AAA认证功能介绍

  • 格式:doc
  • 大小:358.50 KB
  • 文档页数:19

OLTAAA认证功能介绍VESION 1.0 2011年7月7日AAA认证功能介绍 (1)一、相关知识点介绍 (3)1.1. AAA简介 (3)1.1.1. 认证功能 (3)1.1.2. 授权功能 (3)1.1.3. 计费功能 (3)1.2. ISP Domain简介 (4)1.3. Radius协议简介 (4)1.3.1. RADIUS 服务的3个部分 (4)1.3.2. RADIUS 的基本消息交互流程 (4)1.4. TACACS+协议简介 (5)1.5. RADIUS和TACACS+实现的区别 (7)1.5.1.RADIUS使用UDP而TACACS+使用TCP (7)1.5.2.加密方式 (7)二、OLT上的AAA功能特点 (8)三、AAA认证命令行配置 (8)3.1. AAA配置 (8)3.2. 配置ISP域 (9)3.3. 配置RADIUS协议 (10)3.4. 配置TACACS+协议 (11)四、AAA认证server简介 (12)4.1. 安装环境介绍: (12)4.2. 安装和简要配置 (12)五、配置案例 (13)5.1. Telnet用户通过RADIUS服务器认证的应用配置 (13)5.2. Telnet用户通过TACACS+服务器认证的应用配置 (15)5.3. Telnet用户通过双服务器实现主备冗余的radius认证 (17)一、相关知识点介绍1.1. AAA简介AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制,包括:● 哪些用户可以访问网络服务器;● 具有访问权的用户可以得到哪些服务;● 如何对正在使用网络资源的用户进行计费。

针对以上问题,AAA 必须提供认证功能、授权功能和计费功能。

1.1.1. 认证功能AAA 支持以下认证方式:●不认证:对用户非常信任,不对其进行合法检查。

一般情况下不采用这种方式。

●本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。

本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

●远端认证:支持通过 RADIUS 协议或TACACS+ 协议进行远端认证,设备作为客户端,与RADIUS 服务器或TACACS+ 服务器通信。

对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。

1.1.2. 授权功能AAA 支持以下授权方式:●直接授权:对用户非常信任,直接授权通过。

●本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

● RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。

● TACACS+ 授权:由TACACS+ 服务器对用户进行授权。

1.1.3. 计费功能AAA 支持以下计费方式:●不计费:不对用户计费。

●远端计费:支持通过 RADIUS 服务器或TACACS+ 服务器进行远端计费。

AAA 一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。

因此,AAA 框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

1.2. ISP Domain简介ISP 域即ISP 用户群,一个ISP 域是由属于同一个ISP 的用户构成的用户群。

在“userid@isp-name”形式的用户名中,“@”后的“isp-name”即为ISP 域的域名。

接入设备将“userid”作为用于身份认证的用户名,将“isp-name”作为域名。

在多ISP 的应用环境中,同一个接入设备接入的有可能是不同ISP 的用户。

由于各ISP 用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP 域的方法把它们区别开。

在ISP 域视图下,可以为每个ISP 域配置包括使用的AAA 策略(使用的RADIUS 方案等)在内的一整套单独的ISP 域属性。

1.3. Radius协议简介RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。

1.3.1. RADIUS 服务的3个部分● 协议:RFC 2865 和RFC 2866 基于UDP/IP 层定义了RADIUS 帧格式及其消息传输机制,并定义了1812 作为认证端口,1813 作为计费端口。

● 服务器:RADIUS 服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。

● 客户端:位于拨号访问服务器设备侧,可以遍布整个网络。

1.3.2. RADIUS 的基本消息交互流程RADIUS 客户端(交换机)和RADIUS 服务器之间通过共享密钥来认证交互的消息,增强了安全性。

RADIUS 协议合并了认证和授权过程,即响应报文中携带了授权信息。

用户、交换机、RADIUS 服务器之间的交互流程如下图所示。

1.4. TACACS+协议简介在计算机网络中,TACACS+ (Terminal Access Controller Access-Control System Plus)是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议。

TACACS+提供了独立的认证、授权和记账服务。

尽管RADIUS在用户配置文件中集成了认证和授权,TACACS+分离了这两种操作,另外的不同在于TACACS+使用传输控制协议(TCP)而RADIUS使用用户报文协议(UDP).多数管理员建议使用TACACS+,因为TCP被认为是更可靠的协议。

TACACS+协议的扩展为最初的协议规范提供了更多的认证请求类型和更多的响应代码。

TACACS+ 使用TCP端口49,包括三种独立的协议,如果需要,能够在独立的服务器上实现。

TACACS+服务器的典型部署场景如下图:TACACS+认证因为是基于tcp的认证,其报文交互性要求实时,其具体过程如下图所示。

1.5. RADIUS和TACACS+实现的区别1.5.1.RADIUS使用UDP而TACACS+使用TCPTCP提供比UDP更多的高级特性,TCP是面向连接的可靠传输服务,但UDP只提供最优的传输,因而RADIUS需要额外的代码来实现例如重传、超时等机制,所有这些在TCP 中已是固有的特性。

1.5.2.加密方式RADIUS仅对密码本身进行加密,对报文的其他部分并未加密是明文传输的。

这些信息可能通过第三方软件捕获。

TACACS+对整个数据包进行加密,仅留下TACACS+的数据包头,在数据包头中有一个标识位表示该数据包是加密的还是未加密的,未加密的数据包做调试用,而一般应用中的则是加密的,因而TACACS+对整个数据包加密保证了客户端与服务器之间通信的安全性。

二、OLT上的AAA功能特点OLT上的AAA认证功能设计也是按照AAA框架配置、域相关配置、radius服务器相关配置、tacacs+服务器相关配置4个模块设计相关的功能、命令集。

OLT开发AAA认证的主要目的是实现OLT登录用户的集中管理,集中部署,避免在每台OLT上添加/删除用户带来麻烦。

对此,OLT上的AAA认证功能和理论上的AAA认证以及OLT本地认证功能的差别进行了简单整理,主要如下:三、AAA认证命令行配置3.1. AAA配置3.2. 配置ISP域ISP域即ISP用户群,一个ISP域属于同一个ISP的用户构成。

在“user_name@isp_name”形式的用户名中,“@”后的“isp_name”即为ISP域的域名,接入设备将“user_name”作为用户身份认证的用户名,将“isp_name”作为域名。

3.3. 配置RADIUS协议3.4. 配置TACACS+协议四、AAA认证server简介AAA认证server也有多种软件,这里只推荐一种适合在现网部署的服务器软件------Cisco Secure ACS v4.2,该软件的功能比较强大、稳定,我们只需简单配置就能满足我们使用的需求。

4.1. 安装环境介绍:Windows 2003 server sp1版本(部分windows 2000server版也可以,推荐2003)1G以上内存1.8 GHz或更高CPUNTFS文件系统已经安装Java虚拟接-1_5_0-windows-i586.exe更多注意事项请参考文档安装手册,这里只列举了特别需要注意的项目。

4.2. 安装和简要配置ACS的安装步骤只需要在具备以上环境的工作站上一路点“next”直至安装完毕,所以详细的步骤这里不再介绍。

ACS安装完成后会在桌面上自动生成一个“ACS admin”的管理页面,单击该管理页面进行ACS的配置。

注:这一步骤中如果ACS的管理页面无法打开,请在IE 属性—>安全菜单里将这个页面设置为受信任的站点即可;ACS页面打开后的菜单如下图,标红的部分是必须要做初始配置的3个选项卡,我们只做普通的认证服务器来用的话,这三个菜单里的配置就够,不涉及其他菜单配置。

User Setup:在该菜单里完成用户名/密码的添加、修改;Network Configuration:在该菜单里完成客户端的设置,共享密钥的设置;Adminstration Control:在该菜单里设置ACS server的超级管理员,用于远程登录,添加、修改server上的各个配置信息;这里对ACS的各个子菜单不做详细介绍,单进去后看各个菜单的提示设置就可以的。

对于ACS详细的安装、配置专门有一个文档,讲的很详细,有兴趣请参看“ACS安装&配置手册.doc”,已经放到共享服务器上。

五、配置案例以下提供3个分别通过radius和tacacs+实现的具体配置案例,5.1. Telnet用户通过RADIUS服务器认证的应用配置该案例是按照在default域中实现radius认证的配置。

步骤命令说明步骤1 GFA6900(config)#config login-authentication enable 配置AAA认证使能5.2. Telnet用户通过TACACS+服务器认证的应用配置该案例是按照在default域中实现tacacs+认证的配置。

5.3. Telnet用户通过双服务器实现主备冗余的radius认证该案例是按照在default域中实现主备冗余的radius认证。