三A认证基础知识介绍(1)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用 TCP如何提供单独确认请求收到了,在(近似)网络往返时间(RTT之内 ) 不管装载并且减慢后端验证机制(TCP应答)也许是。 TCP提供一失败立即指示,服务器由重置 (RST负责操做)。您能确定当服务器 失效并且回到服务时是否使用长寿命的TCP连接。UDP不能说出出发生故障的 服务器,一个慢速服务器和一个不存在的服务器的之间差别。 使用TCP Keepalive,服务器失败可以被发现带有实际请求。与多个服务器的 连接可以同时被维护,并且您只需要寄发消息到那个被知道是正在运行的服 务器。 TCP是更加可升级的并且适应生长的。
AAA的实现 AAA的实现
AAA由具体的 由具体的AAA协议来实现,目前最常用的 协议来实现, 由具体的 协议来实现 目前最常用的AAA协议包括 协议包括 RADIUS和TACACS+两种。众多厂商都开发了支持 两种。 和 两种 众多厂商都开发了支持AAA协议的服务 协议的服务 程序,例如: 程序,例如: 微软内置的Internet 身份认证服务 身份认证服务(IAS),可以支持 微软内置的 ,可以支持RADIUS CISCO ACS可支持 可支持RADIUS和TACACS+协议 和 协议 可支持 注意:要想实现 注意:要想实现AAA,需要安装这些支持 ,需要安装这些支持AAA协议的服务程序才 协议的服务程序才 行。
ACS
ACS的全称为Cisco Secure Access Control Server(思科 安全访问控制服务器)是思科为智能信息网络提供的基于身 份的全面的访问控制解决方案。它是用于管理企业网络用户 、管理员和网络基础设施资源的基础和控制层。
ACS
ACS是具有高可扩展性的高可性能的访问服务器,可作为 集中的RADIUS和TACACS+服务器运行。ACS将验证、用户访 问和网管访问与策略控制结合在一个集中的身份识别网络 解决方案中,因此提高了灵活性、移动性、安全性和用户 使用率。从而进一步增强网络安全。 ACS支持广泛的网络连接,包括有线网络和无线网络、防 火墙和VPN等。
TACACS+ 数据流例子
下列例子假定用户 telnet到路由器,执 行一条命令,然后退 出路由器,登录鉴别 、exec授权、命令授 权、start-stop exec 记账和命令记 账的数据流:
RADIUS 数据流例子
下列例子假定用户 telnet到路由器,执 行一条命令,然后退 出路由器,登录鉴别 、exec授权、和 start-stop exec 记 账的数据流(其他管 理服务不可用):
软件安装使用
添加RADIUS客户端 Network config –add entry—aaa client –submit 从新启动ACS服务 System config –service control—restart 创建并配置用户 User setup—username test –submit -- list all users 配置统计日志 System config ---logging—CSV passed authentications –submit 查看RADIUS服务器上的日志 Reports and activity ---passed authentications--active.csv--- filed attempts active.csv
2
什么是AAA认证? 什么是AAA认证? AAA认证
什么是AAA认证? 什么是AAA认证? AAA认证
什么是AAA认证? 什么是AAA认证? AAA认证
举例说明
以vod2.3 oda为例说明。
身份认证(Authentication 身份认证(Authentication)
登陆时验证name、 登陆时验证name、password name 、subid、sccode是一个确定 subid、sccode是一个确定 用户身份的过程。 用户身份的过程。 授权(Authorization) 授权(Authorization) 通过调用存储过程 subvalidate.validate对相 subvalidate.validate对相 应字段进行判断完成对该用 户的授权。 户的授权。 审计(Accounting) 审计(Accounting) 当用户每进行了一些相应操 作时, 作时,程序会首先进入拦截 器验证用户的什么, 器验证用户的什么,然后再 去验证用户的权限, 去验证用户的权限,接着进 行相应操作这就是所谓的3w 行相应操作这就是所谓的3w ,who、when、what。 who、when、what。
路由器管理
RADIUS不允许用户 控制哪些命令在路由器可以被执行并且 哪些不能。所以, RADIUS不是如有用为路由器管理或如灵 活为终端服务。
TACACS+提供二个方法控制router命令的授权根据一个单个 用户或单个组的基本类型。第一个方法将指定权限级别到 命令和安排路由器用TACACS+服务器验证用户是否被认证在 指定的权限级别。第二个方法是指定在TACACS+服务器,在 一个单个用户或单个组的基本类型,明确命令允许。
在会话过程中,如果需要额外的授权检验,访问服务器通过TACACS+服务 器来检验用户是否允许使用特定命令。从鉴别机制分离提供对可在访问服 务器执行命令的更好控制。
多协议支持
RADIUS 不支持下列协议: AppleTalk Remote Access (ARA) 协议 Net BIOS Frame Protocol Control 协议 Novell Asynchronous Services Interface (NASI) X.25 PAD 连接 TACACS+ 提供多协议支持。
互操作性
RADIUS 标准并不单保护操作性。即使几个厂商实现 RADIUS 客户端,这并不意味着它们可以互操作。大约有着 45种 标准 RADIUS ATTRIBUTES。 Cisco 实现了其中的大部 分并不断地添加。如果客户在他们的服务器中只使用标准 ATTRIBUTES,他们可能实现不同厂商的互操作性(假定这些 厂商实现同样的ATTRIBUTES)。然而,许多厂商实现专用 ATTRIBUTES对标准属性进行补充。如果客户使用这些厂商扩 充ATTRIBUTES,互操作无法实现。
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
三A认证基础知识介绍
主讲人:宋淼 20ห้องสมุดไป่ตู้2 2012-2-20
www.avit.com.cn
技术背景
现在,网络访问方法越来越多,使遵守安全制度和不可控的网络访问成为企业 担心的主要问题.随着IEEE802.11无线局域网(WLAN)和普遍宽带互联网连接的 广泛使用.安全问题不仅存在于网络外部,还存在于网络内部,能够防范这些安全 漏洞的身份识别技术现在已成为吸引全球用户关注技术。 网管希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性 来提供灵活的授权策略。并能集中跟踪监控网络用户连接的能力对与杜绝不适 当的或过度使用宝贵的网络资源至关重要。 这样AAA就孕育而生了。
为什么要做三A? 为什么要做三A?
TACACS和 TACACS和RADIUS
TACACS:终端访问控制器访问控制系统(TACACS & TACACS+ :Terminal Access Controller Access Control System)
RADIUS:Remote Authentication Dial In User Service, 远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应 用最广泛的AAA协议。
TACACS+和RADIUS比较
AAA协议支持
端口号
Raidus
认证/授权 认证 授权 1645/1812 审计 1646/1813
TACACS+
49
传输层协议 加密方法
UDP 仅对密码字段加密
TCP 整个数据包加密 是 CISCO设备支持全部特 设备支持全部特 性 CISCO专有 专有
认证和授权分离(扩展性) 认证和授权分离(扩展性)否 互操作性
虽然是公开协议, 虽然是公开协议,但是各家厂商都在 原有基础上增添了额外功能, 原有基础上增添了额外功能,难以实 现不同厂家的设备之间的户操作性
标准
工业标准
UDP和 UDP和 TCP
当TACACS+使用TCP时 ,RADIUS使用UDP。 TCP提供几个优点胜过UDP。 而UDP提供最佳效果发送,TCP提供面向连接的传输。 RADIUS要求另外 的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏TCP传输 提供内置支持的级别:
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
本实例以tacacs+协议为例 拓扑图:
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
准备工作: 1.给路由器和AAA服务器配好ip地址 2.在服务器上指好client端。
在ACS 导航条中选择“Network Configuration”,点击右边栏 的“Add Entry”进入以下界面 。 在“AAA Client Hostname”处 填入AAA 客户端的名称,在“AAA client IP Address”处填入AAA 客 户端的地址,在“key”处填入AAA 客户端的密码,“authentication Using”处选择该客户端所使用认证 协议,最后点击 “Submit+Restart”完成服务器设 置。
鉴别和授权
RADIUS结合鉴别和授权。由RADIUS 服务器发给客户端的access-accept 分组包含授权信息。这使得鉴别和授权很难进行分离。
TACACS+ 使用AAA体系结构,对鉴别(authentication)、授权 (authorization)和记账(accounting)。这样允许分离鉴别的同时, 还可以将TACACS+用于授权和记账。例如,可以使用Kerberos鉴别而授权 和记账采用TACACS+。在NAS通过Kerberos服务器认证之后,它从TACACS+ 服务请求授权信息,而不需要再次重新认证。NAS通知TACACS+服务器它已 经成功地通过Keberos服务器认证,然后服务器提供授权信息。
IAS
Windows Server 2003提供了IAS(Internet 2003提供了IAS( 提供了IAS Internet验证服务),用于实 验证服务), Authentication Service, Internet验证服务),用于实 RADIUS服务器和代理 作为RADIUS服务器,IAS执行多种 服务器和代理。 RADIUS服务器 现RADIUS服务器和代理。作为RADIUS服务器,IAS执行多种 类型网络访问的集中式连接身份验证、授权和记账, 类型网络访问的集中式连接身份验证、授权和记账,其中 包括无线、身份验证的交换机、拨号和VPN VPN远程访问以及路 包括无线、身份验证的交换机、拨号和VPN远程访问以及路 由器对路由器连接。作为RADIUS代理,IAS向其他RADIUS服 由器对路由器连接。作为RADIUS代理,IAS向其他RADIUS服 RADIUS代理 向其他RADIUS 务器转发身份验证和记账消息。 务器转发身份验证和记账消息。
信息包加密
RADIUS在访问请求信息包加密,仅密码,从 客户端到服务器。信息包的剩下的事末加密。 其他信息,例如用户名,核准的服务和认为, 能由第三方捕获。 TACACS+加密信息包但分支的整个机体一个标 准的TACACS+头。在头之内指示的字段机体不 论是否被加密。为调试目的,它是有用的有 信息包的机体末加密。然而,在正常运行期 间,信息包的机体为安全通信充分地被加密。
数据流
由于 TACACS+ 和RADIUS协议的不同,客户端和服务器之间生成 的数据流流量也不同。下面例子中讲述在客户端和服务器之间使用 TACACS+ 和RADIUS的数据流,包括鉴别路由器管理、exec授权、命 令授权(RADIUS无法实现),exec记账和命令记账(RADIUS无法实 现)。
AAA的实现 AAA的实现
AAA由具体的 由具体的AAA协议来实现,目前最常用的 协议来实现, 由具体的 协议来实现 目前最常用的AAA协议包括 协议包括 RADIUS和TACACS+两种。众多厂商都开发了支持 两种。 和 两种 众多厂商都开发了支持AAA协议的服务 协议的服务 程序,例如: 程序,例如: 微软内置的Internet 身份认证服务 身份认证服务(IAS),可以支持 微软内置的 ,可以支持RADIUS CISCO ACS可支持 可支持RADIUS和TACACS+协议 和 协议 可支持 注意:要想实现 注意:要想实现AAA,需要安装这些支持 ,需要安装这些支持AAA协议的服务程序才 协议的服务程序才 行。
ACS
ACS的全称为Cisco Secure Access Control Server(思科 安全访问控制服务器)是思科为智能信息网络提供的基于身 份的全面的访问控制解决方案。它是用于管理企业网络用户 、管理员和网络基础设施资源的基础和控制层。
ACS
ACS是具有高可扩展性的高可性能的访问服务器,可作为 集中的RADIUS和TACACS+服务器运行。ACS将验证、用户访 问和网管访问与策略控制结合在一个集中的身份识别网络 解决方案中,因此提高了灵活性、移动性、安全性和用户 使用率。从而进一步增强网络安全。 ACS支持广泛的网络连接,包括有线网络和无线网络、防 火墙和VPN等。
TACACS+ 数据流例子
下列例子假定用户 telnet到路由器,执 行一条命令,然后退 出路由器,登录鉴别 、exec授权、命令授 权、start-stop exec 记账和命令记 账的数据流:
RADIUS 数据流例子
下列例子假定用户 telnet到路由器,执 行一条命令,然后退 出路由器,登录鉴别 、exec授权、和 start-stop exec 记 账的数据流(其他管 理服务不可用):
软件安装使用
添加RADIUS客户端 Network config –add entry—aaa client –submit 从新启动ACS服务 System config –service control—restart 创建并配置用户 User setup—username test –submit -- list all users 配置统计日志 System config ---logging—CSV passed authentications –submit 查看RADIUS服务器上的日志 Reports and activity ---passed authentications--active.csv--- filed attempts active.csv
2
什么是AAA认证? 什么是AAA认证? AAA认证
什么是AAA认证? 什么是AAA认证? AAA认证
什么是AAA认证? 什么是AAA认证? AAA认证
举例说明
以vod2.3 oda为例说明。
身份认证(Authentication 身份认证(Authentication)
登陆时验证name、 登陆时验证name、password name 、subid、sccode是一个确定 subid、sccode是一个确定 用户身份的过程。 用户身份的过程。 授权(Authorization) 授权(Authorization) 通过调用存储过程 subvalidate.validate对相 subvalidate.validate对相 应字段进行判断完成对该用 户的授权。 户的授权。 审计(Accounting) 审计(Accounting) 当用户每进行了一些相应操 作时, 作时,程序会首先进入拦截 器验证用户的什么, 器验证用户的什么,然后再 去验证用户的权限, 去验证用户的权限,接着进 行相应操作这就是所谓的3w 行相应操作这就是所谓的3w ,who、when、what。 who、when、what。
路由器管理
RADIUS不允许用户 控制哪些命令在路由器可以被执行并且 哪些不能。所以, RADIUS不是如有用为路由器管理或如灵 活为终端服务。
TACACS+提供二个方法控制router命令的授权根据一个单个 用户或单个组的基本类型。第一个方法将指定权限级别到 命令和安排路由器用TACACS+服务器验证用户是否被认证在 指定的权限级别。第二个方法是指定在TACACS+服务器,在 一个单个用户或单个组的基本类型,明确命令允许。
在会话过程中,如果需要额外的授权检验,访问服务器通过TACACS+服务 器来检验用户是否允许使用特定命令。从鉴别机制分离提供对可在访问服 务器执行命令的更好控制。
多协议支持
RADIUS 不支持下列协议: AppleTalk Remote Access (ARA) 协议 Net BIOS Frame Protocol Control 协议 Novell Asynchronous Services Interface (NASI) X.25 PAD 连接 TACACS+ 提供多协议支持。
互操作性
RADIUS 标准并不单保护操作性。即使几个厂商实现 RADIUS 客户端,这并不意味着它们可以互操作。大约有着 45种 标准 RADIUS ATTRIBUTES。 Cisco 实现了其中的大部 分并不断地添加。如果客户在他们的服务器中只使用标准 ATTRIBUTES,他们可能实现不同厂商的互操作性(假定这些 厂商实现同样的ATTRIBUTES)。然而,许多厂商实现专用 ATTRIBUTES对标准属性进行补充。如果客户使用这些厂商扩 充ATTRIBUTES,互操作无法实现。
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
三A认证基础知识介绍
主讲人:宋淼 20ห้องสมุดไป่ตู้2 2012-2-20
www.avit.com.cn
技术背景
现在,网络访问方法越来越多,使遵守安全制度和不可控的网络访问成为企业 担心的主要问题.随着IEEE802.11无线局域网(WLAN)和普遍宽带互联网连接的 广泛使用.安全问题不仅存在于网络外部,还存在于网络内部,能够防范这些安全 漏洞的身份识别技术现在已成为吸引全球用户关注技术。 网管希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性 来提供灵活的授权策略。并能集中跟踪监控网络用户连接的能力对与杜绝不适 当的或过度使用宝贵的网络资源至关重要。 这样AAA就孕育而生了。
为什么要做三A? 为什么要做三A?
TACACS和 TACACS和RADIUS
TACACS:终端访问控制器访问控制系统(TACACS & TACACS+ :Terminal Access Controller Access Control System)
RADIUS:Remote Authentication Dial In User Service, 远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应 用最广泛的AAA协议。
TACACS+和RADIUS比较
AAA协议支持
端口号
Raidus
认证/授权 认证 授权 1645/1812 审计 1646/1813
TACACS+
49
传输层协议 加密方法
UDP 仅对密码字段加密
TCP 整个数据包加密 是 CISCO设备支持全部特 设备支持全部特 性 CISCO专有 专有
认证和授权分离(扩展性) 认证和授权分离(扩展性)否 互操作性
虽然是公开协议, 虽然是公开协议,但是各家厂商都在 原有基础上增添了额外功能, 原有基础上增添了额外功能,难以实 现不同厂家的设备之间的户操作性
标准
工业标准
UDP和 UDP和 TCP
当TACACS+使用TCP时 ,RADIUS使用UDP。 TCP提供几个优点胜过UDP。 而UDP提供最佳效果发送,TCP提供面向连接的传输。 RADIUS要求另外 的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏TCP传输 提供内置支持的级别:
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
本实例以tacacs+协议为例 拓扑图:
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
准备工作: 1.给路由器和AAA服务器配好ip地址 2.在服务器上指好client端。
在ACS 导航条中选择“Network Configuration”,点击右边栏 的“Add Entry”进入以下界面 。 在“AAA Client Hostname”处 填入AAA 客户端的名称,在“AAA client IP Address”处填入AAA 客 户端的地址,在“key”处填入AAA 客户端的密码,“authentication Using”处选择该客户端所使用认证 协议,最后点击 “Submit+Restart”完成服务器设 置。
鉴别和授权
RADIUS结合鉴别和授权。由RADIUS 服务器发给客户端的access-accept 分组包含授权信息。这使得鉴别和授权很难进行分离。
TACACS+ 使用AAA体系结构,对鉴别(authentication)、授权 (authorization)和记账(accounting)。这样允许分离鉴别的同时, 还可以将TACACS+用于授权和记账。例如,可以使用Kerberos鉴别而授权 和记账采用TACACS+。在NAS通过Kerberos服务器认证之后,它从TACACS+ 服务请求授权信息,而不需要再次重新认证。NAS通知TACACS+服务器它已 经成功地通过Keberos服务器认证,然后服务器提供授权信息。
IAS
Windows Server 2003提供了IAS(Internet 2003提供了IAS( 提供了IAS Internet验证服务),用于实 验证服务), Authentication Service, Internet验证服务),用于实 RADIUS服务器和代理 作为RADIUS服务器,IAS执行多种 服务器和代理。 RADIUS服务器 现RADIUS服务器和代理。作为RADIUS服务器,IAS执行多种 类型网络访问的集中式连接身份验证、授权和记账, 类型网络访问的集中式连接身份验证、授权和记账,其中 包括无线、身份验证的交换机、拨号和VPN VPN远程访问以及路 包括无线、身份验证的交换机、拨号和VPN远程访问以及路 由器对路由器连接。作为RADIUS代理,IAS向其他RADIUS服 由器对路由器连接。作为RADIUS代理,IAS向其他RADIUS服 RADIUS代理 向其他RADIUS 务器转发身份验证和记账消息。 务器转发身份验证和记账消息。
信息包加密
RADIUS在访问请求信息包加密,仅密码,从 客户端到服务器。信息包的剩下的事末加密。 其他信息,例如用户名,核准的服务和认为, 能由第三方捕获。 TACACS+加密信息包但分支的整个机体一个标 准的TACACS+头。在头之内指示的字段机体不 论是否被加密。为调试目的,它是有用的有 信息包的机体末加密。然而,在正常运行期 间,信息包的机体为安全通信充分地被加密。
数据流
由于 TACACS+ 和RADIUS协议的不同,客户端和服务器之间生成 的数据流流量也不同。下面例子中讲述在客户端和服务器之间使用 TACACS+ 和RADIUS的数据流,包括鉴别路由器管理、exec授权、命 令授权(RADIUS无法实现),exec记账和命令记账(RADIUS无法实 现)。