AAA 配置与管理 一、基础 1、AAA 是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA 是基于用户进行认证、授权、计费的,而 NAC 方案是基于接入设备接口进行认证的。 在实际应用中,可以使用 AAA 的一种或两种服务。 2、AAA 基本架构: C/S 结构,AAA 客户端(也叫 NAS-网络接入服务器)是使能了 aaa 功能的网络设备(可以是一台或多台、不一定是接入设备) 3、AAA 基于域的用户管理: 通过域来进行 AAA 用户管理,每个域下可以应用不同的认证、授权、计费以及 radius 或 hwtacacs 服务器模板,相当于对用户进行分类管理 缺省情况下,设备存在配置名为 default(全局缺省普通域)和 default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default 为接入用户的缺省域,default_admin 为管理员账号域(如 http、ssh、telnet、terminal、ftp 用户)的缺省域。 用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如 ***************就表示属于 huawei 域,如果用户名不带@,就属于系统缺省 default 域。 自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较 AAA 服务器的授权信息优先级低,通常是两者配置的授权信息一致。 4、radius 协议 Radius 通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。 定义 UDP 1812、1813 作为认证(授权)、计费端口 Radius 服务器维护三个数据库: Users:存储用户信息(用户名、口令、使用的协议、IP 地址等) Clients:存储 radius 客户端信息(接入设备的共享密钥、IP 地址) Dictionary:存储 radius 协议中的属性和属性值含义 Radius 客户端与radius 服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。 5、hwtacacs 协议 Hwtacacs 是在 tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius 协议类似,主要用于点对点 PPP 和VPDN(virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与radius 相比,具有更加可靠的传输和加密特性,更加...
