(一)AAA原理
AAA基本原理
AAA 是Authentication Authorization and Accounting (認證、授權和計費)的簡稱,它提供了對認證、授權和計費功能進行配置的一致性框架。
AAA 以模塊方式提供以下服務:
z 認證:驗證用戶是否可獲得訪問權,可選擇使用RADIUS協議或Local。身份認證是在允許用戶訪問網絡和網絡服務之前對其身份進行識別的一種方法。通過定義一個身份認證方法的命名列表並將其應用於各個接口來配置 AAA。
方法列表定義了身份認證類型和執行順序。在執行任何一個已定義的身份認證之前,必須將方法列表應用於一個特定的接口。默認方法列表是一個例外。如果沒有其他的方法列表被定義,則默認方法列表自動應用於所有接口。已定義的方法列表將覆蓋默認方法列表。除了本地的、線路密碼和允許身份認證之外的所有身份認證方法必須通過 AAA 來定義。
z 授權:授權用戶可使用哪些服務。AAA 授權通過定義一系列的屬性對來實現,這些屬性對描述了用戶被授權執行的操作。這些屬性對可以存放在網絡設備上,也可以遠程存放在 RADIUS 安全服務器上。所有授權方法都必須通
過 AAA 定義。當 AAA 授權啓用時,自動應用於網絡設備上的所有接口。
z 記帳:記錄用戶使用網絡資源的情況。當 AAA 記帳被啓用時,網絡設備便開始以統計記錄的方式向 RADIUS 安全服務器發送用戶使用網絡資源的情況。每個記帳記錄都是以屬性對的方式組成,並存放在安全服務器上,這些記錄可以通過專門軟件進行讀取分析,從而實現對用戶使用網絡資源的情況進行記帳、統計、跟蹤。所有的記帳方法必須通過AAA來定義。當AAA記帳啓用時,自動應用於網絡設備所有接口。
儘管AAA是最主要的訪問控制方法,RGNOS同時也提供了在AAA範圍之外的簡單控制訪問,如本地用戶名身份認證、線路密碼身份認證等。不同之處在於它們提供對網絡保護程度不一樣,AAA提供更高級別的安全保護。
使用 AAA 有以下優點:
z 靈活性和可控制性強
z 可擴充性
z 標準化認證
z 多個備用系統
AAA基本原理
AAA 可以對單個用戶(線路)或單個服務器動態配置身份認證、授權以及記帳類型。通過創建方法列表來定義身份認證、記帳、授權類型,然後將這些方法列表應用於特定的服務或接口。
方法列表
由於對用戶進行身份認證可以使用不同的方法,您需要使用方法列表定義一個使用不同方法對用戶進行身份認證的前後順序。方法列表可以定義一個或多個用於身份認證的安全協議,這樣可以確保在第一個方法失敗時,有備用系統用於身份認證。RGNOS 使用方法列表中列出的第一個方法認證用戶的身份,如果該方法無應答,則選擇方法列表中的下一個方法。這個過程一直持續下去,直到與列出的某種身份認證方法成功地實現通信或用完方法列表。如果用完方法列表而還沒有成功實現通信,則身份認證宣告失敗。
上圖說明了一個典型的 AAA 網絡配置,它包含兩臺安全服務器:R1 和 R2 是RADIUS 服務器。假設系統管理員已定義了一個方法列表,在這個列表中,R1 首先被用來獲取身份信息,然後是 R2,最後是訪問服務器上的本地用戶名數據庫。如果一個遠程 PC用戶試圖撥號進入網絡,網絡訪問服務器首先向R1查詢身份認證信息,假如用戶通過了R1的身份認證,R1將向網絡訪問服務器發出一個ACCEPT應答,這樣用戶即獲准訪問網絡。如果 R1 返回的是 REJECT 應答,則拒絕用戶訪問網絡,斷開連接。如果 R1 無應答,網絡訪問服務器就將它看作 TIMEOUT,並向 R2 查詢身份認證信息。這個過程會一直在餘下的指定方法中持續下去,直到用戶通過身份認證、被拒絕或對話被中止。如果所有的方法返回 TIMEOUT,則認證失敗,連接將被斷開。
AAA配置基本步驟
首先您必須決定要採用哪種安全解決方案,而且需要評估特定網絡中的潛在安全風險,並選擇適當的手段來阻止未經授權的訪問。有關安全風險評估和可能採取的安全解決方案請參考“安全性概述”。我們建議,在可能的情況下,儘量使用 AAA確保網絡安全。
(二)實例
實例1:華爲交換機S2000:
1)telnet
交換機上的配置:
radius scheme xxx
server-type huawei 驗證類型
primary authentication 192.168.20.100 主AAA服務器
accounting optional
key authentication 123456 與驗證服務器的驗證密碼
user-name-format without-domain 驗證時不加域名
domain xxx 建一個域
radius-scheme xxx
思科ACS上的配置:
2)用ssh登陸的配置:
interface Vlan-interface1
ip address 192.168.10.10 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.10.11
rsa local-key-peer create
ssh authentication-type default all
ssh user ssh authentication-type password
ssh user ssh service-type stelnet
user-interface vty 0 4
authentication-mode scheme
protocol inbound all
radius scheme xxx
server-type standard
primary authentication 192.168.20.100
key authentication 123456
user-name-format without-domain
domain xxx
scheme radius-scheme xxx
access-limit enable 100
accounting optional
思科ACS上的配置:
實例2:華爲防火牆
radius scheme xxx
server-type standard
primary authentication 192.168.20.100
key authentication 123456
user-name-format without-domain
domain xxx
scheme radius-scheme xxx
access-limit enable 10
accounting optional
interface Ethernet0/0
ip address 192.168.10.12 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.10.11 preference 60
ssh authentication-type default all
ssh user ssh authentication-type password
ssh user ssh service-type stelnet
user-interface vty 0 4
authentication-mode scheme
用戶名是上面再思科ACS上的telnet和ssh
實例3:華爲路由器
telnet:
radius server 192.168.20.100
radius shared-key 123456
aaa-enable
aaa authentication-scheme login default radius
aaa accounting-scheme optional
用戶名是上面再思科ACS上的telnet
