重庆思庄Oracle、Redhat认证学习论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1042|回复: 0
打印 上一主题 下一主题

AAA基本介绍

[复制链接]
跳转到指定楼层
楼主
发表于 2022-7-8 09:34:20 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。后两种可视为“委托认证/授权/计费”方式,因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的,而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。



AAA采用基于用户(可以是所有用户,也可以是特定用户组中的用户)进行认证、授权和计费的方案。

AAA基础

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了认证、授权、计费3种安全功能。其中“认证”是用来验证用户是否可以获得网络访问权;“授权”是授权通过认证的用户可以使用哪些服务;“计费”是记录通过认证的用户使用网络资源的情况。在实际网络应用中,可以只使用AAA提供的一种或两种安全服务。

一、AAA的基本构架

AAA是采用“客户端/服务器”(C/S)结构,其中AAA客户端(也称网络接入服务器——NAS)就是使能了AAA功能的网络设备(可以是网络中任意一台设备,不一定是接入设备,而且可以在网络中多个设备上使能),而AAA服务器就是专门用来认证、授权和计费的服务器(可以由服务器主机配置,也可以由提供了对应服务器功能的网络设备上配置)

在设备上使能了AAA功能后,当用户要通过AAA客户端访问某个网络前,需要先从AAA服务器中获得访问该网络的权限。但这个任务通常不是由担当AAA客户端的设备自己来完成的,而是通过设备把用户的认证、授权、计费信息发送给AAA服务器来完成的。当然,如果在担当AAA客户端的设备上同时配置了相应的AAA服务器功能,则此时客户端和服务器端就为一体了,这时实现的是AAA本地认证和授权(本地方式不提供计费功能)了。

1、AAA认证

华为的AAA功能支持以下认证方式:

(1)不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。

(2)本地认证:将用户信息配置在本地设备上。本地认证的优点是速度快,可以为运营商降低成本,缺点是存储信息量受设备硬件条件限制。

(3)远程认证:将用户信息配置在AAA认证服务器上。支持通过RADIUS(Remote Authentication Dial In User Service,远程认证拨入用户服务)协议或HWTACACS(HuaWei Terminal Access Controller Access Control System,华为终端访问控制系统)协议进行远程认证。


2、AAA授权

华为的AAA功能支持3种授权方式:

(1)不授权:不对用户进行授权处理。

(2)本地授权:根据本地设备为本地用户账号配置的相关属性(如允许使用的接入服务类型和FTP访问目录等)进行授权。

(3)远程授权:由HWTACACS、RADIUS等服务器对用户进行远程授权。


3、计费

华为的AAA功能支持2种计费方式(不支持本地计费方式):

(1)不计费:不对用户计费。

(2)计费:设备将计费报文送往HWTACACS、RADIUS服务器,由HWTACACS、RADIUS服务器完成对用户的计费。


二、AAA基于域的用户管理



华为交换机通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权和计费方案,以及RADIUS或者HWTACACS服务器模板,相当于对用户进行分类管理。属于域中的用户通过在该域中应用的认证、授权和计费方案进行认证、授权和计费。所以后面的AAA方案配置中,一定要在对应的域下被绑定、应用才能对具体用户生效。



缺省情况下,设备存在配置名为default和default_admin两个域,全局缺省普通域为default,全局缺省管理域为default_admin。两个域均不能删除,只能修改。当无法确认接入用户的域时使用缺省域,default域为接入用户的缺省域,缺省为本地认证;default_admin域为管理员账户(如http、SSH、telnet、terminal和ftp用户)的缺省域,缺省为本地认证。



用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是为“@”、“|”、“%”等符号,如user@huawei就表示属于huawei域。如果用户名中没有带@,就属于系统缺省的default域。



自定义的域可以同时被配置成全局缺省普通域和全局缺省管理域。但域下配置的授权信息较AAA服务器的授权信息优先级低,即优先使用AAA服务器下发的授权属性,在AAA服务器无该项授权或不支持该项授权时域的授权属性才生效。当然通常是两者配置的授权属性一致。



三、RADIUS协议



RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样性,RADIUS也适应多种用户接入方式,如以太网接入,ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证(包括授权)、计费端口。



1、RADIUS服务器



RADIUS服务器程序一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS服务器通常要维护以下3个数据库:



(1)Users:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。



(2)Clients:用于存储RADIUS客户端的信息(如接入设备的共享秘钥、IP地址等)。



(3)Dictionary:用于存储RADIUS协议中的属性和属性值含义的信息。



2、RADIUS客户端



RADIUS客户端程序一般位于网络接入服务器NAS(Network Access Server)设备上,可以遍布整个网络,负责传输各个接入网络用户信息到指定的RADIUS服务器,然后根据从RADIUS服务器返回的信息进行相应处理(如接受/拒绝用户接入)。



3、安全机制



RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享秘钥来对传输数据加密的,但共享秘钥不通过网络来传输,增强了信息交互的安全性。



4、认证和计费消息流程



RADIUS客户端与服务器间的信息交互流程如下图:







(1)用户访问RADIUS客户端设备时,会按照提示输入用户名和密码,发送给客户设备。



(2)客户端设备在收到用户发来的用户名和密码信息向RADIUS服务器发送认证请求。



(3)RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给接入设备;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端设备。



RADIUS计费的信息交互流程和认证/授权的信息交互流程类似。



四、HWTACACS协议



HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,也是采用C/S模式实现NAS与HWTACACS服务器之间的通信。



HWTACACS协议主要用于点对点协议PPP和VPDN(VirtualPrivate Dial-up Network,虚拟私有拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权和计费。同样,这时的设备是作为HWTACACS的客户端,负责将用户名和密码发给HWTACACS服务器进行验证。



HWTACACS协议与RADIUS协议都实现了认证、授权、计费功能,它们有很多相似点:结构上都采用C/S模式,都使用公共秘钥对传输的用户信息进行加密。与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 支持支持 反对反对
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|手机版|小黑屋|重庆思庄Oracle、Redhat认证学习论坛 ( 渝ICP备12004239号-4 )

GMT+8, 2024-11-24 19:38 , Processed in 0.080770 second(s), 21 queries .

重庆思庄学习中心论坛-重庆思庄科技有限公司论坛

© 2001-2020

快速回复 返回顶部 返回列表