Il AAA unisce tre funzioni indipendenti di sicurezza ad un modo modulare che permette che configuriate il controllo di accesso ai vostri dispositivi della rete, quali i routers e gli interruttori. I tre moduli che vi preoccuperete in di questo articolo sono come segue:
L'autenticazione fornisce i metodi che userete identificare i vostri utenti prima di concedere loro l'accesso ai vostri servizi di rete. Questi metodi includono la sfida e dialogo di risposta, di inizio attività e di parola d'accesso, la crittografia e supporto di messaging.
L'autorizzazione fornisce i metodi che userete per controllo di accesso a distanza, quali la lista e profilo di cliente dell'per-utente, supporto del IP e telnet, autorizzazione di una volta o autorizzazione per ogni servizio e supporto del gruppo di utenti.
La contabilità fornisce il metodo che userete raccogliere e trasmettere le informazioni dell'assistente di sicurezza. Potete usare queste informazioni per la verifica, la fatturazione, o segnalare.
|
|
Questi moduli sono discussi più ulteriormente nelle seguenti sezioni.
L'autenticazione è il metodo impiegato per identificare il vostro utente prima che lui o lei si sia conceduto l'accesso alla vostra rete ed ai relativi servizi. Un senso semplice di guardare configurante l'autenticazione del AAA sta definendo una lista chiamata che consiste dei metodi che di autenticazione desiderate ed allora applicando la vostra lista definita al vostro interface(s) identificato. Usate la lista di metodo per definire i tipi di autenticazioni che desiderate essere effettuati e la sequenza in cui le desiderate essere effettuate. Con un'eccezione, la lista di metodo ha chiamato "il difetto," voi deve applicare la lista di metodo ad un'interfaccia specifica prima che c'è ne dei vostri metodi definiti di autenticazione fossero usati. La lista di metodo di difetto è applicata automaticamente a tutta l'interfaccia che non avete applicato una lista di metodo a. Dovete definire tutti i metodi di autenticazione, con l'eccezione del local, linea parola d'accesso e permettete l'autenticazione, attraverso AAA. Quando scegliete effettuare l'autorizzazione, i vostri utenti devono essere autenticati prima che tutta l'autorizzazione possa avvenire.
L'autorizzazione è progettata funzionare montando un insieme degli attributi che definite per determinare se un utente è autorizzato ad effettuare una determinata operazione. I vostri attributi definiti sono confrontati alle informazioni memorizzate nella base di dati per un dato utente. Il risultato (le possibilità e limitazioni dell'utente) è restituito a AAA. Potete definire la base di dati localmente sul dispositivo della rete o ospitarli a distanza assistente su sicurezza di TACACS+ o del RAGGIO, quale l'assistente sicuro di controllo di accesso del Cisco (ACS). Gli assistenti di sicurezza del RAGGIO e di TACACS+ autorizzano i vostri utenti per i loro diritti specifici usando gli accoppiamenti di attribu-valore (avoirdupois), che associano i loro diritti con l'utente adatto. Tutti i metodi di autorizzazione devono essere definiti attraverso AAA. Giusto come l'autenticazione, configurate l'autorizzazione del AAA con l'uso di una lista chiamata dei metodi di autorizzazione ed allora applicate la vostra lista definita al vostro interface(s) specifico.
La contabilità li lascia rintracciare i servizi che i vostri utenti stanno accedendo a, come pure la quantità di risorse della rete stanno consumando. La contabilità del AAA compie questa segnalando l'attività del vostro utente assistente a sicurezza di TACACS+ o del RAGGIO sotto forma di le annotazioni di contabilità. Queste annotazioni di contabilità sono contenute gli accoppiamenti di avoirdupois di contabilità. Sono immagazzinate sul ACS per analisi futura dell'amministrazione di rete, della fatturazione del cliente e/o di verifica. Dovete definire tutti i metodi di contabilità attraverso AAA. Tanto come i moduli precedenti del AAA, configurate la contabilità del AAA con l'uso delle liste chiamate che definite i vostri metodi di contabilità ed allora applicate quella lista al vostro interface(s) specificato.
Il AAA usa l'assistente principale protocolsTACACS+ di sicurezza due ed il RAGGIO. Potete usare uno di questi protocolli per autenticare tantissimi vostri utenti, perché ciascuno genera una base di dati dei usernames e delle parole d'accesso. Entrambi i protocolli ripartiscono molte caratteristiche, perché il Cisco Systems ha modellato l'architettura di TACACS+ dopo il campione attuale del RAGGIO. Potete effettuare un assistente del RAGGIO o di TACACS+ su una piattaforma di UNIX o sulla piattaforma di Windows.
Il RAGGIO è coperto nel seguente RFCs:
RFC 2138, Manopola A distanza Di Autenticazione Nel Servizio Dell'Utente (RAGGIO)
RFC 2139, Contabilità del RAGGIO
RFC 2865, Manopola A distanza Di Autenticazione Nel Servizio Dell'Utente (RAGGIO)
RFC 2866, Contabilità del RAGGIO
RFC 2867, modifiche di contabilità del RAGGIO per il supporto di protocollo del traforo
RFC 2868, attributi del RAGGIO per il supporto di protocollo del traforo
RFC 2869, Estensioni del RAGGIO
TACACS+ è coperto dalla seguenti brutta copia del Internet e RFC:
La Versione 1.78 (draft-grant-tacacs-02.txt) Di Protocollo di TACACS+
RFC 1492, Un Protocollo Di Controllo Di Accesso, A volte Denominato TACACS
Giusto come tutto il pacchetto che viaggia attraverso la vostra rete del IP, sia TACACS+ che il RAGGIO usano la pila di TCP/IP. Ciò è inoltre una zona in cui differiscono da: Il RAGGIO usa il protocollo del UDP per le comunicazioni fra il cliente e l'assistente di sicurezza, mentre TACACS+ usa il protocollo di TCP. TACACS+ funziona l'orificio eccessivo 49 di TCP ed il RAGGIO funziona l'orificio eccessivo 1812 del UDP per l'autenticazione e l'orificio 1813 del UDP per la contabilità. In alcune esecuzioni del RAGGIO, potreste vedere il RAGGIO funzionare l'orificio eccessivo 1645 per l'autenticazione e port 1646 per la contabilità.
Altra una zona in cui il RAGGIO e TACACS+ differiscono da è il loro uso della crittografia. Il RAGGIO cifra soltanto la parola d'accesso dell'utente in un pacchetto di richiesta di accesso dell'cliente-$$$-ASSISTENTE. Altri articoli nel pacchetto, quale il username, hanno autorizzato i servizi e la contabilità, è trasmessa attraverso la rete in testo libero.
TACACS+ cifra l'intero pacchetto all'assistente con l'eccezione dell'intestazione unencrypted di TACACS+. Questa intestazione unencrypted contiene un campo che specifica se carico utile di quel pacchetto è cifrato.
Generate una lista di metodo definendo una lista sequenziale dei metodi di autenticazione che desiderate usare per autenticare un utente. Le liste di metodo li hanno lasciati definire un sistema di riserva di autenticazione per l'autenticazione nel caso di un guasto configurando uno o più protocolli di sicurezza da usare per l'autenticazione. I vostri dispositivi della rete useranno il primo metodo che elencate per autenticare gli utenti; nel caso di un guasto, i vostri dispositivi della rete useranno il metodo seguente di autenticazione definito nella lista di metodo. Questo processo continua fino ad o autenticare il vostro utente con la comunicazione riuscita con un metodo elencato di autenticazione o la lista di metodo di autenticazione sia esaurita, nel qual caso l'autenticazione viene a mancare. L'autenticazione con il metodo definito seguente di autenticazione è provata soltanto se non ci è risposta dal metodo precedente di autenticazione.
NOTA
Una risposta di VENIRE A MANCARE differisce da da una risposta di ERRORE. Un VENIRE A MANCARE segnala che l'utente non risponde ai test di verifica definiti tenuti ad essere autenticato. Il processo di autenticazione si arresta quando una risposta di VENIRE A MANCARE è restituita. Tuttavia, un ERRORE indica che l'assistente di sicurezza non ha risposto ad una domanda di autenticazione. Poiché l'autenticazione non è stata tentata, il AAA seleziona il metodo che seguente di autenticazione avete definito nella lista di metodo di autenticazione e nell'autenticazione dei reattempts
|
|