您的位置:360文档中心› AAA认证配置

AAA认证配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

44AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。

44.1AAA基本原理

AAA是Authentication Authorization and Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。

AAA以模块方式提供以下服务:

⏹认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+协议或Local

(本地)等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

⏹授权:授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现,这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也

可以远程存放在安全服务器上。

⏹记账:记录用户使用网络资源的情况。当AAA记账被启用时,网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是

以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行

读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。

部分产品的AAA仅提供认证功能。所有涉及产品规格的问题,可以通过向福建

星网锐捷网络有限公司市场人员或技术支援人员咨询得到。

尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样,AAA提供更

高级别的安全保护。

使用AAA有以下优点:

⏹灵活性和可控制性强

⏹可扩充性

⏹标准化认证

⏹多个备用系统

44.1.1AAA基本原理

AAA 可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来

定义身份认证、记账、授权类型,然后将这些方法列表应用于特定的服务或接口。

44.1.2 方法列表

由于对用户进行认证、授权和记账可以使用不同的安全方法,您需要使用方法列表定义一个使用不同方法

对用户进行认证、授权和记账的前后顺序。方法列表可以定义一个或多个安全协议,这样可以确保在第一个方法失败时,有备用系统可用。锐捷产品使用方法列表中列出的第一个方法时,如果该方法无应答,则选择方法列表中的下一个方法。这个过程一直持续下去,直到与列出的某种安全方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信,则该安全功能宣告失败。

只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。例如在身

份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他

的身份认证方法。

图 11. 典型的AAA 网络配置图

上图说明了一个典型的AAA 网络配置,它包含两台安全服务器:R1和R2是RADIUS 服务

器。 假设系统管理员已定义了一个方法列表,在这个列表中,R1首先被用来获取身份信息,然

后是R2,最后是访问服务器上的本地用户名数据库。如果一个远程PC 用户试图拨号进入网络,网络访问服务器首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向网络访问服务器发出一个ACCEPT 应答,这样用户即获准访问网络。如果R1返回的是REJECT 应答,则拒绝用户访问网络,断开连接。如果R1无应答,网络访问服务器就将它看作TIMEOUT ,并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。如果所有的方法返回TIMEOUT ,则认证失败,连接将被断开。

REJECT 应答不同于TIMEOUT 应答。REJECT 意味着用户不符合可用身份认证数据库中包含的标准,从而未能通过身份认证,访问请求被拒绝。TIMEOUT 则意味着

安全服务器对身份认证查询未作应答,当检测到一个TIMEOUT 时,AAA 选择身份认证方法列表中定义的下一个身份认证方法将继续进行身份认证过程。

在本文中,与AAA安全服务器相关的认证、授权和记账配置,均以RADIUS为例,

而与TACACS+有关的内容请另外参考“配置TACACS+”。

44.2AAA配置基本步骤

首先您必须决定要采用哪种安全解决方案,而且需要评估特定网络中的潜在安全风险,并选择适当的手段来阻止未经授权的访问。我们建议,在可能的情况下,尽量使用AAA

确保网络安全。

44.2.1AAA配置过程概述

如果理解了AAA运作的基本过程,配置AAA就相对简单了。在锐捷网络设备上配置AAA 地步骤如下:

⏹启用AAA,使用全局配置层命令aaa new-model。

⏹如果决定使用安全服务器,请配置安全协议的参数,如RADIUS。

⏹定义身份认证方法列表,使用aaa authentication命令。

⏹如有需要,可将该方法列表应用于特定的接口或线路。

在应用特定方法列表时,如果没有明确指定使用命名的方法列表,则使用默认的

身份认证方法列表进行身份认证。

因此,如果不准备使用默认的身份认证方法列表,则需要指定特定的方法列表。

对于本章中使用的命令的完整描述,请参见安全配置命令参考中的相关章节。

44.2.2启用AAA

要使用AAA安全特性,必须首先启用AAA。

要启用AAA,在全局配置模式下执行以下命令:

Step 1

44.2.3停用AAA

要停用AAA,在全局配置模式下执行以下命令:

Step 1

相关文档
最新文档