安全配置指导书.docxVIP

AAA 用户管理概述 AAA 是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。 它提供对用户进行认证、授权和计费三种功能。 认证：验证用户是否可以获得访问权。 授权：授权用户可以使用哪些服务。 计费：记录用户使用网络资源的情况。 AAA 一般采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于用 户信息的集中管理。 S7700 支持的认证方案包括： 无需认证（None 认证方式）：当对用户非常信任时，不对其进行合法性检查，其 他情况下一般不采用这种方式。 本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在S7700 上，并使用这些用户信息对本地用户进行认证。本地认证的优点是速度快；缺点是 存储信息量受设备硬件条件限制。 远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服 务器上。S7700 作为客户端，与认证服务器通信，通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HUAWEI Terminal Access Controller Access Control System）协议进行远端认证。 S7700 支持的授权方案包括： 无需授权：对用户非常信任，直接授权通过。 本地授权：根据S7700 上为本地用户帐号配置的相关属性进行授权。 远端授权：S7700 作为客户端，与授权服务器通信，通过HWTACACS 协议进行远 端授权。 If Authenticated 授权：如果用户通过了认证，并且使用了本地认证或远端认证模 式，则用户授权通过。 S7700 支持的计费方案包括： 不计费：不对用户进行计费。 RADIUS 计费：S7700 将计费报文送往RADIUS 服务器，由RADIUS 服务器完成对 用户的计费。 HWTACACS 计费：S7700 将计费报文送往HWTACACS 服务器，由HWTACACS服务器完成对用户的计费。 在RADIUS/HWTACACS 计费模式中，正常情况下S7700 在用户上线和下线时各生成一 份计费报文传送给服务器，服务器根据计费报文中的信息（上下线时间）对用户进行计 费。 S7700 支持实时计费功能。实时计费功能是指用户在线过程中，S7700 定时生成计费报 文传送给服务器。通过实时计费功能，S7700 可以在其和服务器通信中断时，最大程度 的减少计费异常的时间。 本地用户管理 本地用户管理是指在本地S7700 上建立本地用户数据库，维护用户信息，并对用户进行 管理。 基于域的用户管理 S7700 通过域来进行用户管理，域下可以配置认证、授权和计费方案。属于该域的用户通过指定的方案进行认证和授权。 S7700 的所有用户都属于某个域。用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是“@”、“|”、“%”等符号，比如：用户名“user@huawei”，就属于huawei 域。如果用户名中没有带@，就属于系统缺省的default 域。 缺省情况下，S7700 存在配置名为default 和default_admin 两个域，全局默认普通域为default，全局默认管理域为default_admin。两个域均不能删除，只能修改。当无法确认接入用户的域时使用缺省域。 default 用于接入用户（如NAC）的缺省域，缺省为本地认证。default_admin 用于管理员（如http，SSH，telnet，terminal，ftp）的缺省域，缺省为本地认证。 S7700 总共可以配置128 个域，包括缺省的两个域。域下配置的授权信息较AAA 服务器的授权信息优先级低，即，优先使用AAA 服务器下发的授权属性，在AAA 服务器无该项授权或不支持该项授权时，域的授权属性生效。这样处理可以凭借域管理灵活增加业务，而不必受限于AAA 服务器提供的属性。 如果认证方案或授权方案指定通过RADIUS 协议或HWTACACS 协议与服务器通信，则需要在域下配置RADIUS 或HWTACACS 模板。 RADIUS 模板中，可以指定认证和计费服务器的IP 地址、端口号、密钥等属性。 HWTACACS 模板中，可以指定认证服务器的IP 地址、计费服务器的IP 地址、授权服务器的IP 地址、端口号、密钥等属性。 说明： RADIUS 协议的认证和授权是绑定在一起的，不能使用RADIUS 单独进行授权。 配置AAA方案 认证方案 aaa authentication-scheme authentication-scheme-name， authentication-mode { hwtacacs | radiu