AAA 配置与管理 一、基础 1、AAA 是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA 是基于用户进行认证、授权、计费的,而 NAC 方案是基于接入设备接口进行认证的
在实际应用中,可以使用 AAA 的一种或两种服务
2、AAA 基本架构: C/S 结构,AAA 客户端(也叫 NAS-网络接入服务器)是使能了 aaa 功能的网络设备(可以是一台或多台、不一定是接入设备) 3、AAA 基于域的用户管理: 通过域来进行 AAA 用户管理,每个域下可以应用不同的认证、授权、计费以及 radius 或 hwtacacs 服务器模板,相当于对用户进行分类管理 缺省情况下,设备存在配置名为 default(全局缺省普通域)和 default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default 为接入用户的缺省域,default_admin 为管理员账号域(如 http、ssh、telnet、terminal、ftp 用户)的缺省域
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如 ***************就表示属于 huawei 域,如果用户名不带@,就属于系统缺省 default 域
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较 AAA 服务器的授权信息优先级低,通常是两者配置的授权信息一致
4、radius 协议 Radius 通过认证授权来提供接入服务、通过计费来收集、记录用