NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
LDAP-аутентификация и PPP<br />
Когда PPP-клиент пытается получить доступ через PPTP или L2TP и LDAP-аутентификация должна<br />
производиться с CHAP, MS-CHAPv1 или MS-CHAPv2 шифрованием, то такая ситуация требует<br />
тщательного рассмотрения. Далее рассматриваются два случая: (А) стандартная PPP-аутентификации<br />
и (Б) PPP-аутентификация с шифрованием.<br />
А. Стандартная LDAP-аутентификация<br />
Ниже представлена схема стандартной LDAP-аутентификации для Webauth, XAuth, или PPP с<br />
поддержкой PAP для повышения безопасности авторизации. Аутентификационный BIND-запрос<br />
имени пользователя и пароля отправляется LDAP-серверу, который выполняет аутентификацию и<br />
отправляет обратно BIND-ответ с результатом.<br />
Рисунок 8.1. Стандартная LDAP-аутентификация.<br />
Если принадлежность к группе определяется после того, как LDAP-серверу отправлен запрос на<br />
поиск принадлежности к группе и получен ответ с запрашиваемым значением, процесс<br />
аутентификации будет отличаться.<br />
Б. PPP-аутентификация с CHAP, MS-CHAPv1 или MS-CHAPv2 шифрованием<br />
Если для аутентификации используется PPP с CHAP, MS-CHAPv1 или MS-CHAPv2, то клиент<br />
отправляет системе NetDefendOS хэш пароля пользователя. Система не может просто переслать хэш<br />
LDAP-серверу, т.к. сервер его не «поймет». Система NetDefendOS может получить пароль в виде<br />
текста от LDAP-сервера, создать хэш и сравнить созданный хэш с хэшем от клиента. Если они<br />
совпадают, аутентификация происходит успешно. В этом случае решение об исходе аутентификации<br />
зависит не от LDAP-сервера, а от системы NetDefendOS.<br />
Для получения пароля от LDAP-сервера требуется следующее:<br />
• Атрибут «пароль» должен быть задан при определении сервера в NetDefendOS. Это<br />
идентификатор поля LDAP-сервера, из которого берется пароль при ответе.<br />
Этот идентификатор должен отличаться от атрибута «пароль» установленного по умолчанию<br />
356