我有一个在debian(lenny)机器上设置的VPN服务器。 我得到一个错误,778:“这是不可能的validation服务器的身份”,每次我尝试连接。 我检查了这个网站的configuration,并设置了一个副本机器来设置它并在那里进行testing。 在这两个debian机器上,我得到一个778。
奇怪的是,使用CHAP密码文件时,我没有得到这个错误; 只有在使用winbind的时候(以便通过活动目录进行validation)。 但是我们需要ADauthentication来确保我们环境中的安全。 除了更新我的证书之外,我没有发现关于此主题的文献:
# dpkg-reconfigure ca-certificates 我做了。
为了提出这个问题, 为什么我得到了778错误,如何在Debian机器上修复错误?
编辑:我发现这在http://www.schneier.com/paper-pptpv2.pdf 。 MS-CHAPv2如何工作:
- 客户端请求来自服务器的login质询。
- 服务器发回一个16字节的随机质询。
- 客户端生成一个随机的16字节数字,称为“对等authentication者挑战”。
- 客户端通过散列步骤(2)中收到的16字节质询,步骤(4)中生成的16字节对等体validation器质询以及客户端用户名,生成8字节质询。
- 客户端使用Windows NT哈希函数和步骤(4)中生成的8字节质询创build一个24字节答复。 此过程与MS-CHAPv1相同。
- 客户端向服务器发送步骤(3)和(5)的结果。
- 服务器使用存储在数据库中的客户密码的哈希来解密答复。 如果解密的块匹配挑战,则客户端被authentication。
- 服务器使用来自客户端的16字节Peer Authenticator Challenge以及客户端的散列密码来创build一个20字节的\ Authenticator Response。
- 客户端也计算authentication者响应。 如果计算的响应与接收到的响应相匹配,则authentication服务器。
那么我想,Debian机器不会发送16字节的Authenticator Challenge,或者它不能正常工作。 有什么理由可以解决这个问题吗?如果是的话,我该怎么办?
我find了! 有错误是一个SAMBA错误,详细在这里 。 squeeze和lenny机器都使用samba 3.4.8。 我通过http://backports.debian.org更新,它的工作!