云计算运维

Windows Server 2003 - Windows Server 2019 系统工具,Linux系统脚本,Mysql、Nginx、PHP、Redis、K8S、Seafile、Weblogic 、Jenkins、DNS、DHCP、FTP、IIS、Zookeeper、Rabbitmq、Oracle、Tomcat、Mavrn等服务搭建维护,请关注我.

AAA原理与配置_路由交换


AAA是Authentication(认证),Authorization(授权),和Accounting(计费)的简称,提供了认证、授权、计费三种功能。AAA可以通过多种协议来实现。

目前华为设置支持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA。

AAA是一种提供认证、授权和计费的安全技术。该技术可以用于验证用户账户是否合法,授权用户可以访问的服务,并记录用户使用网络资源的情况。

例:企业总部需要对服务器的资源访问进行控制,只有通过认证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。如图所示进行AAA部署,NAS为网络接入服务器,负责集中收集和管理用户的访问请求。

ARG3系列路由器只支持配置认证和授权。

认证:

认证方式:

  • 不认证:完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。
  • 本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。
  • 远端认证:将用户信息(包括用户名、密码和各种属性)配置在认证服务器上,AAA支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。

如果一个认证方案采用多种认证方式,这些认证方式按配置顺序生效。比如,先配置了远端认证,随后配置了本地认证,那么在远端认证服务器无响应时,会转入本地认证方式。如果只在本地设备上配置了登录账户,没有在远端服务器上配置,AR2200认为账户没有通过远端认证,不再进行本地认证。

授权:

AAA授权功能赋予用户访问的特定网络或设备的权限。AAA支持以下授权方式:

  • 不授权:不对用户进行授权处理
  • 本地授权:根据NAS上配置的本地账户的相关属性进行授权。
  • 远端授权:HWTACACS授权,使用TACACS服务器对用户授权。RADIUS授权,对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
  • 如果在一个授权方案中使用多种授权方式,这些授权方式按照配置顺序生效。不授权方式最后生效。

计费:

计费功能用于监控授权用户的网络行为和网络资源的使用情况。AAA支持一下两种计费方式:

  • 不计费:为用户提供免费上网服务,不产生相关活动日志。
  • 远端计费:通过RADIUS服务器或HWTACACS服务器进行远端计费。RADIUS服务器或HWTACACS服务器具备充足的储存空间,可以储存各授权用户的网络访问活动日志,支持计费功能。

AAA域:


设备基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于该域下的用户进行认证、授权和计费。每个用户都属于某一个域。用户属于哪个域是由用户名中域名分割符@后的字符串决定。例如,如果用户名是user@huawei,则用户属于huawei域。如果用户名后不带有@,则用户属于系统缺省域default。

ARG3系列路由器设备支持两种缺省域:

  • default域为普通用户的缺省域。
  • default_admin域为管理用户的缺省域。
  • 用户可以修改但不能删除这两个缺省域。默认情况下,设备最多支持32个域,包括两个缺省域。

AAA配置:

[RTA]aaa
[RTA-aaa]authentication-scheme auth1  //配置域的认证方案。
[RTA-aaa-authen-auth1]authentication-mode local   //配置认证方式{hwtacacs|radius|local}
[RTA-aaa-authen-auth1]q
[RTA-aaa]authorization-scheme auth2   //配置域的授权方案,缺省情况下,域下没有绑定授权方案
[RTA-aaa-author-auth2]authorization-mode local    //配置认证方式{hwtacacs|radius|local}
[RTA-aaa-authen-auth2]q
[RTA-aaa]domain huawei   //创建域,并进入AAA域视图
[RTA-aaa-domain-huawei]authentication-scheme auth1
[RTA-aaa-domain-huawei]authorization-scheme auth2
[RTA-aaa]local-user huawei@huawei password cipher huawei123   //创建本地用户,并配置本地用户密码,前为用户名,后为域名
[RTA-aaa]local-user huawei@huawei service-type telnet   //支持Telnet和Stelnet登录均有风险,建议使用Stelnet v2登录设备
[RTA-aaa]local-user huawei@huawei privilege level 0   //指定本地用户的优先级
[RTA]user-interface vty 0 4 
[RTA-ui-vty0-4]authentication-mode aaa
[RTA-ui-vty0-4]dis domain name huawei   //查看域的配置信息
  Domain-name                     : huawei                          
  Domain-state                    : Active
  Authentication-scheme-name      : auth1
  Accounting-scheme-name          : default
  Authorization-scheme-name       : auth2
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group               

Domain-state为Active表示激活状态。Authentication-scheme-name表示域使用的认证方案为auth1。缺省情况下,域使用系统自带的default认证方案。Authorization-scheme-name表示域使用的授权方案为auth2。

总结:

ARG3系列路由器上支持配置哪些AAA方案?

ARG3系列路由器上支持配置方案和授权方案,计费方案需要配置在HWTACACS或RADIUS服务器上。

如果在ARG3系列路由器上创建用户时,没有关联自定义的域,则该用户属于哪个域?

如果创建用户时未指定用户所属域,用户会自动关联缺省域default。

  • 分享:
评论
还没有评论
    发表评论 说点什么