返回
安全配置指南

安全配置指南

ID:40826884

大小:450.57 KB

页数:47页

时间:2019-08-08

安全配置指南_第1页
安全配置指南_第2页
安全配置指南_第3页
安全配置指南_第4页
安全配置指南_第5页
资源描述:

《安全配置指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、AAA用户管理概述AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费三种功能。认证:验证用户是否可以获得访问权。授权:授权用户可以使用哪些服务。计费:记录用户使用网络资源的情况。AAA一般采用“客户端—服务器”结构。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。S7700支持的认证方案包括:l无需认证(None认证方式):当对用户非常信任时,不对其进行合法性检查,其他情况下一般不采用这种方式。l本地认证:将用户信息(包括本地用户的用户名、密码和各种属性

2、)配置在S7700上,并使用这些用户信息对本地用户进行认证。本地认证的优点是速度快;缺点是存储信息量受设备硬件条件限制。l远端认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。S7700作为客户端,与认证服务器通信,通过RADIUS(RemoteAuthenticationDialInUserService)协议或HWTACACS(HUAWEITerminalAccessControllerAccessControlSystem)协议进行远端认证。S7700支持的授权方案包括:l无需授权:对用户非常信任,直接授权通过。本地授权:根据S

3、7700上为本地用户帐号配置的相关属性进行授权。l远端授权:S7700作为客户端,与授权服务器通信,通过HWTACACS协议进行远端授权。lIfAuthenticated授权:如果用户通过了认证,并且使用了本地认证或远端认证模式,则用户授权通过。S7700支持的计费方案包括:l不计费:不对用户进行计费。lRADIUS计费:S7700将计费报文送往RADIUS服务器,由RADIUS服务器完成对用户的计费。lHWTACACS计费:S7700将计费报文送往HWTACACS服务器,由HWTACACS服务器完成对用户的计费。在RADIUS/HWTACACS计费模式中,正

4、常情况下S7700在用户上线和下线时各生成一份计费报文传送给服务器,服务器根据计费报文中的信息(上下线时间)对用户进行计费。S7700支持实时计费功能。实时计费功能是指用户在线过程中,S7700定时生成计费报文传送给服务器。通过实时计费功能,S7700可以在其和服务器通信中断时,最大程度的减少计费异常的时间。本地用户管理本地用户管理是指在本地S7700上建立本地用户数据库,维护用户信息,并对用户进行管理。基于域的用户管理S7700通过域来进行用户管理,域下可以配置认证、授权和计费方案。属于该域的用户通过指定的方案进行认证和授权。S7700的所有用户都属于某个域

5、。用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是“@”、“

6、”、“%”等符号,比如:用户名“user@huawei”,就属于huawei域。如果用户名中没有带@,就属于系统缺省的default域。缺省情况下,S7700存在配置名为default和default_admin两个域,全局默认普通域为default,全局默认管理域为default_admin。两个域均不能删除,只能修改。当无法确认接入用户的域时使用缺省域。default用于接入用户(如NAC)的缺省域,缺省为本地认证。default_admin用于管理员(如http,SSH,telnet

7、,terminal,ftp)的缺省域,缺省为本地认证。S7700总共可以配置128个域,包括缺省的两个域。域下配置的授权信息较AAA服务器的授权信息优先级低,即,优先使用AAA服务器下发的授权属性,在AAA服务器无该项授权或不支持该项授权时,域的授权属性生效。这样处理可以凭借域管理灵活增加业务,而不必受限于AAA服务器提供的属性。如果认证方案或授权方案指定通过RADIUS协议或HWTACACS协议与服务器通信,则需要在域下配置RADIUS或HWTACACS模板。RADIUS模板中,可以指定认证和计费服务器的IP地址、端口号、密钥等属性。HWTACACS模板中,

8、可以指定认证服务器的IP地址、计费服务器的IP地址、授权服务器的IP地址、端口号、密钥等属性。说明:RADIUS协议的认证和授权是绑定在一起的,不能使用RADIUS单独进行授权。配置AAA方案认证方案aaaauthentication-schemeauthentication-scheme-name,authentication-mode{hwtacacs

9、radius

10、local}*[none]authentication-super{hwtacacs

11、radius

12、super}*[none]或者authenticationsupernone配置用户级别提升

13、认证方案。none表示无需认证,直接让

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。