Pour spécifier l'ordre dans lequel les protocoles CHAP ou PAP sont demandés sur l'interface, utilisez la commande de configuration d'interface ppp authentication, comme présenté dans la figure. Utilisez la forme no de la commande pour désactiver l'authentification.
Une fois que vous avez activé l'authentification CHAP ou PAP, ou les deux, le routeur local demande au périphérique distant de prouver son identité avant d'autoriser la circulation du trafic. Ceci est effectué comme suit :
- L'authentification PAP demande au périphérique distant d'envoyer un nom et un mot de passe à vérifier par rapport à une entrée de la base de données de noms d'utilisateur locale ou de la base de données TACACS/TACACS+ distante.
- L'authentification CHAP envoie une demande de confirmation au périphérique distant. Ce dernier doit chiffrer la valeur de demande de confirmation à l'aide d'un secret partagé puis renvoyer la valeur chiffrée et son nom au routeur local dans un message de réponse. Le routeur local utilise le nom du périphérique distant pour rechercher le secret approprié dans la base de données de noms d'utilisateur locale ou distante TACACS/TACACS+. Il utilise le secret trouvé pour chiffrer la demande de confirmation d'origine et vérifier que les valeurs chiffrées correspondent.
Remarque : le serveur AAA/TACACS (Authentication, authorization and accounting) est un serveur dédié qui sert à l'authentification des utilisateurs. Les clients TACACS envoient une demande à un serveur d'authentification TACACS. Le serveur peut authentifier l'utilisateur, autoriser les actions de l'utilisateur et suivre ce qu'il fait.
PAP ou CHAP, ou les deux peuvent être activés. Si les deux méthodes sont activées, la première méthode spécifiée est sollicitée lors de la négociation de liaison. Si l'homologue suggère d'utiliser la deuxième méthode ou refuse d'utiliser la première méthode, la deuxième méthode doit être utilisée. Certains périphériques distants prennent en charge le protocole CHAP uniquement, et d'autres le protocole PAP uniquement. L'ordre dans lequel les méthodes sont spécifiées dépend de votre appréciation quant à la capacité du périphérique distant à négocier correctement la méthode appropriée, ainsi que de vos préoccupations en termes de sécurité de la ligne de données. Les noms d'utilisateur et les mots de passe PAP sont envoyés sous forme de chaînes en texte clair, qui peuvent être interceptées et réutilisées. CHAP comble la plupart des lacunes connues en termes de sécurité.