华为思科 AAA认证解析.docxVIP

1??????AAA和用户管理简介 在学习AAA的配置前，先简要了解下AAA的基本知识 1.1??????什么AAA AAA（Authentication Authorization Accounting）是一种提供认证、授权和计费的技术。 ???认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。 ???授权（Authorization）：授权用户可以使用哪些服务。 ???计费（Accounting）：记录用户使用网络资源的情况。 1.2??????AAA的基本架构 AAA通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于集中管理用户信息。如下图所示 认证 AAA支持以下认证方式： ???不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 ???本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。 ???远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS?（HuaWei Terminal Access Controller Access Control System）协议进行远端认证。网络接入服务器NAS（Network Access Server）作为客户端，与RADIUS服务器或HWTACACS服务器通信。 如果在一个认证方案中采用多种认证模式，将按照配置的顺序进行认证。 当配置的认证方式是先远端认证后本地认证时 如果登录的帐号在远端服务器上没有创建，但是在本地是存在的，经过远端认证时，将被认为认证失败，不再转入本地认证。 只有在远端认证服务器无响应时，才会转入本地认证。 如果选用了不认证（none）或本地认证（local），它必须作为最后一种认证模式。 授权 AAA支持以下授权方式： 不授权：不对用户进行授权处理。 ???本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权。 ???HWTACACS授权：由TACACS服务器对用户进行授权。 ???if-authenticated授权：如果用户通过了认证，而且使用的认证模式不是不认证，则用户授权通过。 ???RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。 ???如果在一个授权方案中使用多次授权，授权模式的执行顺序按照配置的先后，只有在当前授权模式没有响应时，才会尝试下一个授权模式，如果授权失败则将不会再进行授权。 计费 AAA支持以下计费方式： ???不计费：不对用户计费。 ???远端计费：通过RADIUS服务器或HWTACACS服务器进行远端计费。 1.3??????RADIUS协议 AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（Network Access Server）系统。 RADIUS服务器通过建立一个唯一的用户数据库，存储用户名、密码来对用户进行验证。 ???用户登录路由器或接入服务器等网络设备时，会将用户名和密码发送给该网络接入服务器； ???该网络设备中的RADIUS客户端（网络接入服务器）接收用户名和密码，并向RADIUS服务器发送认证请求； ???RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端。 客户端和RADIUS服务器之间发送的用户密码信息经过加密以后才在网络上传递，以避免用户密码在不安全的网络上被窃取。 RADIUS客户端与服务器间的消息流程如下图所示。 计费的消息流程和认证/授权的消息流程类似。 1.4??????HWTACACS协议 HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能，可用于PPP、VPDN（Virtual Private Dial Network）接入用户的认证、授权和计费。 认证方式与RADIUS协议类似 1.5??????基于域的用户管理 在目前AAA的实现中，所有用户都属于某个域。用户属于哪个域是由用户名中带的“@”后的字符串来决定的，比如“user@hua”，就属于“hua”域；如果用户名中没有带“@”，对于普通用户，属于系统缺省的default