aaa认证服务器搭建
A. 什么是网络设备AAA认证怎么实现的
网络设备AAA认证是认证(Authentication)、授权(Authorization)和审计(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和审计三种安全服务。
认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作。
审计:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等;
宁盾AAA认证系统是一款软件产品,需要搭载在虚拟机或者服务器上,支持Linux,及Windows系统。
B. 3A服务器是什么
基本信息
3A认证,即AAA认证 AAA:分别为Authentication、Authorization、Accounting 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
详解
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。 首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。 接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。 目前最新的发展是Diameter协议。 AAA是Cisco开发的一个提供网络安全的系统。 常用的AAA协议是Radius,参见RFC 2865,RFC 2866。 另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。HWTACACS与RADIUS的不同在于:l RADIUS基于UDP协议,而HWTACACS基于TCP协议。l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
C. H3C S3600交换机AAA认证配置
1.对于交换机,最好console不要配置认证,万一出现问题(如人为设置错误等),你console无法进去,最好配置个本地用户。
2.配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权),tacacs,完全可以对用户、等级(exec)、命令(command)进行授权。
给个配置给你参考(华为),我这配置,对于console口是没有去aaa服务器的。
domain mydepart
scheme hwtacacs-scheme mydepart local
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable
hwtacacs scheme mydepart
primary authentication 192.168.1.2
secondary authentication 192.168.1.3
primary authorization 192.168.1.2
secondary authorization 192.168.1.3
primary accounting 192.168.1.2
secondary accounting 192.168.1.3
key authentication mykey
key authorization mykey
key accounting mykey
user-name-format without-domain
local-user myuser
#
super password level 3 cipher sdfsdfgsdfs
#
hwtacacs nas-ip 192.168.1.1
user-interface vty 0 4
acl 2000 inbound
authentication-mode scheme command-authorization
user privilege level 3
idle-timeout 5 0
protocol inbound telnet
user-interface con 0
authentication-mode password
set authentication password cipher sdfsdfsdfwer
idle-timeout 5 0