第19 章• 设置PPP 验证（任务） 405
myserver user2 serverpass *
要使用/etc/ppp/pap-secrets 的login 选项，必须键入每个可信赖呼叫者的UNIX 用户名。
只要第三个字段中出现一组双引号(““)，就会在服务器的口令数据库中查找该呼叫者的口
令。
myserver * serverpass * 项包含拨入服务器的PAP 用户名和口令。在图16–3 中，可信赖呼
叫者user2 需要从远程对等点进行验证。因此，myserver 的/etc/ppp/pap-secrets 文件包含
与user2 建立链路时要使用的PAP 凭证。
以下列出了相关的参考信息。
 第406 页中的“修改PPP 配置文件以进行PAP 验证（拨入服务器）”
 第407 页中的“为可信赖呼叫者配置PAP 验证（拨出计算机）”
修改PPP配置文件以进行PAP 验证（拨入服务器）
本节中的任务说明如何更新任何现有PPP 配置文件，以支持在拨入服务器上进行PAP 验
证。

如何将PAP 支持添加到PPP配置文件（拨入服务
器）
此过程以第394 页中的“如何定义串行线路上的通信（拨入服务器）”中介绍的PPP 配置
文件为例。
以超级用户身份登录到拨入服务器或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
将验证选项添加到/etc/ppp/options 文件中。
例如，将以粗体显示的选项添加到现有/etc/ppp/options 文件中，以实现PAP 验证：
lock
auth
login
nodefaultroute
proxyarp
另请参见
1
2
配置PAP 验证
406 系统管理指南：网络服务• 2006 年8 月
ms-dns 10.0.0.1
idle 120
auth 指定服务器必须在建立链路之前对呼叫者进行验证。
login 指定应使用标准UNIX 用户验证服务对远程呼叫者进行验证。
nodefaultroute 表明如果没有root 权限，则本地系统上的任何pppd 会话都无法建立缺
省路由。
proxyarp 在系统的地址解析协议(Address Resolution Protocol, ARP) 表中添加项，
用于指定对等点的IP 地址和系统的以太网地址。使用此选项，对等点
看起来位于其他系统的本地以太网中。
ms-dns 10.0.0.1 启用pppd 以便为客户机提供域名服务器(Domain Name Server, DNS) 地
址10.0.0.1。
idle 120 指定将在两分钟后断开空闲用户的连接。
在/etc/ppp/options.cua.a 文件中，为cua/a 用户添加以下地址。
:10.0.0.2
在/etc/ppp/options.cua.b 文件中，为cua/b 用户添加以下地址。
:10.0.0.3
在/etc/ppp/pap-secrets 文件中，添加以下项。
* * "" *
注– 如前所述，login 选项提供必需的用户验证。/etc/ppp/pap-secrets 文件中的此项是使
用login 选项启用PAP 的标准方法。
有关如何为拨入服务器的可信赖呼叫者配置PAP 验证凭证，请参阅第407 页中的“为可信
赖呼叫者配置PAP 验证（拨出计算机）”。
为可信赖呼叫者配置PAP 验证（拨出计算机）
本节包含在可信赖呼叫者的拨出计算机上设置PAP 验证的任务。作为系统管理员，在将
PAP 凭证分发给预期呼叫者之前，可在系统上设置PAP 验证。或者，如果远程呼叫者已经
有自己的计算机，则可以指导这些呼叫者完成本节中的任务。
为可信赖呼叫者配置PAP 涉及两个任务：
 配置呼叫者的PAP 安全凭证
 配置呼叫者的拨出计算机以支持PAP 验证
3
4
5
另请参见
配置PAP 验证
第19 章• 设置PPP 验证（任务） 407

如何为可信赖呼叫者配置PAP 验证凭证
此过程说明如何为两个可信赖呼叫者设置PAP 凭证，其中一个可信赖呼叫者需要来自远程
对等点的验证凭证。此过程中的步骤假定，作为系统管理员的您要在可信赖呼叫者的拨出
计算机上创建PAP 凭证。
成为拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
使用图16–3 中介绍的PAP 配置样例，并假定拨出计算机属于user1。
修改呼叫者的pap-secrets 数据库。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的/etc/ppp/pap-secrets 文件。
可以将以下选项添加到此/etc/ppp/pap-secrets 文件中。
user1 myserver pass1 *
请注意，user1 的口令pass1 以可读的ASCII 格式在链路中传递。myserver 是呼叫者user1
的对等点名称。
成为另一台拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
使用PAP 验证示例，并假定此拨出计算机属于呼叫者user2。
修改呼叫者的pap-secrets 数据库。
可以将以下选项添加到现有/etc/ppp/pap-secrets 文件的末尾。
user2 myserver pass2 *
myserver user2 serverpass *
在此示例中，/etc/ppp/pap-secrets 有两个项。第一个项包含user2 传递给拨入服务器
myserver 以进行验证的PAP 安全凭证。
作为链路协商的一部分，user2 需要拨入服务器的PAP 凭证。因此，/etc/ppp/pap-secrets
的第二行中还包含期望来自myserver 的PAP 凭证。
注– 由于大多数ISP 不提供验证凭证，因此要与ISP 进行通信，上述方案可能不切实际。
以下列出了相关的参考信息。
1
2
3
4
另请参见
配置PAP 验证
408 系统管理指南：网络服务• 2006 年8 月
 第405 页中的“如何创建PAP 凭证数据库（拨入服务器）”
 第408 页中的“如何为可信赖呼叫者配置PAP 验证凭证”
修改PPP配置文件以进行PAP 验证（拨出计算机）
以下任务说明如何更新现有PPP 配置文件，以支持在可信赖呼叫者的拨出计算机上进行
PAP 验证。
此过程使用以下参数在属于图16–3 中介绍的user2 的拨出计算机上配置PAP 验证。user2 要
求传入呼叫者对呼叫（包括来自拨入服务器myserver 的呼叫）进行验证。

如何将PAP 支持添加到PPP配置文件（拨出计算
机）
此过程以第387 页中的“如何定义串行线路上的通信”中介绍的PPP 配置文件为例。此过
程将配置属于user2 的拨出计算机，如图16–3 中所示。
以超级用户身份登录到拨出计算机。
修改/etc/ppp/options 文件。
以下/etc/ppp/options 文件包含PAP 支持选项，如粗体所示。
# cat /etc/ppp/options
lock
name user2
auth
require-pap
name user2 将user2 设置为本地计算机上用户的PAP 名称。如果使用login 选项，则
PAP 名称必须与口令数据库中该用户的UNIX 用户名相同。
auth 说明拨出计算机在建立链路之前必须对呼叫者进行验证。
注– 虽然大多数拨出计算机不要求从其对等点进行验证，但此拨出计算机要
求这样做。可使用任意一种方法。
require-pap 要求来自对等点的PAP 凭证。
1
2
配置PAP 验证
第19 章• 设置PPP 验证（任务） 409
为远程计算机myserver 创建/etc/ppp/peers/peer-name 文件。
以下示例说明如何将PAP 支持添加到第389 页中的“如何定义与单个对等点的连接”中创
建的现有/etc/ppp/peers/myserver 文件。
# cat /etc/ppp/peers/myserver
/dev/cua/a
57600
noipdefault
defaultroute
idle 120
user user2
remotename myserver
connect "chat -U ’mypassword’ -f /etc/ppp/mychat"
以粗体显示的新选项用于添加对等点myserver 的PAP 要求。
user user2 将user2 定义为本地计算机的用户名
remotename myserver 将myserver 定义为要求来自本地计算机的验证凭证的对等点
以下列出了相关的参考信息。
 要通过呼叫拨入服务器来测试PAP 验证设置，请参见第395 页中的“如何呼叫拨入服务
器”。
 有关PAP 验证的更多信息，请参见第465 页中的“口令验证协议(Password
Authentication Protocol, PAP)”。
配置CHAP验证
本节中的任务说明如何使用质询握手身份验证协议(Challenge-Handshake Authentication
Protocol, CHAP) 在PPP 链路上实现验证。这些任务使用图16–4 中的示例来说明进行专用网
络拨号的CHAP工作方案。请根据这些说明在您的站点上实现CHAP验证。
执行后续过程之前，必须完成下列操作：
 设置并测试拨入服务器与属于可信赖呼叫者的拨出计算机之间的拨号链路
 获取本地计算机（拨入服务器或拨出计算机）的超级用户权限
3
另请参见
配置CHAP 验证
410 系统管理指南：网络服务• 2006 年8 月
设置CHAP验证（任务列表）
表19–4CHAP验证的任务列表（拨入服务器）
任务说明参考
1. 将CHAP机密指定给所有可信
赖呼叫者
创建呼叫者的CHAP机密，或指示呼叫者
创建自己的CHAP机密。
第411 页中的“如何创建CHAP凭证数据
库（拨入服务器）”
2. 创建chap-secrets 数据库将所有可信赖呼叫者的安全凭证添加到
/etc/ppp/chap-secrets 文件中。
第411 页中的“如何创建CHAP凭证数据
库（拨入服务器）”
3. 修改PPP 配置文件将特定于CHAP的选项添加到
/etc/ppp/options 和
/etc/ppp/peers/peer-name 文件中。
第413 页中的“如何将CHAP支持添加到
PPP 配置文件（拨入服务器）”
表19–5CHAP验证的任务列表（拨出计算机）
任务说明参考
1. 为可信赖呼叫者的计算机创建
CHAP数据库
在/etc/ppp/chap-secrets 中为可信赖呼叫
者创建安全凭证，如有必要，还为呼叫拨
出计算机的其他用户创建安全凭证。
第411 页中的“如何创建CHAP凭证数据
库（拨入服务器）”
2. 修改PPP 配置文件将特定于CHAP的选项添加到
/etc/ppp/options 文件中。
第415 页中的“如何将CHAP支持添加到
PPP 配置文件（拨出计算机）”
在拨入服务器上配置CHAP验证
设置CHAP验证的第一个任务是修改/etc/ppp/chap-secrets 文件。此文件包含用于对链路
上的呼叫者进行验证的CHAP安全凭证（包括CHAP机密）。
注– UNIX 或PAM验证机制对CHAP无效。例如，不能按第405 页中的“如何创建PAP 凭证
数据库（拨入服务器）”中所述的内容使用PPP login 选项。如果验证方案需要PAM或
UNIX 样式的验证，请改为选择PAP。
以下过程为专用网络中的拨入服务器实现CHAP验证。PPP 链路是与外界的唯一连接。网
络管理员（可能包括系统管理员）已对可访问网络的那些呼叫者授予权限。

如何创建CHAP凭证数据库（拨入服务器）
汇编包含所有可信赖呼叫者的用户名的列表。可信赖呼叫者包括所有已授予呼叫专用网络
权限的人员。
为每个用户指定CHAP 机密。
1
2
配置CHAP 验证
第19 章• 设置PPP 验证（任务） 411
注– 务必选择不易猜出的可靠CHAP机密。CHAP机密的内容无任何其他限制。
指定CHAP机密的方法取决于站点的安全策略。或者由您负责创建机密，或者呼叫者必须
创建自己的机密。如果您不负责指定CHAP机密，则务必获取由每个可信赖呼叫者创建
的、或为每个可信赖呼叫者创建的CHAP机密。
成为拨入服务器的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
修改/etc/ppp/chap-secrets 文件。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的/etc/ppp/chap-secrets 文件。
可以在现有/etc/ppp/chap-secrets 文件的末尾为服务器CallServe 添加以下选项。
account1 CallServe key123 *
account2 CallServe key456 *
key123 是可信赖呼叫者account1 的CHAP机密。
key456 是可信赖呼叫者account2 的CHAP机密。
以下列出了相关的参考信息。
 第411 页中的“如何创建CHAP凭证数据库（拨入服务器）”
 第413 页中的“如何将CHAP支持添加到PPP 配置文件（拨入服务器）”
 第413 页中的“为可信赖呼叫者配置CHAP验证（拨出计算机）”
修改PPP配置文件以进行CHAP验证（拨入服务
器）
本节中的任务说明如何更新现有PPP 配置文件，以支持在拨入服务器上进行CHAP验证。
3
4
另请参见
配置CHAP 验证
412 系统管理指南：网络服务• 2006 年8 月

如何将CHAP支持添加到PPP配置文件（拨入服务
器）
以超级用户身份登录到拨入服务器。
修改/etc/ppp/options 文件。
添加以粗体显示的CHAP支持选项。
# cat /etc/ppp/options
lock
nodefaultroute
name CallServe
auth
name CallServe 将CallServe 定义为本地计算机（在此实例中为拨入服务器）上用户的
CHAP名称
auth 使本地计算机在建立链路之前对呼叫者进行验证
创建其他PPP 配置文件以支持可信赖呼叫者。
请参见第393 页中的“如何配置拨入服务器的用户”和第394 页中的“如何定义串行线路
上的通信（拨入服务器）”。
要为可信赖呼叫者配置CHAP验证凭证，请参阅第411 页中的“如何创建CHAP凭证数据
库（拨入服务器）”。
为可信赖呼叫者配置CHAP验证（拨出计算机）
本节包含在可信赖呼叫者的拨出计算机上设置CHAP验证的任务。根据站点的安全策略，
可以由您或可信赖呼叫者负责设置CHAP验证。
在远程呼叫者配置CHAP的情况下，应确保该呼叫者的本地CHAP机密与拨入服务器的
/etc/ppp/chap-secrets 文件中该呼叫者的等效CHAP机密匹配。然后，指示这些呼叫者执
行本节中的任务以配置CHAP。
为可信赖呼叫者配置CHAP涉及两个任务：
 创建呼叫者的CHAP安全凭证
 配置呼叫者的拨出计算机以支持CHAP验证
1
2
3
另请参见
配置CHAP 验证
第19 章• 设置PPP 验证（任务） 413

如何为可信赖呼叫者配置CHAP验证凭证
此过程说明如何为两个可信赖呼叫者设置CHAP凭证。此过程中的步骤假定，作为系统管
理员的您要在可信赖呼叫者的拨出计算机上创建CHAP凭证。
成为拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
使用第378 页中的“使用CHAP验证的配置示例”中的CHAP配置样例，并假定拨出计算
机属于可信赖呼叫者account1。
修改呼叫者account1 的chap-secrets 数据库。
Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的/etc/ppp/chap-secrets 文件。
可以将以下选项添加到现有/etc/ppp/chap-secrets 文件中。
account1 CallServe key123 *
CallServe 是account1 要尝试访问的对等点的名称。key123 是将用于account1 与
CallServer 之间的链路的CHAP机密。
成为另一台拨出计算机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
假定此计算机属于呼叫者account2。
修改呼叫者account2 的/etc/ppp/chap-secrets 数据库。
account2 CallServe key456 *
现在，account2 将机密key456 作为在指向对等点CallServe 的链路上使用的CHAP凭证。
以下列出了相关的参考信息。
 第411 页中的“如何创建CHAP凭证数据库（拨入服务器）”
 第414 页中的“如何为可信赖呼叫者配置CHAP验证凭证”
将CHAP添加到配置文件（拨出计算机）
要了解有关CHAP验证的更多信息，请参阅第468 页中的“质询握手身份验证协议
(Challenge-Handshake Authentication Protocol, CHAP)”。下一任务将配置属于在第378 页中
的“使用CHAP验证的配置示例”中介绍的呼叫者account1 的拨出计算机。
1
2
3
4
另请参见
配置CHAP 验证
414 系统管理指南：网络服务• 2006 年8 月

如何将CHAP支持添加到PPP配置文件（拨出计算
机）
以超级用户身份登录到拨出计算机。
确保/etc/ppp/options 文件包含以下选项。
# cat /etc/ppp/options
lock
nodefaultroute
为远程计算机CallServe 创建/etc/ppp/peers/peer-name 文件。
# cat /etc/ppp/peers/CallServe
/dev/cua/a
57600
noipdefault
defaultroute
idle 120
user account1
connect "chat -U ’mypassword’ -f /etc/ppp/mychat"
选项user account1 将account1 设置为指定给CallServe 的CHAP 用户名。有关以上文件中
其他选项的说明，请参见第389 页中的“如何定义与单个对等点的连接”中类似的
/etc/ppp/peers/myserver 文件。
要通过呼叫拨入服务器来测试CHAP验证，请参阅第395 页中的“如何呼叫拨入服务器
”。
1
2
3
另请参见
配置CHAP 验证
第19 章• 设置PPP 验证（任务） 415
416
设置PPPoE 通道（任务）
本章介绍在PPPoE 通道的任何一端设置参与者（PPPoE 客户机和PPPoE 访问服务器）的任
务。包含以下特定主题：
 第417 页中的“设置PPPoE 通道的主要任务（任务列表）”
 第418 页中的“设置PPPoE 客户机”
 第421 页中的“设置PPPoE 访问服务器”
这些任务以第379 页中的“规划PPPoE 通道上的DSL支持”中介绍的方案为例。有关
PPPoE 概述，请参阅第365 页中的“通过PPPoE 支持DSL用户”。
设置PPPoE 通道的主要任务（任务列表）
下表列出了配置PPPoE 客户机和PPPoE 访问服务器的主要任务。要在您的站点实现
PPPoE，只需设置您所在的PPPoE 通道的一端（客户端或访问服务器端）。
表20–1 设置PPPoE 客户机的任务列表
任务说明参考
1. 配置PPPoE 接口定义要用于PPPoE 通道的以太网接
口。
第418 页中的“如何配置PPPoE 客户机接口”
2. 配置有关PPPoE 访问服务器
的信息
为PPPoE 通道的服务提供商端的访问
服务器定义参数。
第419 页中的“如何定义PPPoE 访问服务器对等
点”
3. 设置PPP 配置文件定义客户机的PPP 配置文件（如果尚
未定义）。
第387 页中的“如何定义串行线路上的通信”
4. 创建通道呼叫访问服务器。第419 页中的“如何定义PPPoE 访问服务器对等
点”
20 第2 0 章
417
表20–2 设置PPPoE 访问服务器的任务列表
任务说明参考
1. 设置PPPoE 访问服务器定义要用于PPPoE 通道的以太网接口
以及访问服务器提供的服务。
第421 页中的“如何设置PPPoE 访问服务器”
2. 设置PPP 配置文件定义客户机的PPP 配置文件（如果尚
未定义）。
第394 页中的“配置拨入服务器的通信”
3. （可选）限制接口的使用使用PPPoE 选项和PAP 验证，将特定
的以太网接口限制为仅某些客户机可
使用。
第422 页中的“如何将接口限制为仅特定客户机可
使用”
设置PPPoE 客户机
要通过DSL为客户机系统提供PPP，必须首先在与相应调制解调器或集线器相连的接口上
配置PPPoE。然后，需要更改PPP 配置文件，以便在PPPoE 的另外一端定义访问服务器。
设置PPPoE 客户机的先决条件
设置PPPoE 客户机之前，必须完成下列操作：
 在要使用PPPoE 通道的客户机上，安装Solaris 8 Update 6 发行版或后续发行版。
 联系服务提供商，了解有关其PPPoE 访问服务器的信息。
 指示电话公司或服务提供商组装客户机使用的设备。这些设备包括DSL调制解调器和分
路器等，最好由电话公司而非您来组装这些设备。

如何配置PPPoE 客户机接口
使用此过程可定义要用于PPPoE 通道的以太网接口。
成为PPPoE 客户机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
将连接到DSL 的以太网接口名称添加到/etc/ppp/pppoe.if 文件中。
例如，对于将hme0 用作连接到DSL调制解调器的网络接口的PPPoE 客户机，将以下项添加
到/etc/ppp/pppoe.if 中。
hme0
有关/etc/ppp/pppoe.if 的更多信息，请转至第474 页中的“/etc/ppp/pppoe.if 文件”。
1
2
设置PPPoE 客户机
418 系统管理指南：网络服务• 2006 年8 月
为使用PPPoE 配置接口。
# /etc/init.d/pppd start
（可选的）检验是否现在已对PPPoE 接口进行检测。
# /usr/sbin/sppptun query
hme0:pppoe
hme0:pppoed
此外，也可以使用/usr/sbin/sppptun 命令，手动检测PPPoE 接口。有关说明，请参阅第474
页中的“/usr/sbin/sppptun 命令”。

如何定义PPPoE 访问服务器对等点
您可以在/etc/ppp/peers/peer-name 文件中定义访问服务器。用于访问服务器的许多选项也
可用于定义拨号方案中的拨入服务器。有关/etc/ppp/peers.peer-name 的详细说明，请参阅
第453 页中的“/etc/ppp/peers/peer-name 文件”。
成为PPPoE 客户机的超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。有关如何使用
主管理员配置文件配置角色，请参见《System Administration Guide: Basic Administration》中
的第2 章，“WorkingWith the Solaris Management Console (Tasks)”。
在/etc/ppp/peers/peer-name 文件中，定义服务提供商的PPPoE 访问服务器。
例如，以下文件/etc/ppp/peers/dslserve 定义第380 页中的“PPPoE 通道配置示例”中介
绍的Far ISP 的访问服务器dslserve。
# cat /etc/ppp/peers/dslserve
sppptun
plugin pppoe.so
connect "/usr/lib/inet/pppoec hme0"
noccp
noauth
user Red
password redsecret
noipdefault
3
4
1
2
设置PPPoE 客户机 以上文章转自于 ： http://developers.sun.com.cn/