[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [translators] [docinfo] [indice analitico] [volume] [parte]
Nei capitoli precedenti è stato introdotto l'uso di pppd in generale e in particolare per le connessioni senza autenticazione. Di solito, il primo contatto con il protocollo PPP si ha quando si vuole accedere a Internet attraverso un ISP, ovvero un fornitore di accesso a Internet, disponendo soltanto di una linea telefonica commutata.
In questi casi si tende a parlare di cliente PPP, anche se ciò non è corretto formalmente, dato che si interferisce con la terminologia utilizzata per il sistema di autenticazione, perché si vede il nodo dell'ISP come quello che offre un servizio, che quindi lo si considera un servente.
Un servizio PPP di un fornitore di accesso a Internet può essere organizzato in tanti modi differenti e la cosa che deve essere conosciuta quando ci si vuole collegare è il modo con cui viene consentita l'autenticazione. In pratica, il protocollo PPP è standard, ma per usarlo occorre accordarsi sul modo in cui il nodo che accede al servizio deve (o può) identificarsi.
Tutte le informazioni necessarie dovrebbe darle il fornitore stesso, ma nella maggior parte dei casi, le persone con cui si hanno contatti non sono a conoscenza di tutti i dettagli e spesso ritengono che la loro procedura sia semplicemente «standard».
Fondamentalmente si può distinguere tra un'autenticazione tradizionale, dove si interviene come se si fosse davanti a un terminale a digitare il nominativo-utente e la parola d'ordine, oppure attraverso il PPP stesso, con i protocolli PAP o CHAP.
L'autenticazione di tipo tradizionale prevede che il protocollo PPP sia attivato dopo il riconoscimento dell'utente che richiede l'accesso. In pratica, si tratta di una connessione remota attraverso un terminale (o meglio, attraverso un programma di emulazione come Minicom o altro); si ottiene la classica richiesta login: e password:, alla quale si risponde e al termine si ottiene l'attivazione del PPP dalla parte remota.
L'attivazione del protocollo PPP potrebbe avvenire subito dopo il riconoscimento, oppure potrebbe essere necessario inviare un ritorno a carrello aggiuntivo, o avviare un comando apposito (indicato dal fornitore di accesso).
In questa situazione, quando ci si accorge che il nodo remoto ha attivato il PPP (si vedono apparire una serie di caratteri senza senso sullo schermo del terminale), si deve chiudere il programma con cui è stata fatta la connessione, senza reinizializzare il modem, quindi si deve attivare la gestione locale del PPP, in modo da utilizzare quella linea particolare.
Volendo provare quanto descritto, si potrebbe utilizzare Minicom, come è già stato mostrato altre volte in altri capitoli. Per questo bisogna ricordare di fare riferimento al dispositivo seriale giusto, cioè quello a cui è connesso il modem, quindi si deve verificare che le impostazioni della linea seriale siano quelle desiderate. Supponendo che il modem disponga di una configurazione di fabbrica sufficientemente corretta, la si può richiamare con il comando AT&F.
AT&F
[Invio]
OK |
Dovendo utilizzare le linee italiane si impartisce il comando ATX3, in modo che venga ignorata l'assenza del tono di chiamata.
ATX3
[Invio]
OK |
Infine si può passare alla composizione (il numero di telefono indicato è di pura fantasia).
ATDT0987654321
[Invio]
In tal modo dovrebbe avvenire la composizione del numero e il modem remoto dovrebbe rispondere.
|
In presenza di un sistema di autenticazione tradizionale, potrebbe apparire un messaggio di benvenuto e quindi la richiesta di introdurre il proprio nominativo.
|
In tal caso si introduce il proprio nominativo-utente (in altri termini si esegue il login) e si conferma con [Invio].
login:
tizio
[Invio]
password: |
Subito dopo si ottiene la richiesta di inserimento della parola d'ordine, alla quale si risponde nel modo solito, come di fronte a un terminale Unix classico.
password:
tazza
[Invio]
Ammesso che il sistema remoto riconosca l'utente, cioè la coppia utente-parola d'ordine, questo potrebbe attivare immediatamente il PPP, oppure potrebbe attendere che l'utente faccia qualcosa di specifico prima di iniziare.
Nel caso peggiore si ottiene l'invito di una shell, attraverso la quale si può interagire e fare qualcosa con il proprio accesso remoto, per esempio attivare il programma pppd personalmente. In alternativa potrebbe essere necessario fare una scelta in base a un menù di opzioni che viene proposto, oppure potrebbe essere necessario premere un [Invio] in più. In pratica, bisogna provare. Quando si vedono apparire dei simboli strani, come quanto mostrato sotto, significa che il PPP è stato attivato dalla parte remota.
|
A questo punto, basterebbe concludere il funzionamento di Minicom, ma senza reinizializzare il modem (si usa il comando [Ctrl a][q]), avviando subito dopo pppd con le opzioni opportune, in modo da sfruttare il collegamento seriale corrispondente alla connessione instaurata.
Comunque, lo scopo di utilizzare Minicom è solo quello di scoprire la procedura corretta per instaurare una connessione PPP con il nodo remoto. Quando le operazioni da farsi diventano più chiare, si può predisporre un sistema automatico, attraverso chat.
È importante osservare che, quando la connessione PPP è preceduta da un'autenticazione tradizionale, il PPP non dovrebbe richiedere a sua volta altre forme di autenticazione, ma ciò non può essere escluso. In pratica, questo significa che potrebbe essere necessario predisporre i file /etc/ppp/pap-secrets
e /etc/ppp/chap-secrets
.
L'autenticazione attraverso il PPP salta qualunque fase introduttiva, lasciando al protocollo PAP o a quello CHAP di verificare l'identità di chi accede. Per accertarsene si può usare lo stesso sistema già visto nella sezione precedente: si utilizza Minicom per iniziare la connessione, anche attraverso la composizione del numero telefonico, quindi, senza fare nulla, oppure provando a premere qualche tasto, si ottengono solo i caratteri tipici di un protocollo PPP.
|
In tal caso, si è costretti a predisporre i file /etc/ppp/pap-secrets
e /etc/ppp/chap-secrets
. Eventualmente, per questo ultimo file potrebbe essere necessario conoscere il nome con cui si presenta il nodo remoto.
È stato mostrato il procedimento di accesso a un sistema che utilizza un metodo di identificazione degli utenti di tipo tradizionale. Attraverso Minicom o un altro programma simile si possono dare i comandi necessari al modem, comporre il numero ed eseguire l'accesso. Al termine, una volta avviato il PPP dalla parte remota, si può chiudere il funzionamento del programma senza reinizializzare il modem (con Minicom si usa la sequenza [Ctrl a][q]).
A questo punto bisognerebbe avviare la gestione locale del PPP, in modo rapido, altrimenti il nodo remoto chiude la connessione. Per farlo si potrebbe realizzare uno script che avvii pppd indicando tutte le opzioni necessarie (si vuole ignorare volutamente il file /etc/ppp/options
per non confondere il lettore con troppe cose).
|
L'esempio mostra l'utilizzo della seconda porta seriale, /dev/ttyS1
, specificando esplicitamente che si attende dalla parte remota l'indicazione del numero IP locale e di quello remoto.
Se il nodo remoto dovesse pretendere anche un'autenticazione PAP, o CHAP, allora si devono predisporre i file /etc/ppp/pap-secrets
e /etc/ppp/chap-secrets
.
Naturalmente, non è molto pratico questo sistema di connessione attraverso l'uso di Minicom. Per automatizzare il procedimento di identificazione si può inserire un programma specifico: chat.
Prima di proseguire, si tenga presente che per chiudere il funzionamento di pppd, è sufficiente inviargli un segnale di interruzione (SIGINT).
Il programma Chat (1) costituito in pratica dall'eseguibile chat, permette di definire una comunicazione tra l'elaboratore e il modem. Il suo scopo principale è quello di stabilire una connessione tra il demone pppd locale e quello di un elaboratore remoto, quando prima è necessario procedere a un'autenticazione di tipo tradizionale.
chat [opzioni] [script] |
Segue la descrizione di alcune opzioni di questo programma.
Quando il programma termina, il codice di uscita può dare delle informazioni importanti:
|
Lo script di colloquio, ovvero lo script di chat, definisce la comunicazione. Lo script consiste di una o più coppie di stringhe di attesa e invio separate da spazi, con una coppia opzionale di stringhe di subattesa-subinvio, separate da un trattino. Per esempio:
|
indica che chat si aspetta di ricevere la stringa ogin:. Se ciò non avviene entro il tempo massimo stabilito (timeout), invia un break al sistema remoto e quindi attende di nuovo la stringa ogin:. Se la stringa ogin: viene ricevuta già la prima volta, la sequenza di interruzione non viene generata. Se fallisce anche la seconda volta l'attesa, chat termina l'esecuzione. Quando chat ha ricevuto la stringa ogin: invia la stringa tizio e quindi si mette in attesa di ricevere la stringa ssword:. Quando la riceve invia la stringa tazza. Alla fine di ogni stringa trasmessa da chat viene aggiunto un ritorno a carrello (<CR>). Al contrario, per indicare che si attende un codice di ritorno a carrello, si utilizza la sequenza \r.
Il motivo per il quale si indica solo la parte finale delle stringhe di identificazione è che in questo modo si possono ignorare le parti di stringa superflue che potrebbero anche essere giunte alterate. Un esempio molto simile al precedente potrebbe essere:
|
In questo caso, se non si riceve la stringa ogin: al primo tentativo, chat invia un semplice ritorno a carrello e quindi attende ancora una volta.
Il programma chat è in grado di riconoscere una serie di stringhe speciali che vengono descritte di seguito.
|
All'interno di uno script di colloquio, si possono inserire dei simboli speciali, rappresentati prevalentemente attraverso delle sequenze di escape del tipo \x. Segue l'elenco di quelle più importanti per chat.
|
Per automatizzare la creazione di un collegamento PPP attraverso la linea telefonica, quando il nodo remoto utilizza un sistema di autenticazione tradizionale, si può combinare l'uso di pppd e di chat. Per la precisione, si utilizza pppd con l'opzione connect, attraverso la quale si avvia chat allo scopo di inizializzare il modem, comporre il numero ed eseguire il procedimento di autenticazione.
La prima cosa da fare è quella di creare uno script per chat, adatto alle esigenze del proprio modem, ma soprattutto, in grado di eseguire l'accesso presso la macchina remota. Si osservi l'esempio seguente, che fa riferimento al file /etc/ppp/chatscript
.(2)
|
Se si osserva l'esempio, si può notare che se la stringa ogin: non viene ricevuta entro 30 s, viene inviato un ritorno a carrello e quindi la si attende nuovamente. Inoltre, alla fine, anche se non è detto che sia strettamente necessario, viene inviato un ritorno a carrello senza attendere nulla.
In questa situazione, si potrebbe predisporre un altro script (questa volta uno script di shell), per avviare pppd con tutte le opzioni necessarie, ma soprattutto con l'uso di connect per incorporare chat.
|
Come in altri esempi, viene utilizzata la seconda porta seriale e si lascia che sia la controparte a definire gli indirizzi IP di entrambi i nodi.
Ricapitolando, in questo modo: pppd apre la linea seriale; avvia chat che si occupa di inizializzare il modem, di comporre il numero telefonico e di eseguire l'accesso, fino a fare partire il PPP dall'altra parte; quindi pppd riprende il controllo ed è pronto per comunicare con l'altro lato della comunicazione.
Volendo, si può incorporare tutto lo script di colloquio nello script di shell che serve ad avviare pppd. Così facendo, diventa tutto un po' confuso da leggere, ma può essere un modo per tenere le informazioni sul proprio accesso remoto lontane da occhi indiscreti.
Quello che segue è uno script completo che prima di avviare pppd verifica che non ci sia già un'interfaccia di rete denominata ppp0.
|
Per semplificare la chiusura del PPP, si può preparare anche lo script seguente:
|
Prima di poter eseguire uno script è importante ricordare di attribuirgli i permessi di esecuzione necessari.
chmod +x nome_del_file |
Come già accennato nel capitolo introduttivo all'uso di pppd, se si vuole permettere anche agli utenti comuni di effettuare la connessione, occorre fare in modo che pppd sia SUID-root. In pratica, si verifica e se necessario si modificano i permessi di pppd.
#
ls -l /usr/sbin/pppd
[Invio]
-rwxr-xr-x 1 root root 69084 Mar 25 1997 /usr/bin/pppd |
Dal momento che manca la modalità SUID, occorre attribuirgliela.
#
chmod u+s /usr/sbin/pppd
[Invio]
Si verifica nuovamente per sicurezza.
#
ls -l /usr/sbin/pppd
[Invio]
-rwsr-xr-x 1 root root 69084 Mar 25 1997 /usr/bin/pppd |
La lettera s minuscola segnala l'attivazione della modalità SUID e del permesso di esecuzione per l'utente proprietario.
Se si usa esclusivamente il protocollo PPP per ottenere l'autenticazione di chi accede, la configurazione del cliente diventa più semplice. La differenza rispetto a quanto mostrato nel caso di autenticazione tradizionale, sta nel fatto che non occorre più accedere in quel modo; tuttavia resta il problema di dover inizializzare il modem e di comporre il numero telefonico.
In pratica, il procedimento è simile a quanto è già stato mostrato, nel senso che pppd viene usato ancora assieme a chat, solo che lo script di colloquio si limita a comandare il modem.
|
Quello che si vede potrebbe essere il nuovo script di colloquio di chat. Per il resto, l'uso di pppd non cambia, a parte il fatto di dover intervenire sui file /etc/ppp/pap-secrets
e /etc/ppp/chat-secrets
. Quello che segue è l'esempio di /etc/ppp/pap-secrets
; nel caso di /etc/ppp/chat-secrets
potrebbe essere necessario indicare espressamente il nome del servente, ovvero del nodo remoto.
|
A questo punto, specialmente nel caso che il nodo remoto richieda l'autenticazione PAP, è necessario aggiungere al comando pppd l'opzione user, in modo da selezionare la voce corretta nel file /etc/ppp/pap-secrets
.
|
Dal momento che la connessione a Internet è una delle prime cose che si fa quando ci si avvicina a qualunque sistema operativo che lo consenta, è il caso di ricordare un paio di particolari che non sono correlati direttamente al protocollo PPP.
Se il proprio elaboratore è collegato a una rete locale, si devono utilizzare indirizzi IPv4 che non vadano in conflitto con quelli della rete esterna, cioè Internet.
Per questo, di solito si usano gli indirizzi della classe C riservati appositamente alle reti locali i cui elaboratori non devono essere accessibili da parte della rete Internet: da 192.168.0.0 a 192.168.255.255.
Dovendo accedere alla rete esterna Internet, un problema importante è costituito dalla risoluzione dei nomi di dominio. Se si utilizza il proprio elaboratore per accedere a Internet, è molto probabile che non si disponga di un servizio di risoluzione dei nomi locale (servente DNS), al massimo si utilizza il file /etc/hosts
con l'elenco degli elaboratori locali. Per non perdere la possibilità di comunicare con la propria rete locale, pur potendo accedere a Internet, occorre configurare il file /etc/host.conf
(186.1.1) in modo da utilizzare prima il file /etc/hosts
e quindi i serventi DNS.
|
Successivamente occorre preparare il file /etc/resolv.conf
(186.2.3) in modo da utilizzare i serventi DNS indicati dal proprio ISP. Segue un esempio con indirizzi immaginari:
|
Il protocollo PPP può fornire a un cliente l'indicazione degli indirizzi IP dei serventi DNS da utilizzare. Questo problema è descritto nella sezione 193.5.2, dove si mostra l'uso dell'opzione usepeerdns.
Se invece si desidera attivare localmente un servizio di risoluzione dei nomi si può vedere quanto trattato nei capitoli 188 e 189.
Quando si utilizza un ISP per accedere a Internet, di solito si ottiene un indirizzo di posta elettronica riferito a un elaboratore dell'ISP; per acquisire la posta da quell'elaboratore si può utilizzare Popclient o Fetchmail (capitolo 226) trasferendola così nel proprio sistema di posta locale.
Per l'invio della posta elettronica, se si è alle prime armi, è meglio utilizzare un programma MUA in grado di accedere a un servente SMTP differente da quello locale, ovvero in grado di sfruttare quello offerto dal fornitore di accesso a Internet. Ciò dà il vantaggio di lasciare a quel servente il compito di inoltrare i messaggi e di ritentare l'invio nel caso le destinazioni non siano raggiungibili immediatamente.
Se invece si pretende di gestire la posta attraverso il servente locale, magari perché si vuole servire la propria rete locale, allora le cose si complicano e occorre conoscere bene la configurazione del proprio servente SMTP.
Robert Hart, PPP HOWTO
<http://www.linux.org/docs/ldp/howto/HOWTO-INDEX/howtos.html>
Egil Kvaleberg, ISP-Hookup HOWTO
<http://www.linux.org/docs/ldp/howto/HOWTO-INDEX/howtos.html>
Appunti di informatica libera 2006.07.01 --- Copyright © 2000-2006 Daniele Giacomini -- <daniele (ad) swlibero·org>
2) La scelta della collocazione e del nome di questo script è personale. In questo caso è stato messo nella directory /etc/ppp/
, anche se ciò potrebbe essere discutibile. Dal momento che contiene informazioni riservate, precisamente ciò che è necessario per accedere presso il servente remoto a cui ci si connette, può darsi che sia meglio «nasconderlo» in qualche modo.
Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome ppp_per_l_x0027_accesso_a_internet_attraverso_un_isp.htm
[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [translators] [docinfo] [indice analitico]