. Otras opciones que modifican la idea que tiene el pppd del nombre del ordenador local son usehostname y name. Cuando da la dirección IP local en la línea de comando usando local:remote y local es un nombre en vez de un cuarteto numérico, el pppd utilizará éste como el nombre local.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta