aaa認證伺服器搭建
A. 什麼是網路設備AAA認證怎麼實現的
網路設備AAA認證是認證(Authentication)、授權(Authorization)和審計(Accounting)的簡稱,是網路安全中進行訪問控制的一種安全管理機制,提供認證、授權和審計三種安全服務。
認證:確認訪問網路的遠程用戶的身份,判斷訪問者是否為合法的網路用戶。
授權:對不同用戶賦予不同的許可權,限制用戶可以使用的服務。例如用戶成功登錄伺服器後,管理員可以授權用戶對伺服器中的文件進行訪問和列印操作。
審計:記錄用戶使用網路服務中的所有操作,包括使用的服務類型、起始時間、數據流量等;
寧盾AAA認證系統是一款軟體產品,需要搭載在虛擬機或者伺服器上,支持Linux,及Windows系統。
B. 3A伺服器是什麼
基本信息
3A認證,即AAA認證 AAA:分別為Authentication、Authorization、Accounting 認證(Authentication):驗證用戶的身份與可使用的網路服務; 授權(Authorization):依據認證結果開放網路服務給用戶; 計帳(Accounting):記錄用戶對各種網路服務的用量,並提供給計費系統。
詳解
AAA ,認證(Authentication):驗證用戶的身份與可使用的網路服務;授權(Authorization):依據認證結果開放網路服務給用戶;計帳(Accounting):記錄用戶對各種網路服務的用量,並提供給計費系統。整個系統在網路管理與安全問題中十分有效。 首先,認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標准。由AAA伺服器將用戶的標准同資料庫中每個用戶的標准一一核對。如果符合,那麼對用戶認證通過。如果不符合,則拒絕提供網路連接。 接下來,用戶還要通過授權來獲得操作相應任務的許可權。比如,登陸系統後,用戶可能會執行一些命令來進行操作,這時,授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中。一旦用戶通過了認證,他們也就被授予了相應的許可權。最後一步是帳戶,這一過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發流量等等。可以根據連接過程的統計日誌以及用戶信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行帳戶過程。 驗證授權和帳戶由AAA伺服器來提供。AAA伺服器是一個能夠提供這三項服務的程序。當前同AAA伺服器協作的網路連接伺服器介面是「遠程身份驗證撥入用戶服務 (RADIUS)」。 目前最新的發展是Diameter協議。 AAA是Cisco開發的一個提供網路安全的系統。 常用的AAA協議是Radius,參見RFC 2865,RFC 2866。 另外還有 HWTACACS協議(Huawei Terminal Access Controller Access Control System)協議。HWTACACS是華為對TACACS進行了擴展的協議 HWTACACS是在TACACS(RFC1492)基礎上進行了功能增強的一種安全協議。該協議與RADIUS協議類似,主要是通過「客戶端—伺服器」模式與HWTACACS伺服器通信來實現多種用戶的AAA功能。HWTACACS與RADIUS的不同在於:l RADIUS基於UDP協議,而HWTACACS基於TCP協議。l RADIUS的認證和授權綁定在一起,而HWTACACS的認證和授權是獨立的。l RADIUS只對用戶的密碼進行加密,HWTACACS可以對整個報文進行加密。
C. H3C S3600交換機AAA認證配置
1.對於交換機,最好console不要配置認證,萬一出現問題(如人為設置錯誤等),你console無法進去,最好配置個本地用戶。
2.配置tacacs就可以了。沒必要配置radius(radius還不能對命令進行鑒權),tacacs,完全可以對用戶、等級(exec)、命令(command)進行授權。
給個配置給你參考(華為),我這配置,對於console口是沒有去aaa伺服器的。
domain mydepart
scheme hwtacacs-scheme mydepart local
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable
hwtacacs scheme mydepart
primary authentication 192.168.1.2
secondary authentication 192.168.1.3
primary authorization 192.168.1.2
secondary authorization 192.168.1.3
primary accounting 192.168.1.2
secondary accounting 192.168.1.3
key authentication mykey
key authorization mykey
key accounting mykey
user-name-format without-domain
local-user myuser
#
super password level 3 cipher sdfsdfgsdfs
#
hwtacacs nas-ip 192.168.1.1
user-interface vty 0 4
acl 2000 inbound
authentication-mode scheme command-authorization
user privilege level 3
idle-timeout 5 0
protocol inbound telnet
user-interface con 0
authentication-mode password
set authentication password cipher sdfsdfsdfwer
idle-timeout 5 0