aaa 결합하는 3 개의 독립적인 보안 기능은 모듈형 패션을 구성하실 수있습니다 액세스 제어를 네트워크 장치와 같은 라우터와 스위치입니다. 3 개의 모듈을 할 예정이 문서에 관심을 갖고는 다음과 같습니다 :
인증을 제공하는 방법을 확인하기 위해 사용되며 이들에 대한 접근을 허용하기 전에 사용자의 네트워크 서비스입니다. 이러한 방법으로는 도전과 대응, 로그인 및 비밀 번호를 대화, 암호화, 및 메시징을 지원합니다.
승인서를 제공합니다 메소드를 사용에 대한 원격 액세스를 제어, 같은 당 - 사용자 계정 목록과 프로필, 지원의 ip, 텔넷, 한 - 시간을 인증 또는 승인의 각 서비스 및 사용자 그룹을 지원합니다.
회계를 제공합니다 메소드를 사용하여 보낼 보안 서버 정보를 수집합니다. 이 정보를 사용하실 수있습니다 감사, 결제, 또는보고를합니다.
|
|
이 제품은 다음 섹션에서 자세히 설명합니다.
인증은 사용자가되기 전에 식별할 수있는 방법을 사용하여 그 또는 그녀는 귀하의 네트워크와 그 서비스에 대한 액세스를 허용합니다. 을 구성하는 간단한 방법을 살펴보고 aaa 인증이 정의라는 이름 목록 구성된 인증 방법하고자하고 다음을 적용해 사용자가 정의한 목록을 발견 인터페이스 (들)입니다. 를 사용하는 방법을리스트를 정의하는 유형의 인증을하고자하는 시퀀스에서 수행되어야하고 싶은 그들을 수행할 수있습니다. 한 번의 예외를 메서드 목록 이름이 "기본 설정"을 적용해야합니다 방법을 나열하여 특정 인터페이스를하기 전에 귀하의 정의 인증 방법이 사용됩니다. 기본 방법 목록이 자동으로 적용하여 어떤 인터페이스를하지 않았을 적용하는 방법이 목록을합니다. 모든 인증 방법을 정의해야합니다을 제외 지역을 줄 비밀 번호, 사용의 인증을 통해 aaa합니다. 을 구현 승인서를 선택하면, 귀하의 사용자를 인증하기 전에 인증해야합니다 걸릴 수있습니다 장소입니다.
승인서가 작동하도록 설계하여 조립하는 일련의 특성을 정의를 확인하는 경우 사용자는 공인을 수행하는 특정 작업을합니다. 에 비해 사용자가 정의한 특성은 특정 사용자에 대한 정보를 데이터베이스에 저장됩니다. 그 결과 (사용자의 기능 및 제한)이 반환을 aaa합니다. 을 정의할 수있습니다가 데이터베이스를 로컬에서 네트워크 장치 또는 호스트 그것을 원격으로 반경 또는 tacacs + 보안 서버와 같은 시스코 보안 액세스 컨트롤 서버 (acs)입니다. tacacs +와 반경 보안 서버에 권한을 부여하여 사용자에 대한 자신의 구체적인 권리를 사용 특성 - 값 (유명) 쌍, 어떤 연관 자신의 권리를 적절한 사용자입니다. 모든 인증 방법을 통해 정의되어야합니다 aaa합니다. 처럼 인증, aaa 인증을 통해 구성할 수있습니다라는 이름 목록이 인증 방법을 사용하고 다음을 적용하여 정의된 목록을 사용자의 특정 인터페이스 (들)입니다.
회계 추적할 수있는 서비스를 사용하면 귀하의 사용자들이 접근은 물론 네트워크 자원의 양을 그들이 소모됩니다. aaa 회계보고를하여 사용자의 활동을 수행하여이 문제를 반경 또는 tacacs + 보안 서버의 형태 회계 기록을합니다. 이러한 회계 레코드는 회계 유명 쌍 이루어져있다. 그들은 미래에 저장 acs의 분석을위한 네트워크 관리, 고객 결제, 그리고 / 또는 감사합니다. aaa를 통해 모두가 회계 방법을 정의해야합니다. 처럼 이전의 aaa 모듈, aaa 회계를 통해 구성할 수있습니다라는 이름의 사용을 정의하여 회계 방법을 나열하고 다음을 적용하는 목록을 귀하가 지정한 인터페이스 (들)입니다.
aaa 사용하는 2 개의 주요 보안 서버를 protocolstacacs +와 반경을합니다. 이러한 프로토콜을 사용하실 수있습니다 중 하나를 인증하는 다수의 사용자가 데이터베이스를 생성하기 때문에 각각의 사용자 이름과 비밀 번호입니다. 두 프로토콜을 공유 많은 기능을하기 때문에 시스코 시스템을 모델로가 tacacs + 건축 이후에 기존의 반경 표준입니다. 를 구현하는 tacacs + 또는 반경 서버에서 유닉스 플랫폼이나 windows 플랫폼입니다.
반경이 적용 대상에서 다음과 같은 rfc :
rfc 2138, 원격 인증 전화 접속 사용자 서비스 (반경)
rfc 2139, 반경 회계
rfc 2865, 원격 인증 전화 접속 사용자 서비스 (반경)
rfc 2866, 반경 회계
rfc 2867, 반경 회계 변경에 대한 터널 프로토콜 지원
rfc 2868, 반경 특성에 대한 터널 프로토콜 지원
rfc 2869, 반경을 확장
tacacs +는 응용이 다음과 같은 인터넷 초안 및 rfc :
가 tacacs + 프로토콜 버전 1.78 (초안 - 그랜트 - tacacs - 02.txt)
rfc 1492, 액세스 제어 프로토콜,라고도 tacacs
들처럼 패킷이 여행을 통해 귀하의 네트워크를 모두 tacacs +와 반지름을 사용 tcp / ip 스택입니다. 이것이 또 하나의 영역에있는 이들이 다를 : 반경을 사용합니다 udp 프로토콜에 대한 커뮤니케이션 사이의 클라이언트와 보안 서버, 반면 tacacs +를 사용합니다 tcp 프로토콜입니다. tacacs +를 운영을 통해 tcp 포트 49, 및 반경을 운영을 통해 udp 포트 1812에 대한 인증 및 udp 포트 1813에 대한 회계. 에서 일부 반경을 구현, 작동되는 것을 확인할 수있습니다 반경을 통해 포트 1645에 대한 인증 및 포트 1646에 대한 회계.
하나의 다른 영역에있는 반경과 tacacs + 차이는 그들의 암호화를 사용합니다. 반경을 암호화 전용의 사용자 비밀 번호는 클라이언트 -가 - 서버 액세스 요청 패킷입니다. 다른 항목의 패킷과 같은 사용자 이름, 승인된 서비스, 회계, 네트워크를 통해 일반 텍스트로 전송됩니다.
tacacs + 암호화는 전체 패킷을 서버에있는 예외의 암호화되지 않은 tacacs + 헤더입니다. 이 암호화되지 않은 헤더가 들어있는 필드는 패킷의 페이로드가 암호화되어 있는지 여부를 지정합니다.
를 만들 수있는 방법을 나열 순차 목록은 인증 방법을 정의하여 사용하려는 사용자를 인증하는입니다. 방법을 나열를 사용하면 인증 시스템에 대한 인증을 정의하는 백업의 경우 중 하나 이상이 실패를 구성하여 인증을위한 보안 프로토콜을 사용할 수있습니다. 귀하의 네트워크 장치는 첫 번째 방법을 사용하면 사용자를 인증 목록; 실패의 경우에, 귀하의 네트워크 장치는 다음 인증 방법을 사용합니다 방법을 목록에서 정의합니다. 때까지이 과정을 계속하여 사용자가 인증을 통해 성공적인 의사 소통을 나열 인증 방법 또는 인증 방법 목록이 모두 소진,이 경우 인증에 실패합니다. 인증을 사용하여 다음을 정의 인증 방법이 시도로부터 응답이 없을 경우에만 이전의 인증 방법입니다.
참고 사항
a 실패 응답이 다릅니다 오류 응답합니다. a 실패 신호는 사용자가 정의한 기준을 충족하지 않습니다 필요로 인증해야합니다. 인증 프로세스가 중지되면 실패할 응답이 반환됩니다. 그러나, 보안 서버에 오류가 있음을 나타냅니다하는 인증 쿼리에 응답하지 않습니다. 인증이 아니기 때문에 미수, aaa 다음 인증 방법을 선택합니다에서 정의하면 인증 방법 목록과 reattempts 인증
|
|