Вспомогательные демоны в Linux

Фаза аутентификации

После того как обе стороны установили соединение, они могут аутентифицировать друг друга, прежде чем переходить к определению возможностей сетевого протокола. Фаза аутентификации не является обязательной, но обычно нет причин ее избегать. В большинстве организаций есть центральный сервер удаленного доступа, и только он занимается аутентификацией удаленных узлов.

Но аутентификация поддерживается в обоих направлениях независимо от того, какой узел инициировал РРР-сеанс. В РРР поддерживаются два метода аутентификации: PAP (Password Authentication Protocol — протокол парольной аутентификации) и CHAP (Challenge Handshake Authentication Protocol—" протокол аутентификации с предварительным согласованием вызова). В протоколе РАР узел посылает имя пользователя и пароль в незашифрованном виде, а удаленный узел либо принимает их, либо отвергает.

В протоколе CHAP применяется более сложная процедура трехфазового квитирования, при которой вместо имени пользователя и пароля передаются три сообщения: оклик (Challenge), ответ (Response) и подтверждение (Success или Failure). Компьютер, который хочет аутентифицировать удаленный узел, посылает ему сообщение Challenge, в котором содержится код оклика, сгенерированный на основании секретного кода. Секретный код известен обеим сторонам и, как видите, не передается по сети в чистом виде.

Удаленный узел объединяет код оклика с секретным кодом и применяет к ним специальную одностороннюю хеш-функцию для получения кода ответа, возвращаемого отправителю. Узнав ответ, отправитель сравнивает его с результатом работы собственной хеш-функции. Если результаты совпадают, возвращается сообщение Success, в противном случае — сообщение Failure. Сообщения Challenge продолжают периодически посылаться и во время следующей фазы. Это делается для предотвращения внезапного несанкционированного захвата канала.