- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-AAA配置
本章节下载: 08-AAA配置 (269.61 KB)
AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。
· 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
AAA采用客户端/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,负责验证用户身份与管理用户接入,服务器上则集中管理用户信息。
当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时,首先需要通过AAA认证,而NAS就起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器。服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS根据服务器返回的结果,决定是否允许用户访问外部网络、获取网络资源。
在具体实现中,一个ISP域对应着设备上一套实现AAA的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
AAA支持以下认证方法:
· 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
· 本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
AAA支持以下授权方法:
· 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
· 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
AAA支持以下计费方法:
· 不计费:不对用户计费。
· 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
对于login用户,AAA还可以对其提供以下服务,用于提高对设备操作的安全性:
· 命令行授权:用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。关于命令行授权的详细介绍请参考“基础配置指导”中的“对登录用户的控制”。
· 命令行计费:若未开启命令行授权功能,则计费服务器对用户执行过的所有有效命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。关于命令行计费的详细介绍请参考“基础配置指导”中的“对登录用户的控制”。
· 用户角色切换认证:在不退出当前登录、不断开当前连接的前提下,用户将当前的用户角色切换为其它用户角色时,只有通过服务器的认证,该切换操作才被允许。关于用户角色切换的详细介绍请参考“基础配置指导”中的“RBAC”。
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名和用户类别为用户的唯一标识。本地用户分为两类,一类是设备管理用户;另一类是网络接入用户。设备管理用户供设备管理员登录设备使用,网络接入用户供通过设备访问网络服务的用户使用。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。具体步骤是,创建一个本地用户并进入本地用户视图,然后在本地用户视图下配置相应的用户属性,可配置的用户属性包括:
· 服务类型
用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证。
· 用户状态
用于指示是否允许该用户请求网络服务器,包括active和block两种状态。active表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。
· 最大用户数
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入。
· 所属的用户组
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性)。
· 绑定属性
用户认证时需要检测的属性,用于限制接入用户的范围。若用户的实际属性与设置的绑定属性不匹配,则不能通过认证,因此在配置绑定属性时要考虑该用户是否需要绑定某些属性。
· 用户授权属性
用户认证通过后,接入设备给用户下发授权属性。由于可配置的授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性。
本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户视图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。
授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置,各视图下的配置优先级顺序从高到低依次为:本地用户视图-->用户组视图。
(1) 进入系统视图。
system-view
(2) 添加设备管理类本地用户,并进入设备管理类本地用户视图。
local-user user-name [ class manage ]
(3) 设置本地用户的密码。
password [ { hash | simple } string ]
可以不为本地用户设置密码。为提高用户账户的安全性,建议设置本地用户密码。
(4) 设置本地用户可以使用的服务类型。
service-type { ftp | { ssh | telnet | terminal } * }
缺省情况下系统对用户授权SSH服务和Telnet服务。
(5) (可选)设置本地用户的状态。
state { active | block }
缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务。
(6) (可选)设置使用当前本地用户名接入设备的最大用户数。
access-limit max-user-number
缺省情况下,不限制使用当前本地用户名接入的用户数。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
(7) (可选)设置本地用户的授权属性。
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
缺省情况下:
¡ 授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
¡ 由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator。
(8) (可选)设置设备管理类本地用户的密码管理属性。请至少选择其中一项进行配置。
¡ 设置密码老化时间。
password-control aging aging-time
¡ 设置密码最小长度。
password-control length length
¡ 设置密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
¡ 设置密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
¡ 设置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用本地用户所属用户组的密码管理策略。
(9) (可选)设置本地用户所属的用户组。
group group-name
缺省情况下,本地用户属于用户组system。
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
(3) 设置用户组的授权属性。
authorization-attribute { idle-cut minutes | work-directory directory-name } *
缺省情况下,未设置用户组的授权属性。
完成上述配置后,在任意视图下执行display命令可以显示配置后本地用户及本地用户组的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除待审批来宾用户注册信息。
表1-1 本地用户及本地用户组显示和维护
|
操作 |
命令 |
|
显示本地用户的配置信息和在线用户数的统计信息 |
display local-user [ class manage | idle-cut { disable | enable } | service-type { ftp | ssh | telnet | terminal } | state { active | block } | user-name user-name class manage ] |
|
显示本地用户组的相关配置 |
display user-group { all | name group-name } |
(1) 进入系统视图。
system-view
(2) 进入ISP域视图。
domain name isp-name
(3) (可选)为当前ISP域配置缺省的认证方法。
authentication default { local [ none ] | none }
缺省情况下,当前ISP域的缺省认证方法为local。
(4) 为指定类型的用户或服务配置认证方法。
¡ 为login用户配置认证方法。
authentication login { local [ none ] | none }
缺省情况下,login用户采用缺省的认证方法。
(1) 进入系统视图。
system-view
(2) 进入ISP域视图。
domain name isp-name
(3) (可选)为当前ISP域配置缺省的授权方法。
authorization default { local [ none ] | none }
缺省情况下,当前ISP域的缺省授权方法为local。
(4) 为指定类型的用户或服务配置授权方法。
¡ 为login用户配置授权方法。
authorization login { local [ none ] | none }
缺省情况下,login用户采用缺省的授权方法。
(1) 进入系统视图。
system-view
(2) 进入ISP域视图。
domain name isp-name
(3) (可选)为当前ISP域配置缺省的计费方法。
accounting default { local [ none ] | none }
缺省情况下,当前ISP域的缺省计费方法为local。
(4) 为指定类型的用户配置计费方法。
¡ 为login用户配置计费方法。
accounting login { local [ none ] | none }
缺省情况下,login用户采用缺省的计费方法。
完成上述配置后,在任意视图下执行display命令可以显示配置后AAA的运行情况,通过查看显示信息验证配置的效果。
表1-2 ISP域显示和维护
|
操作 |
命令 |
|
显示所有或指定ISP域的配置信息 |
display domain [ name isp-name ] |
通过配置同时在线的最大用户连接数,可以限制采用指定登录方式(FTP、SSH、Telnet等)同时接入设备的在线用户数。
该配置对于通过任何一种认证方式(none、password或者scheme)接入设备的用户都生效。
(1) 进入系统视图。
system-view
(2) 配置同时在线的最大用户连接数。
aaa session-limit { ftp | ssh | telnet } max-sessions
缺省情况下,最大用户连接数为32。
为了提高系统的安全性,用户通过Telnet、SSH、NETCONF over SSH、NETCONF over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
· 对于通过Telnet、SSH方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡ 密码组合检测策略。
¡ 密码最小长度限制。
¡ 密码复杂度检查策略。
· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡ 用户密码为弱密码。
¡ 用户密码为缺省密码。
¡ 全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡ 用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
· 关闭了密码修改周期性提醒日志功能。
· 用户密码修改为符合系统安全要求的密码。
· 密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
· 密码检查策略的参数设置发生变化。
当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-control composition、password-control length、password-control complexity命令修改。关于密码检查策略的具体介绍,请参见“安全命令参考”的“Password Control”。
(1) 进入系统视图。
system-view
(2) 开启密码修改周期性提醒日志功能。
local-server log change-password-prompt
缺省情况下,密码修改周期性提醒日志功能处于开启状态。
配置Router实现对登录Router的SSH用户进行本地认证和授权,并授权该用户具有用户角色network-admin。
图1-1 SSH用户本地认证/授权配置组网图
配置各接口的IP地址,且确保各设备之间路由可达。
# 创建本地RSA及DSA密钥对。
<Router> system-view
[Router] public-key local create rsa
[Router] public-key local create dsa
# 使能SSH服务器功能。
[Router] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
# 创建设备管理类本地用户ssh。
[Router] local-user ssh class manage
# 配置该本地用户的服务类型为SSH。
[Router-luser-manage-ssh] service-type ssh
# 配置该本地用户密码为明文123456TESTplat&!。
[Router-luser-manage-ssh] password simple 123456TESTplat&!
# 配置该本地用户的授权用户角色为network-admin
[Router-luser-manage-ssh] authorization-attribute user-role network-admin
[Router-luser-manage-ssh] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为本地认证和本地授权。
[Router] domain name bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
用户向Router发起SSH连接,按照提示输入用户名ssh@bbb及正确的密码后,可成功登录Router,并具有用户角色network-admin所拥有的命令行执行权限。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
