AAA原理与配置AAA基本概念认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络
授权(Authorization):授权用户可以使用哪些服务
计费(Accounting):记录用户使用网络资源的情况
网络运营商(ISP)需要验证家庭宽带用户的账号密码之后才允许其上网,并记录用户的上网时长或上网流量等内容,这就是AAA技术最常见的应用场景
AAA常见架构1
NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费
每个用户都属于某一个域
根据用户登陆的时候属于的域,关联相应的AAA方案,从而获得相应的认证、授权和计费方案用户属于哪个域是由用户名中的域名分隔符@后的字符串决定
例如,如果用户名是user1@domain1,则用户属于domain1域
如果用户名后不带有@,则用户属于系统缺省域
AAA服务器(Raidus服务器,或者HWTacacs服务器)Authentication认证AAA支持三种认证方式:不认证完全信任用户,不对用户身份进行合法性检查
鉴于安全考虑,这种认证方式很少被采用
领导可以考虑
本地认证将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,此时NAS就是AAAServer
本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制
这种认证方式常用于对用户登录设备进行管理,如Telnet,FTP用户等
远端认证将用户信息(包括用户名、密码和各种属性)配置在认证服务器上
支持通过RADIUS协议或HWTACACS协议进行远端认证
NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信
Authorization授权AAA授权功能赋予用户访问的特定网络或设备的权限
AAA支持以下授权方式:不授权:不对用户进