<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9"> <TITLE>Linux PPP HOWTO: Se il proprio server usa PAP (Password Authentication Protocol)</TITLE> <LINK HREF="PPP-HOWTO-14.html" REL=next> <LINK HREF="PPP-HOWTO-12.html" REL=previous> <LINK HREF="PPP-HOWTO.html#toc13" REL=contents> </HEAD> <BODY> <A HREF="PPP-HOWTO-14.html">Avanti</A> <A HREF="PPP-HOWTO-12.html">Indietro</A> <A HREF="PPP-HOWTO.html#toc13">Indice</A> <HR> <H2><A NAME="pap"></A> <A NAME="s13">13. Se il proprio server usa PAP (Password Authentication Protocol)</A></H2> <P>Se il server al quale ci connette richiede l'autentificazione PAP o CHAP c'è un po' più di lavoro da fare. <P> <P>Al file delle opzioni precedente, si aggiungano le seguenti righe: <HR> <PRE> # # forza pppd a usare il proprio nome utente nell'ISP come 'nome host' # durante il processo di autentificazione name <proprio nome utente nell'ISP> # si deve modificare questa riga # # Se si fa girare un *server* PPP e si ha bisogno di forzare il PAP o # il CHAP si tolga il commento alla riga appropriata fra le due che # seguono. NON usarle se si è un client che si connette ad un server # PPP (anche se questi usa PAP o CHAP) in quanto dicono al SERVER di # autentificare se stesso nella propria macchina (e quasi certamente # non potrà farlo e la connessione fallirà). #+chap #+pap # # Se si usano secret CRIPTATI nel file /etc/ppp/pap-secrets, allora # togliere il commento alla riga che segue. # Nota: questo NON è la stessa cosa che usare le password MS criptate # come si può fare con MS RAS in Windows NT. #+papcrypt </PRE> <HR> <P> <H2><A NAME="ss13.1">13.1 Usare MSCHAP</A> </H2> <P>Il RAS di Microsoft Windows NT può essere configurato per usare una variante di CHAP (Challenge/Handshake Authentication Protocol). Nella distribuzione sorgente di PPP, è possibile trovare un file chiamato README.MSCHAP80 che lo discute. <P> <P>Abilitando il debug di pppd è possibile determinare se il server richiede l'autentificazione usando questo protocollo. Infatti se il server la richiede, si vedrà una riga di questo tipo: <P> <HR> <PRE> rcvd [LCP ConfReq id=0x2 <asyncmap 0x0> <auth chap 80> <magic 0x46a3>] </PRE> <HR> <P> <P>L'informazione critica è <B>auth chap 80</B>. <P> <P>Per poter usare MS CHAP, sarà necessario ricompilare pppd per supportarlo. Si vedano le istruzioni nel file README.MSCHAP80 nei sorgenti di PPP per le istruzioni su come compilare e usare questa variante. <P> <P>Si dovrebbe notare che al momento il codice supporta solo i client PPP Linux che si connettono ad un server MS Windows NT. <B>NON</B> supporta la configurazione di un server PPP Linux che usi MSCHAP80 come autentificazione dei client. <P> <H2><A NAME="ss13.2">13.2 Il file secrets di PAP/CHAP</A> </H2> <P>Se si usa l'autentificazione pap o chap, allora si deve creare anche il file secrets. Questi sono: <HR> <PRE> /etc/ppp/pap-secrets /etc/ppp/chap-secrets </PRE> <HR> <P> <P>Il proprietario dev'essere l'utente root, il gruppo root e per ragioni di sicurezza i permessi devono essere impostati a 740. <P> <P>La prima cosa da notare su PAP e CHAP è che sono stati progettati per autenticare <B>computer</B> non <B>utenti</B>. <P> <P>``Huh? Qual è la differenza?'' Vi chiederete. <P> <P>Beh, una volta che la propria macchina ha fatto la sua connessione PPP al server, <B>QUALSIASI</B> utente nel proprio sistema può usare quella connessione: non solamente voi. Questo spiega perché è possibile creare una connessione WAN (wide area network) che unisca assieme due LAN (local area networks) usando PPP. <P> <P>PAP può (e CHAP <B>LO FA</B>) richiedere una autentificazione <B>bidirezionale</B>, ovvero ognuno dei due sistemi richiede all'altro un nome valido e un secret. Comunque, questo <B>NON</B> è il modo nel quale funzionano le connessioni autenticate con PAP per la maggioranza dei server PPP. <P> <P>Il vostro ISP probabilmente vi avrà assegnato un nome utente e una password per permettervi la connessione al loro sistema e quindi ad Internet. Il provider non è affatto interessato al nome del vostro computer, quindi probabilmente si dovrà usare il proprio nome utente nel proprio ISP come nome per il proprio computer. <P> <P>Ciò è fatto usando usando l'opzione <CODE>name nome_utente</CODE> di pppd. Quindi, se si usa il nome utente assegnato dal proprio ISP, si aggiunga la riga <HR> <PRE> name nome_utente_nel_proprio_ISP </PRE> <HR> <P>al proprio file <CODE>/etc/ppp/options</CODE>. <P> <P>Tecnicamente, si dovrebbe in realtà usare <B>user nome_utente_nel_proprio_ISP</B> per PAP, ma pppd è suffientemente intelligente da interpretare <CODE>name</CODE> come <CODE>user</CODE> se è richiesto l'uso di PAP. Il vantaggio di usare l'opzione <CODE>name</CODE> è che è valida anche per CHAP. <P> <P>Poiché PAP è per l'autentificazione di <B>computer</B>, tecnicamente si dovrebbe specificare anche un nome remoto per il computer. Comunque, poiché molti hanno solo un ISP, si può usare una wildcard (*) per il nome del computer remoto nel file secrets. <P> <P>Non è male notare anche che molti ISP usano banchi di modem multipli connessi a differenti server terminali, ognuno con un nome diverso, ma ai quali si ACCEDE (a rotazione) da un unico numero. Può essere quindi un po' difficile in alcuni casi sapere qual'è il nome del computer remoto in quanto dipende a quale server terminale ci si connette! <P> <H2><A NAME="ss13.3">13.3 Il file secrets di PAP</A> </H2> <P>Il file <CODE>/etc/ppp/pap-secrets</CODE> è qualcosa di simile a <HR> <PRE> # Secrets per l'autentificazione usando PAP # client server secret indirizzi_IP_locali_accettabili </PRE> <HR> <P> <P>I quattro campi sono delimitati da spazi bianchi e l'ultimo può essere vuoto (il che è probabilmente quello che si vuole per l'allocazione di indirizzi IP dinamica e probabilmente anche per quella statica da parte del proprio ISP). <P> <P>Supponiamo che il proprio ISP assegni il nome utente <CODE>fred</CODE> e la password <CODE>flintstone</CODE>, si dovrà aggiungere l'opzione <CODE>name fred</CODE> in <CODE>/etc/ppp/options[.ttySx]</CODE> e modificare il file <CODE>/etc/ppp/pap-secrets</CODE> come segue <P> <HR> <PRE> # Secrets per l'autentificazione usando PAP # client server secret indirizzi_IP_locali_accettabili fred * flintstone </PRE> <HR> <P> <P>Questo file dice per il nome di macchina locale <CODE>fred</CODE> (che si è detto di usare a pppd anche se non è il nome locale della propria macchina) e per <B>QUALSIASI</B> server, bisogna usare la password (secret) <CODE>flintstone</CODE>. <P> <P>Si noti che non c'è bisogno di specificare un indirizzo IP locale, a meno che non si voglia FORZARE un indirizzo IP statico particolare. Anche se si prova, è abbastanza difficile che funzioni in quanto la maggior parte dei server PPP (per ragioni di sicurezza) non permettono al sistema remoto di impostare il numero IP che gli stanno per dare. <P> <H2><A NAME="ss13.4">13.4 Il file secrets di CHAP</A> </H2> <P>Ciò richiede di avere metodi di autentificazione mutua, ovvero si deve permettere alla propria di macchina di autentificare il server remoto <B>E</B> al server remoto di autentificare la propria macchina. <P> <P>Quindi, se la propria macchina è <CODE>fred</CODE> ed il sistema remoto è <CODE>barney</CODE>, la propria macchina dovrebbe usare <CODE>name fred remotename barney</CODE> e la macchina remota dovrebbe usare <CODE>name barney remotename fred</CODE> nei rispettivi file <CODE>/etc/ppp/options.ttySx</CODE>. <P> <P>Il file <CODE>/etc/chap-secrets</CODE> per fred dovrebbe assomigliare a <HR> <PRE> # Secrets per l'autentificazione usando CHAP # client server secret indirizzo IP locale accettabile fred barney flintstone barney fred wilma </PRE> <HR> <P> <P>e per barney <P> <HR> <PRE> # Secrets per l'autentificazione usando CHAP # client server secret indirizzo IP locale accettabile barney fred flintstone fred barney wilma </PRE> <HR> <P> <P>Si noti in particolare che entrambe le macchine devono avere voci per l'autentificazione bidirezionale. Ciò permette alla macchina locale di autentificarsi presso il server <B>E</B> a quella remota di autentificarsi in quella locale. <P> <H2><A NAME="ss13.5">13.5 Gestione di connessioni multiple autentificate con PAP</A> </H2> <P>Alcuni possono connettersi a più di un server che usa PAP. Finché il proprio nome utente è diverso su ogni macchina alla quale ci si vuole connettere, questo non è un problema. <P> <P>Comunque, molti utenti hanno lo stesso nome utente su due (o più o anche su tutti) sistemi sui quali si connettono. Ciò causa un problema nella corretta selezione della riga appropriata da <CODE>/etc/ppp/pap-secrets</CODE>. <P> <P>Come ci si potrebbe aspettare, PPP fornisce un meccanismo per risolverlo. PPP permette di impostare un 'nome assunto' per la terminazione remota della connessione (il server) usando l'opzione <B>remotename</B> di pppd. <P> <P>Si supponga di connettersi a due server PPP usando il nome utente fred. Allora si imposterà il proprio <CODE>/etc/ppp/pap-secrets</CODE> a qualcosa così <P> <HR> <PRE> fred pppserver1 barney fred pppserver2 wilma </PRE> <HR> <P> <P>Ora, per impostare la connessione a pppserver1 si dovrebbe usare <CODE>name fred remotename pppserver1</CODE> nel proprio ppp-options mentre per pppserver2 <CODE>name fred remotename pppserver2</CODE>. <P> <P>Poiché è possibile selezionare il file delle opzioni del ppp da usare con pppd usando l'opzione <CODE>file nomefile</CODE>, si può creare uno script per connettersi ad ognuno dei propri server PPP, prendendo correttamente il file delle opzioni da usare e quindi selezionando l'opzione <CODE>remotename</CODE> giusta. <P> <HR> <A HREF="PPP-HOWTO-14.html">Avanti</A> <A HREF="PPP-HOWTO-12.html">Indietro</A> <A HREF="PPP-HOWTO.html#toc13">Indice</A> </BODY> </HTML>
