返回
《aaa认证配置》word版

《aaa认证配置》word版

ID:22690730

大小:173.19 KB

页数:32页

时间:2018-10-30

《aaa认证配置》word版_第1页
《aaa认证配置》word版_第2页
《aaa认证配置》word版_第3页
《aaa认证配置》word版_第4页
《aaa认证配置》word版_第5页
资源描述:

《《aaa认证配置》word版》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、44            AAA配置访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。44.1       AAA基本原理AAA是AuthenticationAuthorizationandAccounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。AAA以模块方式提供以下服务:n        认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TAC

2、ACS+协议或Local(本地)等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。n        授权:授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现,这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也可以远程存放在安全服务器上。n        记账:记录用户使用网络资源的情况。当AAA记账被启用时,网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析

3、,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。&说明部分产品的AAA仅提供认证功能。所有涉及产品规格的问题,可以通过向福建星网锐捷网络有限公司市场人员或技术支援人员咨询得到。尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样,AAA提供更高级别的安全保护。使用AAA有以下优点:n        灵活性和可控制性强n        可扩充性n        标准化认证n        多个备用系统44.

4、1.1 AAA基本原理AAA可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来定义身份认证、记账、授权类型,然后将这些方法列表应用于特定的服务或接口。44.1.2 方法列表由于对用户进行认证、授权和记账可以使用不同的安全方法,您需要使用方法列表定义一个使用不同方法对用户进行认证、授权和记账的前后顺序。方法列表可以定义一个或多个安全协议,这样可以确保在第一个方法失败时,有备用系统可用。锐捷产品使用方法列表中列出的第一个方法时,如果该方法无应答,则选择方法列表中的下一个方法。这个过程一直持续下

5、去,直到与列出的某种安全方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信,则该安全功能宣告失败。~注意只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。例如在身份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他的身份认证方法。图11. 典型的AAA网络配置图上图说明了一个典型的AAA网络配置,它包含两台安全服务器:R1和R2是RADIUS服务器。假设系统管理员已定义了一个方法列表,在这个列表中,R1首先被用来获取身份信息,然后是R2,最后是访问服务器上的本地用户名数据库。如

6、果一个远程PC用户试图拨号进入网络,网络访问服务器首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向网络访问服务器发出一个ACCEPT应答,这样用户即获准访问网络。如果R1返回的是REJECT应答,则拒绝用户访问网络,断开连接。如果R1无应答,网络访问服务器就将它看作TIMEOUT,并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。如果所有的方法返回TIMEOUT,则认证失败,连接将被断开。~注意REJECT应答不同于TIMEOUT应答。REJECT意

7、味着用户不符合可用身份认证数据库中包含的标准,从而未能通过身份认证,访问请求被拒绝。TIMEOUT则意味着安全服务器对身份认证查询未作应答,当检测到一个TIMEOUT时,AAA选择身份认证方法列表中定义的下一个身份认证方法将继续进行身份认证过程。&说明在本文中,与AAA安全服务器相关的认证、授权和记账配置,均以RADIUS为例,而与TACACS+有关的内容请另外参考“配置TACACS+”。44.2       AAA配置基本步骤首先您必须决定要采用哪种安全解决方案,而且需要评估特定网络中的潜在安全风险,并选择适当的手段来阻止未

8、经授权的访问。我们建议,在可能的情况下,尽量使用AAA确保网络安全。44.2.1 AAA配置过程概述如果理解了AAA运作的基本过程,配置AAA就相对简单了。在锐捷网络设备上配置AAA地步骤如下:n        启用AAA,使用全局配置层命令aaanew-model。n   

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。