A A A 网络安全系统 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 AAA----- 身份验证 (Authentication) 、 授权 (Authorization) 和 统计 (Accounting)Cisco 开发的一个提供网络安全的系统。 首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由 AAA 服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。 接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户计费,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 认证方案与认证模式 AAA 支持本地认证、不认证、RADIUS 认证和 TACACS 认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,au thentication-mode radiu s local 表示先使用RADIUS 认证,RADIUS 认证没有响应再使用本地认证。 当 组 合 认证模 式 使用不 认证时 ,不 认证( none ) 必 须 放在 最 后 。例 如 :au thentication-mode radiu s local none。 当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA 支持本地授权、直接授权、if-au thenticated 授权和 TACACS 授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode tacacs local 表示先使用TACACS授权,TACACS 授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode tacacs local none 当新建一个授权方案时,缺省使用本地授权。 RADIUS 的认证和...