学能评估相结合的3个独立的安全功能,在一个模块化的方式,可让您配置访问控制你的网络设备,例如路由器和交换机等。 三个单元,你将关注在这篇文章如下:
认证提供了方法,你会使用,以确定你的用户,才让他们进入你的网络服务。 这些方法包括:挑战与回应,登录名和密码的对话框,加密系统和信息的支持。
擅自提供方法,你将使用远程访问控制,如每个用户帐户列表和简介,支持叶和telnet ,一次性授权或授权,每项服务,与用户组的支持。
会计规定的方法,你会使用,以收集,并派安全服务器的信息。 你可以使用这个资料,以供查核账单,或报告。
|
|
这些模块是进一步讨论在以下几节。
认证所采用的方法,以确定你的用户面前,他或她是允许进入你的网络和服务。 一个简单的方式来看待配置的aaa认证是确定被点名的名单,其中该认证方法,你想,然后运用你的定义名单,以确定你的界面( ) 。 你的办法,用名单,以确定类型的认证,你想成为表演和序列中,你是否想他们演出的。 有一个例外,该方法的名单命名为"默认" ,你必须运用方法名单,以一个特定的界面前你的任何定义认证方法使用。 默认的方法列表是自动适用于任何界面,你有没有申请方法清单。 你必须确定所有认证方法,除了在当地,路线密码,使认证,通过多多。 当你选择执行权限,你的用户必须予以认证之前,任何授权可以发生。
授权是设计用来工作,由装配了一套属性,你定义,以确定如果一个用户的授权履行某种任务。 你的属性界定是比较的资料储存在数据库中某一特定的用户。 结果(用户的能力,并限制) ,是返回多多。 你可以定义数据库在本地对网络设备或主机,它遥对半径或tacacs +安全服务器,例如思科安全访问控制服务器( acs )的。 tacacs +半径安全服务器授权你的用户,让他们具体权利的,利用属性值(影音)双,其中协理自己的权利与适当的用户。 所有的授权方法必须加以界定,通过多多。 就像认证,你配置的aaa授权,通过使用一种名为名单的鉴定方式,然后运用你的定义名单,以你的具体接口( ) 。
会计让您跟踪服务,你的用户正在访问的,数量,以及网络资源的,他们的消费。 会计学能评估完成这项举报你的用户的活动半径或tacacs +安全服务器中的形式会计记录。 这些会计记录,包括会计房室对。 它们储存在加勒比国家联盟,为将来的分析网络管理,客户帐单,和/或审计。 你必须确定所有的会计处理方法,通过多多。 就像以往的aaa模块,你配置的aaa会计通过使用命名名单确定你的会计处理方法,然后再适用该名单,以你指定的接口( ) 。
评估采用了两个重大安全服务器protocolstacacs +和半径。 您可以使用这些协议来认证了一大批你的用户,因为每创建一个数据库的用户名和密码。 这两项议定书有许多共同特点,因为思科系统仿照了tacacs +架构后,现有半径水平。 你可以实施tacacs +或radius服务器上unix平台或windows平台。
半径涵盖以下rfcs :
rfc 2138 ,远程认证拨号用户服务(半径)
rfc二七三九二一三九,半径会计
rfc 2865 ,远程认证拨号用户服务(半径)
rfc 2866 ,半径会计
rfc : 2867 ,半径会计修改,供隧道协议支持
rfc为2868 ,半径属性隧道协议支持
rfc : 2869 ,半径扩展
tacacs +适用以下互联网草案和rfc :
该tacacs +协议版本1.78 (草案-金- tacacs - 02.txt )
rfc 1492年,一个接入控制协议,有时被称为tacacs
就像任何包游记你的ip网络,无论是tacacs +半径使用tcp / ip栈。 这也是一个领域里,他们不相同:半径使用udp协议之间的通讯客户端和安全服务器,而tacacs +使用tcp协议。 tacacs +操作tcp端口49 ,半径操作的udp端口1812年进行认证和udp端口1813用于核算。 在一些半径实现,你可能会看到半径经营港口16时45分进行身份认证, 1646端口,为会计。
另外一个领域中,半径和tacacs +不同的是,他们所采用的加密。 半径加密,只有用户口令,在客户端至服务器接入请求包。 其他项目中包,如用户名,授权服务,以及会计,被送到全国各地的网络,在明确的文字。
tacacs +加密整个包到服务器与例外的加密tacacs +头。 这种加密的头包含一个领域指明是否包的有效载荷是加密。
你创造的一种方法名单确定一个顺序名单,认证方法,你想使用来认证用户。 法清单,让你定义一个备份认证系统认证的情况下未能通过配置一个或一个以上的安全协议,以用于认证。 你的网络设备将使用第一种方法,你名单,以验证用户身份;在案件的失败,你的网络设备,将利用今后认证方式界定方法清单。 这一过程将持续到无论你的用户认证,是通过成功的沟通与上市认证方法或认证方法列表是精疲力竭,在这种情况下,认证失败。 认证与下定义的认证方法,是试图只,如果没有回应,从以前的认证方法。
注
不合格的反应不同,从一个错误的反应。 不合格信号,即用户不符合界定标准的,须验证。 认证过程站时,未能回应退回。 但是,一个错误提示说,安全服务器没有回应认证质疑。 因为认证没有尝试,学习能力评估,选择下一个认证方法,你界定在认证方法列表reattempts认证
|
|