El AAA combina tres funciones independientes de la seguridad en una manera modular que permita que usted configure control de acceso a sus dispositivos de la red, tales como rebajadoras e interruptores. Los tres módulos que usted será referido en a este artículo son como sigue:
La autentificación proporciona los métodos que usted utilizará identificar a sus usuarios antes de no prohibirles el acceso a sus servicios de red. Estos métodos incluyen desafío y diálogo de la respuesta, de la conexión y de la contraseña, cifrado, y ayuda de la mensajería.
La autorización proporciona los métodos que usted utilizará para el control de acceso alejado, tal como lista y perfil de la cuenta del por-usuario, ayuda del IP y telnet, la autorización de una sola vez o autorización para cada servicio, y ayuda del grupo de usuario.
La contabilidad proporciona el método que usted utilizará recoger y enviar la información del servidor de la seguridad. Usted puede utilizar esta información para revisar, mandar la cuenta, o divulgar.
|
|
Estos módulos se discuten más lejos en las secciones siguientes.
La autentificación es el método usado para identificar a su usuario antes de que le o le no prohiban el acceso a su red y a sus servicios. Una manera simple de mirar de configuración de la autentificación del AAA está definiendo una lista nombrada que consiste en los métodos de la autentificación que usted desea y entonces aplicando su lista definida a su interface(s) identificado. Usted utiliza la lista del método para definir los tipos de autentificación que usted desea ser realizado y la secuencia en la cual usted quisiera que ella fuera realizada. Con una excepción, la lista del método nombró "defecto," usted debe aplicar la lista del método a un interfaz específico antes de que cualesquiera de sus métodos definidos de la autentificación se utilicen. La lista del método del defecto se aplica automáticamente a cualquier interfaz que usted no haya aplicado una lista del método a. Usted debe definir todos los métodos de la autentificación, a excepción del local, línea contraseña, y permite la autentificación, a través del AAA. Cuando usted elige poner la autorización en ejecucio'n, sus usuarios deben ser authenticados antes de que cualquier autorización pueda ocurrir.
La autorización es diseñada de trabajar montando un sistema de cualidades que usted define para determinarse si autorizan a un usuario a realizar cierta tarea. Sus cualidades definidas se comparan a la información almacenada en la base de datos para un usuario dado. El resultado (las capacidades y las restricciones del usuario) se vuelve al AAA. Usted puede definir la base de datos localmente en el dispositivo de la red o recibirla remotamente en servidor de una seguridad del RADIO o de TACACS+, tal como servidor seguro del control de acceso del Cisco (ACS). Los servidores de la seguridad de TACACS+ y del RADIO autorizan a sus usuarios para las sus derechas específicas usando los pares del atribuir-valor (sistema de pesos americano), que asocian las sus derechas al usuario apropiado. Todos los métodos de la autorización se deben definir a través del AAA. Justo como la autentificación, usted configura la autorización del AAA con el uso de una lista nombrada de los métodos de la autorización y después aplica su lista definida a su interface(s) específico.
La contabilidad le deja seguir los servicios que sus usuarios están teniendo acceso, tan bien como la cantidad de recursos de la red están consumiendo. La contabilidad del AAA logra esto divulgando la actividad de su usuario servidor de la seguridad del RADIO o de TACACS+ en la forma de registros de estadísticas. Estos registros de estadísticas se abarcan de pares del sistema de pesos americano de la contabilidad. Se almacenan en el ACS para el análisis futuro de la dirección de la red, de la facturación del cliente, y/o de la revisión. Usted debe definir todos los métodos de contabilidad a través del AAA. Como los módulos anteriores del AAA, usted configura contabilidad del AAA con el uso de listas nombradas que define sus métodos de contabilidad y después aplica esa lista a su interface(s) especificado.
El AAA utiliza el servidor importante protocolsTACACS+ de la seguridad dos y el RADIO. Usted puede utilizar cualquiera de estos protocolos para authenticar a una gran cantidad de sus usuarios, porque cada uno crea una base de datos de usernames y de contraseñas. Ambos protocolos comparten muchas características, porque el Cisco Systems modeló la arquitectura de TACACS+ después del estándar existente del RADIO. Usted puede poner un servidor de TACACS+ en ejecucio'n o del RADIO en una plataforma de UNIX o la plataforma de Windows.
El RADIO se cubre en el RFCs siguiente:
RFC 2138, Dial Alejado De la Autentificación En El Servicio Del Usuario (RADIO)
RFC 2139, Contabilidad del RADIO
RFC 2865, Dial Alejado De la Autentificación En El Servicio Del Usuario (RADIO)
RFC 2866, Contabilidad del RADIO
RFC 2867, modificaciones de la contabilidad del RADIO para la ayuda del protocolo del túnel
RFC 2868, cualidades del RADIO para la ayuda del protocolo del túnel
RFC 2869, Extensiones del RADIO
TACACS+ es cubierto por el bosquejo del Internet y el RFC siguientes:
La Versión 1.78 (draft-grant-tacacs-02.txt) Del Protocolo de TACACS+
RFC 1492, Un Protocolo Del Control De Acceso, A veces Llamado TACACS
Justo como cualquier paquete que viaje a través de su red del IP, TACACS+ y el RADIO utilizan el apilado de TCP/IP. Ésta es también una área en la cual diferencian: El RADIO utiliza el protocolo del UDP para las comunicaciones entre el cliente y el servidor de la seguridad, mientras que TACACS+ utiliza el protocolo del TCP. TACACS+ funciona el puerto excesivo 49 del TCP, y el RADIO funciona el puerto excesivo 1812 del UDP para la autentificación y el puerto 1813 del UDP para la contabilidad. En algunas puestas en práctica del RADIO, usted puede ser que vea el RADIO funcionar el puerto excesivo 1645 para la autentificación y virar 1646 hacia el lado de babor para la contabilidad.
Una otra área en la cual el RADIO y TACACS+ diferencian es su uso del cifrado. El RADIO cifra solamente la contraseña del usuario en un paquete de la petición del acceso del cliente-a-servidor. Otros artículos en el paquete, tal como username, autorizaron servicios, y la contabilidad, se envía a través de la red en texto claro.
TACACS+ cifra el paquete entero al servidor a excepción del jefe unencrypted de TACACS+. Este jefe unencrypted contiene un campo que especifica si la carga útil de ese paquete está cifrada.
Usted crea una lista del método definiendo una lista secuencial de los métodos de la autentificación que usted desea utilizar para authenticar a un usuario. Las listas del método le dejaron definir un sistema de reserva de la autentificación para la autentificación en caso de que de una falta configurando unos o más protocolos de la seguridad que se utilizarán para la autentificación. Sus dispositivos de la red utilizarán el primer método que usted enumera para authenticar a usuarios; en el caso de una falta, sus dispositivos de la red utilizarán el método siguiente de la autentificación definido en la lista del método. Este proceso continúa hasta que o authentican a su usuario con la comunicación acertada con un método mencionado de la autentificación o se agota la lista del método de la autentificación, en la cual la autentificación del caso falla. La autentificación con el método definido siguiente de la autentificación se intenta solamente si no hay respuesta del método anterior de la autentificación.
NOTA
Una respuesta del FALL diferencia de una respuesta de ERROR. Un FALL señala que el usuario no resuelve los criterios definidos requeridos ser authenticado. El proceso de la autentificación para cuando se vuelve una respuesta del FALL. Sin embargo, un ERROR indica que el servidor de la seguridad no ha respondido a una pregunta de la autentificación. Porque la autentificación no se ha procurado, el AAA selecciona el método siguiente de la autentificación que usted definió en la lista del método de la autentificación y la autentificación de los reattempts
|
|