tacacs+调研文档.docVIP

AAA网络安全系统 认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户； 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。 AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。 首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。 接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。 最后一步是帐户计费，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和TACACS认证四种认证模式，并允许组合使用。 组合认证模式是有先后顺序的。例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时，不认证（none）必须放在最后。例如：authentication-mode radius local none。 当新建一个认证方案时，缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated (radius ) 授权和TACACS授权四种授权模式，并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode tacacs local表示先使用TACACS授权，TACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候，直接授权必须在最后。例如：authorization-mode tacacs local none 当新建一个授权方案时，缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的，所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式：本地计费、不计费、RADIUS计费、TACACS计费、同时RADIUS、本地计费以及同时TACACS、本地计费。 tacacs 认证、授权和审计 radius 认证和授权绑定在一起，没有单独的授权、审计 TACACS+简介 TACACS+(Terminal Access Controller Access Control System)终端访问控制器访问控制系统，与我们IDsentrie的Radius协议相近。不过TACACS+用的是TCP协议，Radius用的是UDP；TACACS+将认证和授权分开，Radius将认证和授权绑定；另外两者的加密方式也不相同（具体参见《TACACS和RADIUS比较》）。它们的重要作用就是3A。 典型的TACACS应用就是EXEC 授权, 即给用户执行某些命令的权利, 在这里的命令就是我们的CLI command。我们可以详细的配置一个用户可以执行某些CLI command，不能执行某些CLI command，确实可以管理得非常严格。当每次执行command时都会到tacacs+ server上去进行授权。不过当我们允许用户配置某一项,而它的sub config中如果还有很多command，我们要逐项添加，可以对命令和参数进行详细的管理，不用担心有的用户乱操作了。这个功能只限于CLI, 在web UI上是没有用的, 它的作用又显得不太重要了。 Cisco Secure ACS 思科安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。 Secure ACS (ACS)是具高可扩展性的高性能访问控制服务器，可作为集中的RADIUS 和 TACACS+ 服务器运行。Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中，因此提高了灵活性、移动性、安全性