AAA认证功能介绍
- 格式:doc
- 大小:362.50 KB
- 文档页数:18
下载文档原格式
合集下载
AAA协议介绍
AAA协议介绍协议名称:AAA协议介绍一、引言AAA协议(Authentication, Authorization, and Accounting)是一种用于网络认证、授权和计费的协议。
它在计算机网络中起到了重要的作用,确保了网络资源的安全和合理使用。
本协议旨在详细介绍AAA协议的定义、功能、应用场景以及实施细节。
二、定义AAA协议是一种网络安全协议,由三个主要组成部分组成:认证(Authentication)、授权(Authorization)和计费(Accounting)。
它们分别用于验证用户身份、授予用户访问权限以及记录用户的网络资源使用情况。
三、功能1. 认证(Authentication):AAA协议通过验证用户的身份信息,确保只有授权用户可以访问网络资源。
常见的认证方式包括用户名/密码、数字证书、生物特征等。
2. 授权(Authorization):一旦用户通过认证,AAA协议将根据用户的身份和权限,授予用户特定的访问权限。
这样可以确保用户只能访问其所需的资源,提高网络资源的安全性。
3. 计费(Accounting):AAA协议通过记录用户的网络资源使用情况,包括时间、流量、访问位置等信息,用于计费和审计目的。
这有助于提高网络资源的管理效率和公平性。
四、应用场景AAA协议广泛应用于各种网络环境中,包括但不限于以下几个方面:1. 企业网络:AAA协议可以用于企业内部网络的用户认证和授权管理,确保只有合法员工可以访问内部资源。
2. 无线网络:在无线网络中,AAA协议可以用于验证用户身份,授权访问Wi-Fi网络,并记录用户的网络使用情况。
这有助于提高无线网络的安全性和管理效率。
3. 云计算:在云计算环境中,AAA协议可以用于认证和授权云服务的用户,确保只有合法用户可以访问云资源,并记录用户的资源使用情况。
4. 电信运营商:AAA协议在电信运营商中扮演重要角色,用于认证用户身份、授权访问移动网络,并记录用户的通信行为,用于计费和管理。
aaa认证
AAA认证1. 简介AAA认证是指Authentication,Authorization和Accounting的缩写。
它是一种网络访问控制的方法,用于验证用户身份、授权用户访问权限以及记录用户的访问信息。
在网络安全领域,AAA认证是一种常见的认证授权技术。
2. 认证(Authentication)认证是AAA认证的第一步,用于验证用户的身份信息。
常见的认证方式包括用户名/密码认证、数字证书认证、生物特征认证等。
2.1 用户名/密码认证 (Username/Password Authentication)用户名/密码认证是最常见的认证方式之一。
用户通过提供正确的用户名和密码来验证身份。
这种方法简单易用,但也存在一些安全风险,比如密码被泄露、密码太弱等。
2.2 数字证书认证 (Digital Certificate Authentication)数字证书认证是一种使用公钥加密技术的认证方法。
用户需要拥有一个数字证书,由可信的证书颁发机构(CA)签发。
认证过程中,服务器会使用私钥对传输过来的数字证书进行解密和验证,从而确认用户身份的合法性。
2.3 生物特征认证 (Biometric Authentication)生物特征认证是利用人体特征进行身份验证的方法。
常见的生物特征包括指纹、虹膜、声纹等。
生物特征认证具有较高的安全性,因为这些生物特征是唯一的,难以被伪造。
3. 授权(Authorization)认证成功后,授权是AAA认证的下一步。
授权是指根据用户的身份和权限,决定用户可以访问网络中的哪些资源。
授权可以细分为角色授权和访问控制列表。
3.1 角色授权 (Role-Based Authorization)角色授权是一种将用户分组并为每个组分配特定权限的授权方法。
每个用户可以被分配一个或多个角色,不同的角色具有不同的权限。
通过角色授权,可以简化管理和控制用户访问权的过程。
3.2 访问控制列表 (Access Control Lists)访问控制列表是一种以列表形式记录了每个用户对特定资源的访问权限的授权方法。
AAA认证功能介绍资料
OLTAAA认证功能介绍VESION 1.0 2011年7月7日AAA认证功能介绍 (1)一、相关知识点介绍 (3)1.1. AAA简介 (3)1.1.1. 认证功能 (3)1.1.2. 授权功能 (3)1.1.3. 计费功能 (3)1.2. ISP Domain简介 (4)1.3. Radius协议简介 (4)1.3.1. RADIUS 服务的3个部分 (4)1.3.2. RADIUS 的基本消息交互流程 (4)1.4. TACACS+协议简介 (5)1.5. RADIUS和TACACS+实现的区别 (7)1.5.1.RADIUS使用UDP而TACACS+使用TCP (7)1.5.2.加密方式 (7)二、OLT上的AAA功能特点 (8)三、AAA认证命令行配置 (8)3.1. AAA配置 (8)3.2. 配置ISP域 (9)3.3. 配置RADIUS协议 (10)3.4. 配置TACACS+协议 (11)四、AAA认证server简介 (12)4.1. 安装环境介绍: (12)4.2. 安装和简要配置 (12)五、配置案例 (13)5.1. Telnet用户通过RADIUS服务器认证的应用配置 (13)5.2. Telnet用户通过TACACS+服务器认证的应用配置 (15)5.3. Telnet用户通过双服务器实现主备冗余的radius认证 (17)一、相关知识点介绍1.1. AAA简介AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:● 哪些用户可以访问网络服务器;● 具有访问权的用户可以得到哪些服务;● 如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA 必须提供认证功能、授权功能和计费功能。
AAA认证功能介绍
AAA认证功能介绍AAA(Authentication, Authorization, and Accounting)是一种常见的网络认证和访问控制技术,用于确保网络用户的身份验证、授权访问和网络资源的账务管理。
它是一种综合性的安全解决方案,广泛应用于各种网络环境,包括互联网、企业内部网络和电信网络等。
1. 认证(Authentication)认证是指在网络中验证用户的身份信息,以确保用户是合法且可信的。
AAA认证系统通过多种方式验证用户身份,包括基于密码的认证、证书认证、令牌认证等。
用户在进行登录时,需要提供有效的凭证进行身份认证,例如用户名和密码。
系统将根据提供的凭证进行验证,只有在通过认证的情况下,用户才能获得进一步的授权权限,才能访问网络资源。
2. 授权(Authorization)授权是指在用户通过认证之后,为其分配相应的访问权限。
AAA认证系统可以根据不同的用户身份和需求,给予不同的授权权限。
例如,对于企业内部网络,员工可以获得访问公司内部资源的权限,而临时访客只能获得访问公共资源的权限。
授权的方式包括基于角色和基于策略的授权机制,可以实现灵活的访问控制。
3. 计费(Accounting)计费是指对用户在网络中的资源消耗进行记录和计费。
AAA认证系统可以对用户的网络活动进行实时监测和记录,包括登录时间、访问资源、传输数据量等。
这些信息可以用于网络安全审计、用户行为分析和费用的计算。
通过计费功能,网络管理员可以更好地监控网络资源的使用情况,合理安排网络资源的分配。
1.提升网络安全性:AAA认证系统提供了可靠的身份验证功能,有效防止未授权用户的入侵。
同时,授权功能确保用户只能访问其被授权的资源,减少风险。
2.简化管理:AAA认证系统可以集中管理和控制用户的认证和授权,减少了网络管理员的工作量。
通过集中管理,管理员可以更好地监控和维护网络资源。
3.灵活的访问控制:AAA认证系统可以根据用户的身份和需求,分配灵活的授权权限。
AAA认证功能介绍
OLTAAA认证功能介绍VESION 1。
0 2011年7月7日AAA认证功能介绍 (1)一、相关知识点介绍 (3)1。
1. AAA简介 (3)1。
1.1。
认证功能 (3)1.1。
2. 授权功能 (3)1。
1.3. 计费功能 (3)1.2。
ISP Domain简介 (4)1.3。
Radius协议简介 (4)1.3.1。
RADIUS 服务的3个部分 (4)1。
3.2. RADIUS 的基本消息交互流程 (4)1.4. TACACS+协议简介 (5)1.5。
RADIUS和TACACS+实现的区别 (7)1.5。
1。
RADIUS使用UDP而TACACS+使用TCP (7)1.5。
2。
加密方式 (7)二、OLT上的AAA功能特点 (8)三、AAA认证命令行配置 (8)3.1. AAA配置 (8)3。
2。
配置ISP域 (9)3.3. 配置RADIUS协议 (10)3.4。
配置TACACS+协议 (11)四、AAA认证server简介 (12)4.1。
安装环境介绍: (12)4。
2。
安装和简要配置 (12)五、配置案例 (13)5.1。
Telnet用户通过RADIUS服务器认证的应用配置 (13)5.2. Telnet用户通过TACACS+服务器认证的应用配置 (15)5。
3. Telnet用户通过双服务器实现主备冗余的radius认证 (17)一、相关知识点介绍1。
1. AAA简介AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:● 哪些用户可以访问网络服务器;● 具有访问权的用户可以得到哪些服务;● 如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA 必须提供认证功能、授权功能和计费功能.1.1.1. 认证功能AAA 支持以下认证方式:●不认证:对用户非常信任,不对其进行合法检查。
AAA介绍
AAA:分别为Authentication、Authorization、Accounting认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。
整个认证通常是采用用户输入用户名与密码来进行权限审核。
认证的原理是每个用户都有一个唯一的权限获得标准。
由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。
如果符合,那么对用户认证通过。
如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。
比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。
简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。
授权过程发生在认证上下文中。
一旦用户通过了认证,他们也就被授予了相应的权限。
最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。
这些资源包括连接时间或者用户在连接过程中的收发流量等等。
可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。
AAA服务器是一个能够提供这三项服务的程序。
当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。
目前最新的发展是Diameter协议。
AAA是Cisco开发的一个提供网络安全的系统。
简述aaa认证的作用(一)
简述aaa认证的作用(一)AAA认证的作用什么是AAA认证?AAA指的是Authentication(认证)、Authorization(授权)、Accounting(会计)。
AAA认证是指通过验证和授权客户端访问网络或系统,以及记录相关信息来保证网络和系统的安全性。
AAA认证的作用1.提高网络和系统安全性:通过AAA认证,可以有效地限制非授权访问,保护网络和系统的安全性。
2.节省网络和系统资源:AAA认证可以根据用户的身份和权限控制访问网络和系统资源,避免资源的滥用和浪费。
3.管理网络和系统用户:AAA认证可以对访问网络或系统的用户进行身份验证和权限控制,实现对用户的管理和跟踪。
4.提高用户体验:AAA认证可以让用户更加便捷地访问网络或系统,同时保障网络和系统的安全性,提高用户的体验。
AAA认证的类型1.TACACS+认证:TACACS+认证协议支持使用不同的数据库进行身份验证和授权,提供更高级别的访问控制。
2.RADIUS认证:RADIUS认证协议支持使用单个数据库进行身份验证和授权,使用广泛。
3.DIAMETER认证:DIAMETER认证协议是RADIUS协议的继承者,支持多种身份验证方式和使用不同的数据库进行授权。
AAA认证的应用1.企业网络:企业网络中的主要应用包括身份验证、访问控制、带宽控制等。
2.电信网络:电信网络中主要应用于身份验证、预付费和后付费等计费方式。
3.互联网服务提供商:互联网服务提供商主要应用于网络带宽的控制、账单管理等方面。
总结AAA认证作为网络和系统安全的一种控制机制,发挥着重要作用。
其可以提高网络和系统的安全性,节省资源,管理用户,提高用户体验。
而通过TACACS+、RADIUS等不同协议及其应用范围也口可见分晓。
AAA认证的实现方式1.集中式认证:集中式认证是指将用户的身份认证集中到一个系统中进行管理,例如LDAP、Active Directory等。
2.分布式认证:分布式认证是指将用户的身份认证分布到多个系统中进行管理,例如SAML等。
运营商AAA方案
运营商AAA方案一、引言随着移动通信和互联网的迅速发展,运营商面临着越来越多的挑战和机遇。
在这样的背景下,运营商必须不断提高其服务水平,以满足用户的需求,并在激烈的市场竞争中脱颖而出。
AAA (Authentication, Authorization, and Accounting)方案是一种用于运营商网络中用户身份验证、授权和计费的解决方案,它可以帮助运营商提高运营效率、增强用户体验,并提高其竞争力。
二、AAA方案的基本概念1. 认证(Authentication)认证是指通过验证用户的身份来确定其是否有权访问网络资源。
传统的认证方式包括用户名和密码、数字证书、智能卡等。
认证的目的是防止未经授权的用户访问网络资源,确保网络的安全性。
2. 授权(Authorization)授权是指根据用户的身份和权限,授予用户访问网络资源的权限。
通过授权,运营商可以根据用户的身份和需求,灵活地控制用户访问的资源和服务范围,保证网络资源的合理利用。
3. 计费(Accounting)计费是指对用户使用网络资源的情况进行监控和计费。
通过计费,运营商可以实时监控用户的网络使用情况,了解用户的需求,为用户提供个性化的服务,并根据用户的消费情况进行精准的计费。
AAA方案将认证、授权和计费整合在一起,通过统一的身份认证和计费系统,实现对用户的身份验证、资源授权和费用计费的自动化管理,提高了运营商的运营效率和用户体验。
三、AAA方案在运营商网络中的应用1. 移动通信网络在移动通信网络中,AAA方案被广泛应用于用户接入控制、流量控制和计费管理等方面。
通过AAA服务器对用户进行身份认证和授权,运营商可以有效地控制用户的访问行为,避免因用户滥用网络资源而导致的网络拥堵和安全问题。
同时,AAA方案还可以实现对用户通信费用的精确计费,为用户提供个性化的资费套餐和服务,提升用户满意度。
2. 互联网接入服务在互联网接入服务中,AAA方案也扮演着重要的角色。
3A认证是什么?
3A认证是什么?3A体系是信用标准化领域中一个十分重要的认证。
是促进全国范围内的企业信用标准化体系,以利于企业产品与服务的信用交流,以及在知识、科学、技术和经济活动中发展企业间的信用相互合作。
现在好多企业都办理了企业信用认证,这个对于企业发展能起到一个很好的助力作用,您想在您与客户或者合作伙伴谈合作的时候,对方如何快速对您的信用度达到认可哪?到时候咱们把这个证书展示给对方,这样是不是快速达成对方与您的合作意向;还有这个有证书和铜牌到时候您挂在您公司或者办公室有客户或者朋友来访的时候这也是咱们的一个至高荣誉3A证书有哪些:1、企业信用等级证书AAA2、企业资信等级证书AAA3、重服务守信用企业AAA4、重合同守信用企业AAA5、质量服务诚信单位AAA6、诚信经营示范单位AAA7、诚信供应商企业AAA8、中国诚信企业家荣誉证书-法人名字9、企业信用评价AAA级信用企业-铜牌企业信用评级的作用3A企业是指企业的信用经过行业、机构评审达到3A信用标准的企业,获评企业都会得到机构出具的牌匾、证书。
其最直接的作用是在招投标、政府采购、工程建设中,作为企业的资信证明,帮助投标人获得竞标加分的优势。
1、企业获得政府扶持招商投资、融资担保、银行贷款的“通行证”;2、衡量企业履约能力、招投标信誉、综合能力的“荣誉证”;3、企业洞察社会经济发展、提升现代管理走向国际化的“导向证”;4、企业提升品牌价值与品牌竞争力的“无形资产证”;5、企业降低筹募资金成本的“减负证”;6、企业在市场活动中塑造企业形象的“身份证”;7、优先获得科技贷款、低息贷款、贴息贷款;优先获得政府津贴、补贴等等。
如何去做3A体系认证?信用等级证书办理的流程如下:一、前期准备阶级评估客户向评估公司提出信用评级申请,双方签订《信用评级协议书》。
协议书内容主要包括签约双方名称、评估对象、评估目的、双方权利和义务。
二、信息收集阶段评估小组去现场调查研究,先要对评估客户提供的资料进行阅读分析,围绕信用评级指标体系的要求,哪些已经齐备,还缺哪些资料和情况,需要进一步调查了解。
安全中3a认证详解
安全中3a认证详解3A认证是一种安全认证标准,它是通过对企业的安全管理体系进行评估和认证,确保企业的安全管理水平达到一定的标准。
这个认证体系是由中国信息安全测评中心(CNITSEC)制定的,目的是帮助企业建立和完善信息安全管理体系,提高信息安全防护能力,保障企业和用户的信息安全。
3A认证标准包括“策略与规划”、“组织与管理”和“技术与风险管理”三个方面。
首先,“策略与规划”要求企业明确信息安全的战略方向和目标,并制定相关的安全政策和规范。
其次,“组织与管理”要求企业建立一套完整的信息安全管理体系,包括安全责任制、信息资产管理、人员安全管理等方面。
最后,“技术与风险管理”要求企业采取一系列的技术措施,对风险进行评估和管理,确保企业的信息系统安全可靠。
在进行3A认证时,企业需要进行一系列的准备工作。
首先,企业需要了解3A认证标准的要求,并根据实际情况进行调整和优化。
其次,企业需要建立一支专门的安全团队,负责推进认证工作的进展。
此外,企业还需要对现有的信息系统进行全面的安全评估和改造,确保系统的安全性和可靠性。
进行3A认证的企业可以获得多方面的好处。
首先,通过认证,企业可以提高自身的信息安全管理水平,确保企业的信息安全得到有效的保障。
其次,获得3A认证的企业可以增强在市场竞争中的竞争力,提升消费者对企业的信任度。
此外,3A认证还可以为企业提供一种全面的信息安全保险,降低企业承担信息安全风险的成本。
在进行3A认证时,企业需要注意一些关键的事项。
首先,企业需要进行认真的准备工作,充分理解认证标准的要求,并与认证机构进行紧密的合作。
其次,企业需要建立持续改进的机制,不断完善和提升信息安全管理水平。
此外,企业还需要认识到信息安全是一个持续的过程,需要全员参与,不仅仅是技术部门。
总之,3A认证是一种对企业信息安全管理水平的评估和认证,它可以帮助企业建立和完善信息安全管理体系,提高信息安全防护能力。
企业在进行3A认证时需要进行一系列的准备工作,并注意一些关键的事项。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OLTAAA认证功能介绍VESION 1.0 2011年7月7日AAA认证功能介绍 (1)一、相关知识点介绍 (3)1.1. AAA简介 (3)1.1.1. 认证功能 (3)1.1.2. 授权功能 (3)1.1.3. 计费功能 (3)1.2. ISP Domain简介 (4)1.3. Radius协议简介 (4)1.3.1. RADIUS 服务的3个部分 (4)1.3.2. RADIUS 的基本消息交互流程 (4)1.4. TACACS+协议简介 (5)1.5. RADIUS和TACACS+实现的区别 (6)1.5.1.RADIUS使用UDP而TACACS+使用TCP (7)1.5.2.加密方式 (7)二、OLT上的AAA功能特点 (7)三、AAA认证命令行配置 (8)3.1. AAA配置 (8)3.2. 配置ISP域 (8)3.3. 配置RADIUS协议 (9)3.4. 配置TACACS+协议 (10)四、AAA认证server简介 (11)4.1. 安装环境介绍: (11)4.2. 安装和简要配置 (12)五、配置案例 (13)5.1. Telnet用户通过RADIUS服务器认证的应用配置 (13)5.2. Telnet用户通过TACACS+服务器认证的应用配置 (14)5.3. Telnet用户通过双服务器实现主备冗余的radius认证 (16)一、相关知识点介绍1.1. AAA简介AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:● 哪些用户可以访问网络服务器;● 具有访问权的用户可以得到哪些服务;● 如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA 必须提供认证功能、授权功能和计费功能。
1.1.1. 认证功能AAA 支持以下认证方式:●不认证:对用户非常信任,不对其进行合法检查。
一般情况下不采用这种方式。
●本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。
本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
●远端认证:支持通过 RADIUS 协议或TACACS+ 协议进行远端认证,设备作为客户端,与RADIUS 服务器或TACACS+ 服务器通信。
对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。
1.1.2. 授权功能AAA 支持以下授权方式:●直接授权:对用户非常信任,直接授权通过。
●本地授权:根据设备上为本地用户配置的相关属性进行授权。
● RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。
● TACACS+ 授权:由TACACS+ 服务器对用户进行授权。
1.1.3. 计费功能AAA 支持以下计费方式:●不计费:不对用户计费。
●远端计费:支持通过 RADIUS 服务器或TACACS+ 服务器进行远端计费。
AAA 一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。
因此,AAA 框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
1.2. ISP Domain简介ISP 域即ISP 用户群,一个ISP 域是由属于同一个ISP 的用户构成的用户群。
在“useridisp-name”形式的用户名中,“”后的“isp-name”即为ISP 域的域名。
接入设备将“userid”作为用于身份认证的用户名,将“isp-name”作为域名。
在多ISP 的应用环境中,同一个接入设备接入的有可能是不同ISP 的用户。
由于各ISP 用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP 域的方法把它们区别开。
在ISP 域视图下,可以为每个ISP 域配置包括使用的AAA 策略(使用的RADIUS 方案等)在的一整套单独的ISP 域属性。
1.3. Radius协议简介RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。
1.3.1. RADIUS 服务的3个部分● 协议:RFC 2865 和RFC 2866 基于UDP/IP 层定义了RADIUS 帧格式及其消息传输机制,并定义了1812 作为认证端口,1813 作为计费端口。
● 服务器:RADIUS 服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
● 客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
1.3.2. RADIUS 的基本消息交互流程RADIUS 客户端(交换机)和RADIUS 服务器之间通过共享密钥来认证交互的消息,增强了安全性。
RADIUS 协议合并了认证和授权过程,即响应报文中携带了授权信息。
用户、交换机、RADIUS 服务器之间的交互流程如下图所示。
1.4. TACACS+协议简介在计算机网络中,TACACS+(Terminal Access Controller Access-Control System Plus)是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议。
TACACS+提供了独立的认证、授权和记账服务。
尽管RADIUS在用户配置文件中集成了认证和授权,TACACS+分离了这两种操作,另外的不同在于TACACS+使用传输控制协议(TCP)而RADIUS使用用户报文协议(UDP).多数管理员建议使用TACACS+,因为TCP被认为是更可靠的协议。
TACACS+协议的扩展为最初的协议规提供了更多的认证请求类型和更多的响应代码。
TACACS+ 使用TCP端口49,包括三种独立的协议,如果需要,能够在独立的服务器上实现。
TACACS+服务器的典型部署场景如下图:TACACS+认证因为是基于tcp的认证,其报文交互性要时,其具体过程如下图所示。
1.5. RADIUS和TACACS+实现的区别1.5.1.RADIUS使用UDP而TACACS+使用TCPTCP提供比UDP更多的高级特性,TCP是面向连接的可靠传输服务,但UDP只提供最优的传输,因而RADIUS需要额外的代码来实现例如重传、超时等机制,所有这些在TCP 中已是固有的特性。
1.5.2.加密方式RADIUS仅对密码本身进行加密,对报文的其他部分并未加密是明文传输的。
这些信息可能通过第三方软件捕获。
TACACS+对整个数据包进行加密,仅留下TACACS+的数据,在数据中有一个标识位表示该数据包是加密的还是未加密的,未加密的数据包做调试用,而一般应用中的则是加密的,因而TACACS+对整个数据包加密保证了客户端与服务器之间通信的安全性。
二、OLT上的AAA功能特点OLT上的AAA认证功能设计也是按照AAA框架配置、域相关配置、radius服务器相关配置、tacacs+服务器相关配置4个模块设计相关的功能、命令集。
OLT开发AAA认证的主要目的是实现OLT登录用户的集中管理,集中部署,避免在每台OLT上添加/删除用户带来麻烦。
对此,OLT上的AAA认证功能和理论上的AAA认证以及OLT本地认证功能的差别进行了简单整理,主要如下:三、AAA认证命令行配置3.1. AAA配置3.2. 配置ISP域ISP域即ISP用户群,一个ISP域属于同一个ISP的用户构成。
在“user_nameisp_name”形式的用户名中,“”后的“isp_name”即为ISP域的域名,接入设备将“user_name”作为用户身份认证的用户名,将“isp_name”作为域名。
3.3. 配置RADIUS协议3.4. 配置TACACS+协议四、AAA认证server简介AAA认证server也有多种软件,这里只推荐一种适合在现网部署的服务器软件------Cisco Secure ACS v4.2,该软件的功能比较强大、稳定,我们只需简单配置就能满足我们使用的需求。
4.1. 安装环境介绍:Windows 2003 server sp1版本(部分windows 2000server版也可以,推荐2003)1G以上存1.8 GHz或更高CPUNTFS文件系统已经安装Java虚拟接-1_5_0-windows-i586.exe更多注意事项请参考文档安装手册,这里只列举了特别需要注意的项目。
4.2. 安装和简要配置ACS的安装步骤只需要在具备以上环境的工作站上一路点“next”直至安装完毕,所以详细的步骤这里不再介绍。
ACS安装完成后会在桌面上自动生成一个“ACS admin”的管理页面,单击该管理页面进行ACS的配置。
注:这一步骤中如果ACS的管理页面无法打开,请在IE 属性—>安全菜单里将这个页面设置为受信任的站点即可;ACS页面打开后的菜单如下图,标红的部分是必须要做初始配置的3个选项卡,我们只做普通的认证服务器来用的话,这三个菜单里的配置就够,不涉及其他菜单配置。
User Setup:在该菜单里完成用户名/密码的添加、修改;Network Configuration:在该菜单里完成客户端的设置,共享密钥的设置;Adminstration Control:在该菜单里设置ACS server的超级管理员,用于远程登录,添加、修改server上的各个配置信息;这里对ACS的各个子菜单不做详细介绍,单进去后看各个菜单的提示设置就可以的。
对于ACS详细的安装、配置专门有一个文档,讲的很详细,有兴趣请参看“ACS安装&配置手册.doc”,已经放到共享服务器上。
五、配置案例以下提供3个分别通过radius和tacacs+实现的具体配置案例,5.1. Telnet用户通过RADIUS服务器认证的应用配置该案例是按照在default域中实现radius认证的配置。
5.2. Telnet用户通过TACACS+服务器认证的应用配置该案例是按照在default域中实现tacacs+认证的配置。
5.3. Telnet用户通过双服务器实现主备冗余的radius认证该案例是按照在default域中实现主备冗余的radius认证。