为什么 DUN 默认使用 MSCHAP 并且没有 LM/NTLM/Kerberos 选项?
我谈论的是任何版本的 Windows,无论是新的还是旧的。
从 Windows 原生支持来看,NTLM 或 kerberos 是最好的。
答案1
MS-CHAP 是一种与 LM/NTLM/Kerberos 完全不同的协议,旨在保护完全不同的环境中的一组完全不同的事物。MS-CHAP 是一种 WAN 协议,而 NTLM/Kerberos 是 LAN 协议。MS-CHAP 不提供授权功能,而 Kerberos 提供非常复杂的能力我还应该指出,MS-CHAP 中的 MS 表示 Microsoft,因此 MS-CHAP 绝对是“本机支持的”。
MS-CHAP 和人民行动党是专为与隧道线路协议配合使用的身份验证机制,例如滑,点对点隧道协议,点对点连接等。线路协议主要涉及通过 [模拟] 载波(如电话线)在两个端点之间多路复用虚拟电路。它们是非常低级的协议,必须以最小的带宽和计算开销运行。MS-CHAP 应用于线路协议,作为一种机制半径身份验证。线路协议通常被视为 WAN 协议,并且有望穿越端点之间不友好的网络。
线路身份验证协议(如 MS-CHAP 和 PAP)旨在对与其进行身份验证的网络最多具有临时关系的终端进行身份验证。这些系统可以连接到许多不同的网络,并且除了配置连接参数之外,不需要进行任何设置。
LM/NTLM/凯尔伯罗斯是服务级别的身份验证和授权协议,与以下服务协议配对:网络基本输入输出系统/中小企业/LDAP这些复杂的协议是为计算机或多或少永久连接到其所关联的网络的情况而设计的,并且需要大量的基础设施,因此机器的设置相当具有侵入性(例如加入 MS 域、配置胜利服务器 [用于 LM/NTLM] 等)。Kerberos 尤其需要带宽来处理频繁的重新授权流量,尽管计算量仍然很小,但它比线路身份验证协议要重得多。所有这些服务协议都是 LAN 协议,通常不会暴露给 WAN,因为 WAN 可能会对安全性、性能和可靠性产生影响。
也许你应该问的问题是,为什么 PPP/PPPOE/PPTP 没有被以下协议取代:IPSec或者L2TP,这是 VPN(首选的现代远程访问方法)中常用的现代 WAN-Safe 隧道加密协议。以下是 Cisco VPN 客户端的常见身份验证后端列表:http://www.cisco.com/c/en/us/tech/security-vpn/authentication-protocols/index.html
MS-CHAP 仍然存在的原因当然是与旧系统的兼容性。我认为,对大型企业的远程访问系统进行现代化改造是一项昂贵的工作。