一,AAA認證概述:
AAA(認證Authentication,授權Authorization,記帳Accounting)
企業應先制定對客戶信用評價的內容、事項和指標體系標準,這套標準應是參閱一定的理論研究資料和大量實踐總結出來的客戶信用特徵的集中體現,在下面“信用評價”部分將較詳細的介紹。然後對照標準,用計分法對客戶信用進行評估,可分六個等級。滿分100分,>90—100分、AAA級,>80—90分、AA級,>70—80分、A級,>60—70分、BBB級,>50—60分、BB級,>40—50分、B級。國際國內通行的企業信用等級是三等九級制或四等十級制,由於CCC、CC、C和D級是屬於信用警示企業和失信企業,因此要避免和這些企業進行信用交易,剩下的可考慮信用交易的企業只是B級以上的六種。
AAA系統的簡稱:
認證(Authentication):驗證用戶的身份與可使用的網絡服務;
授權(Authorization):依據認證結果開放網絡服務給用戶;
計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。
AAA-----身份驗證 (Authentication)、授權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網絡安全的系統。奏見authentication。authorization和accounting
常用的AAA協議是Radius,參見RFC 2865,RFC 2866。
另外還有 HWTACACS協議(Huawei Terminal Access Controller Access Control System)協議。HWTACACS是華爲對TACACS進行了擴展的協議
HWTACACS是在TACACS(RFC1492)基礎上進行了功能增強的一種安全協議。該協議與RADIUS協議類似,主要是通過“客戶端—服務器”模式與HWTACACS服務器通信來實現多種用戶的AAA功能。
HWTACACS與RADIUS的不同在於:
l RADIUS基於UDP協議,而HWTACACS基於TCP協議。
l RADIUS的認證和授權綁定在一起,而HWTACACS的認證和授權是獨立的。
l RADIUS只對用戶的密碼進行加密,HWTACACS可以對整個報文進行加密。
認證方案與認證模式
AAA支持本地認證、不認證、RADIUS認證和HWTACACS認證四種認證模式,並允許組合使用。
組合認證模式是有先後順序的。例如,authentication-mode radius local表示先使用RADIUS認證,RADIUS認證沒有響應再使用本地認證。
當組合認證模式使用不認證時,不認證(none)必須放在最後。例如:authentication-mode radius local none。
認證模式在認證方案視圖下配置。當新建一個認證方案時,缺省使用本地認證。
授權方案與授權模式
AAA支持本地授權、直接授權、if-authenticated授權和HWTACACS授權四種授權模式,並允許組合使用。
組合授權模式有先後順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授權,HWTACACS授權沒有響應再使用本地授權。
當組合授權模式使用直接授權的時候,直接授權必須在最後。例如:authorization-mode hwtacacs local none
授權模式在授權方案視圖下配置。當新建一個授權方案時,缺省使用本地授權。
RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。
計費方案與計費模式
AAA支持六種計費模式:本地計費、不計費、RADIUS計費、HWTACACS計費、同時RADIUS、本地計費以及同時HWTACACS。
----------------------------------------------------------------------
AAA ,認證(Authentication):驗證用戶的身份與可使用的網絡服務;授權(Authorization):依據認證結果開放網絡服務給用戶;計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。整個系統在網絡管理與安全問題中十分有效。
首先,認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行權限審覈。認證的原理是每個用戶都有一個唯一的權限獲得標準。由AAA服務器將用戶的標準同數據庫中每個用戶的標準一一覈對。如果符合,那麼對用戶認證通過。如果不符合,則拒絕提供網絡連接。
接下來,用戶還要通過授權來獲得操作相應任務的權限。比如,登陸系統後,用戶可能會執行一些命令來進行操作,這時,授權過程會檢測用戶是否擁有執行這些命令的權限。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中。一旦用戶通過了認證,他們也就被授予了相應的權限。 最後一步是賬戶,這一過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發流量等等。可以根據連接過程的統計日誌以及用戶信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行賬戶過程。
驗證授權和帳戶由AAA服務器來提供。AAA服務器是一個能夠提供這三項服務的程序。當前同AAA服務器協作的網絡連接服務器接口是“遠程身份驗證撥入用戶服務 (RADIUS)”。
目前最新的發展是Diameter協議。
二,ACS概述
ACS:思科安全訪問控制服務器 思科安全訪問控制服務器(Cisco Secure Access Control Sever)是一個高度可擴展、高性能的訪問控制服務器,提供了全面的身份識別網絡解決方案,是思科基於身份的網絡服務(IBNS)架構的重要組件。Cisco Secure ACS通過在一個集中身份識別聯網框架中將身份驗證、用戶或管理員接入及策略控制相結合,強化了接入安全性。這使企業網絡能具有更高靈活性和移動性,更爲安全且提高用戶生產率。Cisco Secure ACS 支持範圍廣泛的接入連接類型,包括有線和無線局域網、撥號、寬帶、內容、存儲、VoIP、防火牆和 ***。Cisco Secure ACS 是思科網絡准入控制的關鍵組件。
適用場合:
◆集中控制用戶通過有線或者無線連接登錄網絡
◆設置每個網絡用戶的權限
◆記錄記帳信息,包括安全審查或者用戶記帳
◆設置每個配置管理員的訪問權限和控制指令
◆用於 Aironet 密鑰重設置的虛擬 VSA
◆安全的服務器權限和加密
◆通過動態端口分配簡化防火牆接入和控制
◆統一的用戶AAA服務
三,實驗案例
1,實驗拓撲
2,交換機配置
[s4]radius scheme xxx 方案名稱
[s4-radius-xxx]primary authentication 192.168.101.100 認證服務器ip
[s4-radius-xxx]key authentication 123456認證密鑰
[s4-radius-xxx]server-type huawei 服務類型
[s4-radius-xxx]user-name-format without-domain
不加域名驗證
[s4-radius-xxx]domain tec 設立tec域
[s4-isp-tec]radius-scheme xxx 引用方案
[s4-isp-tec]access-limit enable 10 允許十個用戶通過
[s4]user-interface vty 0 4 口令驗證
[s4]authentication-mode scheme 認證模式方案
server2003配置:
將華爲資源加載到aaa服務器
D:\Documents and Settings\Administrator>cd D:\Program Files\CiscoSecure ACS v4.0
\bin
D:\Program Files\CiscoSecure ACS v4.0\bin>csu.exe -addUDV 0
D:\Program Files\CiscoSecure ACS v4.0\bin>CSUtil.exe -addUDV 0 c:\h3c.ini
server2003:3A服務器配置
測試SSH只需將服務類型改爲標準( standard)並在AAA服務器中ACS端口開啓22端口即可
基於端口認證:
端口驗證
[s4]dot1x
[s4]int e0/8
[s4-Ethernet0/8]dot1x
將客戶機放在8端口看pingt結果
3,路由器
AAA服務器配置
路由器配置:
[Router]radius server 192.168.101.100
[Router]radius shared-key 123456
[Router]login-method authentication-mode telnet default 允許telnet
[Router]aaa authentication-scheme login default radius 通過radius方案驗證
測試結果:
4,防火牆
AAA配置與交換機路由器基本相同
防火牆配置
[H3C]radius scheme xxx
[H3C-radius-xxx]primary authentication 192.168.101.100
[H3C-radius-xxx]key authentication 123456
[H3C-radius-xxx]server-type extended
[H3C-radius-xxx]user-name-format without-domain
[H3C]domain tec
[H3C-isp-tec]radius-scheme xxx
[H3C-isp-tec]accounting optional
[H3C-isp-tec]access-limit enable 10
[H3C]use vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
測試結果:
5,MAC地址認證:
MAC地址認證:
交換機配置:
[Quidway]mac-authentication 系統視圖下啓用mac地址驗證
[Quidway]int eth1/0/1
[Quidway-Ethernet1/0/1]mac-authentication端口下起mac地址驗證
接到1口發現不通
[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen驗證模式
[Quidway]radius scheme xxx方案
[Quidway-radius-xxx]primary authentication 192.168.101.100驗證服務器
[Quidway-radius-xxx]key authentication 123456鑰匙
[Quidway-radius-xxx]server-type standard服務器類型標準
[Quidway-radius-xxx]user-name-format without-domain 用戶名格式不帶域名
[Quidway]domain system默認域
[Quidway-isp-system]radius-scheme xxx引用方案
[Quidway-isp-system]accounting optional審計
[Quidway-isp-system]access-limit enable 10限制用戶數目
AAA服務器配置:
客戶機測試結果:
通過驗證PING通