Замечено:
Что при проверке chap - регистр букв логина - НЕВАЖНО.
А при MSCAHPV2 - ВАЖНО.
Это фича или ... ?
MSCHAPV2 и регистр букв в "логине"
Вот ссылка на RFC по MSCHAPv2 - ftp://ftp.rfc-editor.org/in-notes/rfc2759.txt
как видно логин пользователя используется для вычисления challenge hash. Регистр соответсвенно важен.
как видно логин пользователя используется для вычисления challenge hash. Регистр соответсвенно важен.
Так я и думал...Насколько я понял windows при установках по умолчанию стремится (если это возможно) авторизоваться по MSCHAPV2. (Поправьте если не так)
Вопрос :
Можно ли настроить pppd так чтоб по умолчанию - получалось только CHAP. Но если на клиенте (windows) в прямую указан MSCHAPV2 то предлогать его. ?
Дело в том, что в противном случае мне придется обьяснить доброй половине абонентов, что теперь Регистр - ВАЖЕН.
Спасибо.
Вообще насколько я понимаю, что если в Windows настроен только mschapv2, то он просто chap не будет использовать, что бы ему не предлагали ...
но если отмечены оба метода (CHAP/MSCHAPv2) и не выбрано "обязательное шифрование данных" (а оно обычно по дефолту в Windows выбрано), то по идее указав в конфиге ppp опцию refuse mschapv2 (точно не помню - зависит от реализации , посмотрите маны) и require chap можно заставить клиент и сервер "договориться" использовать chap.
но если отмечены оба метода (CHAP/MSCHAPv2) и не выбрано "обязательное шифрование данных" (а оно обычно по дефолту в Windows выбрано), то по идее указав в конфиге ppp опцию refuse mschapv2 (точно не помню - зависит от реализации , посмотрите маны) и require chap можно заставить клиент и сервер "договориться" использовать chap.
аналогичная проблема только наоборот!!!
нужно что бы регистр был чувствителен, все отключили оставили только mschap2 ничего не помогает, можно подключаться хоть с большими хоть с маленькими.
вот конфиг мпд
pptp_server:
set ippool add pool1 xxx xxx
set ippool add pool1 1xxx xxx
create bundle template B
set iface disable proxy-arp
set iface enable tcpmssfix
set iface disable on-demand
set iface disable netflow-in
set iface enable netflow-out
set iface idle 1800
set ipcp yes vjcomp
set ipcp ranges xxx/32 ippool pool1
set ipcp dns 10.10.1.1 93.91.224.2 xxx
set bundle disable compression
set ccp yes mppc
set mppc yes e128
create link template L pptp
set link action bundle B
set link disable multilink
set link no acfcomp protocomp
set link no pap chap eap
set link no chap
set link no chap-msv1
set link no chap-md5
set link enable chap-msv2
set link keep-alive 10 60
set link mtu 1460
set link enable incoming
load radius
set pptp disable windowing
set pptp disable always-ack
set auth max-logins 1
set link enable peer-as-calling
create link template H l2tp
set link action bundle B
set link disable multilink
set link no acfcomp protocomp
set link no pap chap eap
set link no chap-md5
set link no chap
set link no chap-msv1
set link enable chap-msv2
set link keep-alive 10 60
set link mtu 1460
set link enable incoming
load radius
set auth max-logins 1
set l2tp self 10.10.1.100
set link enable peer-as-calling
radius:
set radius config /usr/local/etc/mpd5/radius.conf
set radius server xxx 1812 1813
set radius retries 5
set radius timeout 10
set radius me xxx
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
set link enable peer-as-calling
что не правильно не пойму, может где то в радиусе крутить?
нужно что бы регистр был чувствителен, все отключили оставили только mschap2 ничего не помогает, можно подключаться хоть с большими хоть с маленькими.
вот конфиг мпд
pptp_server:
set ippool add pool1 xxx xxx
set ippool add pool1 1xxx xxx
create bundle template B
set iface disable proxy-arp
set iface enable tcpmssfix
set iface disable on-demand
set iface disable netflow-in
set iface enable netflow-out
set iface idle 1800
set ipcp yes vjcomp
set ipcp ranges xxx/32 ippool pool1
set ipcp dns 10.10.1.1 93.91.224.2 xxx
set bundle disable compression
set ccp yes mppc
set mppc yes e128
create link template L pptp
set link action bundle B
set link disable multilink
set link no acfcomp protocomp
set link no pap chap eap
set link no chap
set link no chap-msv1
set link no chap-md5
set link enable chap-msv2
set link keep-alive 10 60
set link mtu 1460
set link enable incoming
load radius
set pptp disable windowing
set pptp disable always-ack
set auth max-logins 1
set link enable peer-as-calling
create link template H l2tp
set link action bundle B
set link disable multilink
set link no acfcomp protocomp
set link no pap chap eap
set link no chap-md5
set link no chap
set link no chap-msv1
set link enable chap-msv2
set link keep-alive 10 60
set link mtu 1460
set link enable incoming
load radius
set auth max-logins 1
set l2tp self 10.10.1.100
set link enable peer-as-calling
radius:
set radius config /usr/local/etc/mpd5/radius.conf
set radius server xxx 1812 1813
set radius retries 5
set radius timeout 10
set radius me xxx
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
set link enable peer-as-calling
что не правильно не пойму, может где то в радиусе крутить?