Aaa kombiniert drei unabhängige Sicherheit Funktionen auf eine modulare Art und Weise, die Ihnen erlaubt, Zugriffssteuerung zu Ihren Netzvorrichtungen, wie Fräsern und Schaltern zusammenzubauen. Die drei Module, die Sie mit in diesem Artikel betroffen werden, sind, wie folgt:
Authentisierung liefert die Methoden, die Sie pflegen, Ihre Benutzer zu kennzeichnen, bevor Sie ihnen Zugang zu Ihren Vermittlungsdiensten zugestehen. Diese Methoden schließen Herausforderung und Warte-, LOGON- und Kennwortdialog, Verschlüsselung und Nachrichtenübermittlung Unterstützung ein.
Ermächtigung stellt die Methoden, die Sie für Fernzugriffsteuerung verwenden, wie Probenutzer Kontoliste und -profil, Unterstützung von IP und telnet, einmalige Ermächtigung oder Ermächtigung für jeden Service und Benutzergruppe Unterstützung zur Verfügung.
Buchhaltung liefert die Methode, die Sie pflegen, Sicherheit Bedienerinformationen zu sammeln und zu senden. Sie können diese Informationen für die Revidierung, das Berechnen oder den Bericht verwenden.
|
|
Diese Module werden weiter in den folgenden Abschnitten besprochen.
Authentisierung ist die Methode, die verwendet wird, um Ihren Benutzer zu kennzeichnen, bevor ihm oder ihr Zugang zu Ihrem Netz und zu seinen Dienstleistungen erlaubt werden. Eine einfache Weise des Betrachtens, zusammenbauend AAA Authentisierung, definiert eine genannte Liste, die aus den Authentisierung Methoden besteht, die Sie und Ihre wünschen definierte Liste an Ihrem gekennzeichneten interface(s) dann, anwendend. Sie benutzen die Methode Liste, um die Arten der Authentisierung zu definieren, die Sie durchgeführt werden möchten und die Reihenfolge, in der Sie sie durchgeführt werden wünschen. Mit einer Ausnahme nannte die Methode Liste "Rückstellung," Sie muß die Methode Liste an einer spezifischen Schnittstelle anwenden, bevor irgendwelche Ihrer definierten Authentisierung Methoden verwendet werden. Die Rückstellung Methode Liste wird automatisch an jeder möglicher Schnittstelle angewendet, die Sie eine Methode Liste nicht an angewendet haben. Sie müssen alle Authentisierung Methoden, mit Ausnahme von Einheimischem, Linie Kennwort definieren und ermöglichen Authentisierung, durch AAA. Wenn Sie beschließen, Ermächtigung einzuführen, müssen Ihre Benutzer beglaubigt werden, bevor jede mögliche Ermächtigung stattfinden kann.
Ermächtigung wird zu arbeiten entworfen, indem man einen Satz Attribute zusammenbaut, die Sie definieren, um festzustellen, wenn ein Benutzer autorisiert wird, eine bestimmte Aufgabe durchzuführen. Ihre definierten Attribute werden mit den Informationen verglichen, die in der Datenbank für einen gegebenen Benutzer gespeichert werden. Das Resultat (des die Fähigkeiten und Beschränkungen Benutzers) wird zu AAA zurückgebracht. Sie können die Datenbank auf der Netzvorrichtung am Ort definieren oder sie auf einer RADIUS- oder TACACS+-Sicherheit entfernt bewirten Bediener, wie Cisco sicherer Zugriffssteuerung-Bediener (ACS). TACACS+ und RADIUS-Sicherheit Bediener autorisieren Ihre Benutzer für ihre spezifischen Rechte, indem sie Zuschreibenwert (Handels) Paare verwenden, die ihre Rechte mit dem passenden Benutzer verbinden. Alle Ermächtigung Methoden müssen durch AAA definiert werden. Gerecht wie Authentisierung, bauen Sie AAA Ermächtigung durch den Gebrauch von einer genannten Liste der Ermächtigung Methoden zusammen und wenden dann Ihre definierte Liste an Ihrem spezifischen interface(s) an.
Buchhaltung läßt Sie die Dienstleistungen, die Ihre Benutzer, zugänglich machen, sowie die Menge der Netzbetriebsmittel aufspüren sie verbrauchen. Aaa Buchhaltung vollendet dieses, indem sie Tätigkeit Ihres Benutzers die RADIUS- oder TACACS+-Sicherheit Bediener in Form von Buchhaltungaufzeichnungen berichtet. Diese Buchhaltungaufzeichnungen werden von den Buchhaltung Handelspaaren enthalten. Sie werden auf dem ACS für zukünftige Analyse der Netzführung, der Klient Gebührenzählung und/oder der Revidierung gespeichert. Sie müssen alle Buchungsmethoden durch AAA definieren. Ganz wie die vorhergehenden AAA Module bauen Sie AAA Buchhaltung durch den Gebrauch von genannten Listen Ihre Buchungsmethoden definierend zusammen und wenden dann diese Liste an Ihrem spezifizierten interface(s) an.
Aaa benutzt Hauptsicherheit zwei Bediener protocolsTACACS+ und RADIUS. Sie können irgendein dieser Protokolle verwenden, um viele Ihre Benutzer zu beglaubigen, weil jedes eine Datenbank von usernames und von Kennwörtern verursacht. Beide Protokolle teilen viele Eigenschaften, weil Cisco Systems die TACACS+ Architektur nach dem vorhandenen RADIUS-Standard modellierte. Sie können einen TACACS+ oder RADIUS-Bediener auf einer UNIX Plattform oder Windows Plattform einführen.
RADIUS wird im folgenden RFCs umfaßt:
RFC 2138, Remoteauthentisierung Vorwahlknopf Im Benutzer-Service (RADIUS)
RFC 2139, RADIUS Buchhaltung
RFC 2865, Remoteauthentisierung Vorwahlknopf Im Benutzer-Service (RADIUS)
RFC 2866, RADIUS Buchhaltung
RFC 2867, RADIUS Buchhaltung-Änderungen für Tunnel-Protokoll-Unterstützung
RFC 2868, RADIUS Attribute für Tunnel-Protokoll-Unterstützung
RFC 2869, RADIUS Verlängerungen
TACACS+ wird durch den folgenden Internet-Entwurf und das RFC bedeckt:
Die TACACS+ Protokoll-Version 1.78 (draft-grant-tacacs-02.txt)
RFC 1492, Ein Zugriffssteuerung-Protokoll, Manchmal Genannt TACACS
Gerecht wie jedes mögliches Paket, das über Ihr IP Netz, reist, benutzen TACACS+ und RADIUS den TCP/IP Stapel. Dieses ist auch ein Bereich, in dem sie sich unterscheiden: RADIUS verwendet das UDP Protokoll für Kommunikationen zwischen dem Klienten und dem Sicherheit Bediener, während TACACS+ das TCP Protokoll verwendet. TACACS+ läßt Über-TCP Tor 49 laufen, und RADIUS läßt Über-UDP Tor 1812 für Authentisierung und UDP Tor 1813 für Buchhaltung laufen. In einigen RADIUS-Implementierungen konnten Sie RADIUS Über, tor 1645 laufen zu lassen für Authentisierung und 1646 zu tragen für Buchhaltung sehen.
Ein anderer Bereich, in dem RADIUS und TACACS+ sich unterscheiden, ist ihr Gebrauch von Verschlüsselung. RADIUS verschlüsselt nur das Benutzerkennwort in einem Klient-zu-Bediener Zugang Antragpaket. Andere Einzelteile im Paket, wie username, autorisierten Dienstleistungen, und Buchhaltung, werden über das Netz im freien Text gesendet.
TACACS+ verschlüsselt das gesamte Paket zum Bediener mit Ausnahme von der unencrypted TACACS+ Überschrift. Diese unencrypted Überschrift enthält auffangen, das spezifiziert, ob Nutzlast dieses Pakets verschlüsselt wird.
Sie erstellen eine Methode Liste, indem Sie eine aufeinanderfolgende Liste der Authentisierung Methoden definieren, die Sie verwenden möchten, um einen Benutzer zu beglaubigen. Methode Listen lassen Sie ein Aushilfsauthentisierung System für Authentisierung definieren, falls von einem Ausfall, indem sie zusammenbauen, eine oder mehr Sicherheit Protokoll führt, für Authentisierung verwendet zu werden. Ihre Netzvorrichtungen verwenden die erste Methode, die Sie verzeichnen, um Benutzer zu beglaubigen; im Fall von einem Ausfall, verwenden Ihre Netzvorrichtungen die folgende Authentisierung Methode, die in der Methode Liste definiert wird. Dieser Prozeß fährt fort, bis entweder Ihr Benutzer durch die erfolgreiche Kommunikation mit einer aufgeführten Authentisierung Methode beglaubigt ist, oder die Authentisierung Methode Liste erschöpft wird, in diesem Fall Authentisierung ausfällt. Authentisierung mit der folgenden definierten Authentisierung Methode wird versucht, nur wenn es keine Antwort von der vorhergehenden Authentisierung Methode gibt.
ANMERKUNG
Eine AUSFALLENANTWORT unterscheidet sich von einem Leerblock. AUSFALLEN signalisiert, daß der Benutzer nicht die definierten Kriterien trifft, die erfordert werden beglaubigt zu werden. Der Authentisierung Prozeß stoppt, wenn eine AUSFALLENANTWORT zurückgebracht wird. Jedoch zeigt eine STÖRUNG an, daß der Sicherheit Bediener nicht auf eine Authentisierung Frage reagiert hat. Weil Authentisierung nicht versucht worden ist, wählt AAA die folgende Authentisierung Methode vor, die Sie in der Authentisierung Methode Liste und in der reattempts Authentisierung definierten
|
|