碼上快樂

相關內容    簡體    繁體

AAA原理與配置

本文轉載自   查看原文   2020-03-12 22:22   683    HCNA-R&S

概述

  AAA是Authentication(認證)Authorization(授權)和 Accounting(計費)的簡稱,它提供了 認證、授權、計費 三種安全功能。AAA可以通過多種協議來實現,目前華為設備支持基於RADIUS(Remote Authentication Dial-In User Service)協議 或 HWTACACS(Huawei Terminal Access Controller Access Control System)協議 來實現AAA。

應用場景

  

 

 

 

例如,企業總部需要對服務器的資源訪問進行控制,只有通過認證的用戶才能訪問特定的資源,並對用戶使用資源的情況進行記錄。

  • NAS為網絡接入服務器,負責集中收集和管理用戶的訪問請求。
  • AAA服務器表示遠端的Radius 或 HWTACACS服務器,負責制定認證、授權和計費方案。

認證方式

AAA有三種認證方式:

  • 不認證:完全信任用戶,不對用戶身份進行合法性檢查。
  • 本地認證:將本地用戶信息(包括用戶名、密碼和各種屬性)配置在NAS上。缺省為本地認證。
  • 遠端認證:將用戶信息(包括用戶名、密碼和各種屬性)配置在認證服務器上。

    注:如果一個認證方案采用多種認證方式,這些認證方式按配置順序生效。

授權方式

AAA支持以下三種授權方式:

  • 不授權:不對用戶進行授權處理。
  • 本地授權:根據NAS上配置的本地用戶賬號的相關屬性進行授權。
  • 遠端授權: 
  1. HWTACACS授權,使用TACACS服務器對用戶授權。
  2. RADIUS授權,對通過RADIUS服務器認證的用戶授權。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。

計費方式

AAA支持以下兩種計費方式:

  • 不計費:為用戶提供免費上網服務,不產生相關活動日志。
  • 遠端計費:通過RADIUS服務器或HWTACACS服務器進行遠端計費

 AAA域

  

 

 

  設備基於域來對用戶進行管理,每個域都可以配置不同的認證、授權和計費方案,用於對該域下的用戶進行認證、授權和計費。每個用戶都屬於某一個域。用戶屬於哪個域是由用戶名中的域名分隔符@后的字符串決定。例如,如果用戶名是user@huawei,則用戶屬於huawei域。如果用戶名后不帶有@,則用戶屬於系統缺省域default。
  ARG3系列路由設備支持兩種缺省域:

  1.   default域普通用戶的缺省域。
  2.   default_admin域 為管理用戶的缺省域。

  用戶可以修改但不能刪除這兩個缺省域。默認情況下,設備最多支持32個域,包括兩個缺省域。

AAA配置

  

 

 

[RTA]aaa                             // 進入aaa視圖
[RTA-aaa]authentication-scheme auth1            // 創建認證方案
[RTA-aaa-authen-auth1]authentication-mode local     // 配置認證模式 
[RTA-aaa-authen-auth1]quit
[RTA-aaa]authorization-scheme auth2            // 不同的認證方案    
[RTA-aaa-author-auth2]authorization-mode local 
[RTA-aaa-author-auth2]quit
[RTA-aaa]domain huawei                    // 創建認證域
[RTA-aaa-domain-huawei]authentication-scheme auth1 
[RTA-aaa-domain-huawei]authorization-scheme auth2
[RTA-aaa-domain-huawei]quit
[RTA-aaa]local-user huawei@huawei password cipher huawei123    // 接口綁定認證域
[RTA-aaa]local-user huawei@huawei service-type telnet 
[RTA-aaa]local-user huawei@huawei privilege level 0
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa
[RTA]display domain name huawei
  Domain-name                     : huawei         
  Domain-state                    : Active
  Authentication-scheme-name      : auth1
  Accounting-scheme-name          : default
  Authorization-scheme-name       : auth2
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group                      : -

 

<Huawei>telnet 101.1.1.1
  Press CTRL_] to quit telnet mode
  Trying 101.1.1.1 ...
  Connected to 101.1.1.1 ...
Login authentication
Username:huawei@huawei          // 客戶端 telnet 也要加@符號
Password:

  


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 AAA原理及配置 Cisco配置aaa驗證 在思科上配置AAA認證 華為AAA認證詳解及配置 在思科路由器上配置AAA認證 在思科模擬器上配置AAA認證 HCNA配置console線路密碼aaa認證 在思科路由器上配置AAA認證 eNSP學習筆記(2)——Telnet配置與aaa認證 基於思科模擬器的AAA配置與驗證
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM