42-AAA
本章节下载: 42-AAA (261.57 KB)
目 录
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图1-1所示。
图1-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
图1-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。
这三种安全服务功能的具体作用如下:
· 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
· 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
AAA可以通过多种协议来实现,例如RADIUS协议或HWTACACS协议,在实际应用中,RADIUS协议也是最常使用的。RADIUS的详细介绍请参见本手册的“RADIUS”。HWTACACS的详细介绍请参见本手册的“HWTACACS”。
一个ISP(Internet Service Provider,互联网服务提供商)域是由属于同一个ISP的用户构成的群体。
在“userid@isp-name”形式的用户名中,“userid”为用于身份认证的用户名,“isp-name”为域名。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置包括AAA策略(一组不同的认证/授权/计费方案)在内的属性集。
对于设备来说,每个接入用户都属于一个ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。
· 进行本地认证时,需要配置本地用户,具体配置请参见本手册的“用户”。
· 进行RADIUS认证/授权或计费时,需要已经创建RADIUS方案,通过引用已配置的RADIUS方案来实现认证/授权或计费。有关RADIUS方案的配置请参见本手册的“RADIUS”。
· 进行HWTACACS认证、授权、计费时,需要已经创建HWTACACS方案,通过引用已配置的HWTACACS方案来实现认证、授权、计费。有关HWTACACS方案的配置请参见本手册的“HWTACACS”。
AAA配置的推荐步骤如表1-1所示。
表1-1 AAA配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置ISP域,并指定其中一个为缺省ISP域 缺省情况下,系统存在名为system的缺省ISP域 |
||
2 |
可选 配置对ISP域中不同类型的用户所使用的认证方法 缺省情况下,所有类型的用户采用Local认证方法 |
AAA将用户类型分为:LAN-access用户(如802.1X认证、MAC地址认证用户)、Login用户(如SSH、Telnet、FTP、终端接入用户)、Portal用户、Command用户 |
|
3 |
可选 配置对ISP域中不同类型的用户所使用的授权方法 缺省情况下,所有类型的用户采用Local授权方法 |
||
4 |
必选 配置对ISP域中不同类型的用户所使用的计费方法 缺省情况下,所有类型的用户采用Local计费方法 |
(1) 在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如下图所示。
(2) 配置ISP域,详细配置如下表所示。
(3) 单击<应用>按钮完成操作。
表1-2 ISP域的详细配置
说明 |
|
域名 |
设置ISP域的名称,用于标识域 可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域 |
缺省域 |
设置该ISP域是否为缺省域 · Enable:设置为缺省域 · Disable:设置为非缺省域 同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“认证”页签,进入如下图所示的页面。
(3) 配置ISP域AAA认证方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表1-3 ISP域AAA认证方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default认证 |
设置所有类型用户的缺省认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default认证,即恢复缺省情况(本地认证) |
方案名称 |
|
备选方法 |
|
LAN-access认证 |
设置LAN-access用户的认证方法和备选方法 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
Login认证 |
设置Login用户的认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
PPP认证 |
(暂不支持)设置PPP用户的认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置PPP认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
Portal认证 |
(暂不支持)设置Portal用户的认证方法 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Portal认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方案 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“授权”页签,进入如下图所示的页面。
(3) 配置ISP域AAA授权方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表1-4 ISP域AAA授权方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default授权 |
设置所有类型用户的缺省授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default授权,即恢复缺省情况(本地授权) |
方案名称 |
|
备选方法 |
|
LAN-access授权 |
设置LAN-access用户的授权方法和备选方法 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Login授权 |
设置Login用户的授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
PPP授权 |
(暂不支持)设置PPP用户的授权方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置PPP授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Portal授权 |
(暂不支持)设置Portal用户的授权方法 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Portal授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Command授权 |
(暂不支持)设置Command用户的授权方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Not Set:不设置Portal授权,此时缺省使用Default授权的配置 |
方案名称 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“计费”页签,进入如下图所示的页面。
(3) 配置ISP域AAA计费方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表1-5 ISP域AAA计费方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
计费可选开关 |
设置是否开启计费可选功能 · 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断 · 对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文 |
Default计费 |
设置所有类型用户的缺省计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default计费,即恢复缺省情况(本地计费) |
方案名称 |
|
备选方法 |
|
LAN-access计费 |
设置LAN-access用户的计费方法和备选方法 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
Login计费 |
设置Login用户的计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
PPP计费 |
(暂不支持)设置PPP用户的计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置PPP计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
Portal计费 |
(暂不支持)设置Portal用户的计费方法 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Portal计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
如下图所示,配置Switch实现对登录Switch的Telnet用户进行本地认证、授权和计费。
图1-6 AAA配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置本地用户。
步骤1:在导航栏中选择“设备 > 用户管理”。
步骤2:单击“创建用户”页签,进入创建用户的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入用户名为“telnet”。
· 选择访问等级为“Management”。
· 输入密码为“abcd”。
· 输入确认密码为“abcd”。
· 选择加密方式为“不可逆”。
· 选择服务类型为“Telnet服务”前的复选框。
步骤4:单击<应用>按钮完成操作。
(3) 配置ISP域test。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如下图所示。
步骤3:单击<应用>按钮完成操作。
图1-8 配置ISP域test
(4) 配置ISP域的AAA方案为本地认证。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login认证”前的复选框,选择认证方法为“Local”。
图1-9 配置ISP域的AAA方案为本地认证
步骤4:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA方案为本地授权。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“授权”页签,进入AAA授权方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login授权”前的复选框,选择授权方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-11 配置ISP域的AAA方案为本地授权
(6) 配置ISP域的AAA方案为本地计费。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“计费”页签,进入AAA计费方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login计费”前的复选框,选择计费方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-12 配置ISP域的AAA方案为本地计费
使用Telnet登陆时输入用户名为telnet@test,以使用test域进行认证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!