O AAA combina três funções independentes da segurança em uma forma modular que permita que você configurare o controle de acesso a seus dispositivos da rede, tais como routers e interruptores. Os três módulos que você será concernido com neste artigo são como segue:
O authentication fornece os métodos que você se usará identificar seus usuários antes de lhes permitir o acesso a seus serviços de rede. Estes métodos incluem o desafio e o diálogo da resposta, do início de uma sessão e da senha, o encryption, e a sustentação do messaging.
A autorização fornece os métodos que você se usará para o controle de acesso remoto, tal como a lista e o perfil do cliente do por-usuário, a sustentação do IP e o telnet, a autorização one-time ou a autorização para cada serviço, e a sustentação do grupo de usuário.
A contabilidade fornece o método que você se usará coletar e emitir a informação do usuário da segurança. Você pode usar esta informação para examinar, faturar, ou relatar.
|
|
Estes módulos são discutidos mais mais nas seguintes seções.
O authentication é o método usado identificar seu usuário antes que o acesso esteja permitido ou a sua rede e a seus serviços. Uma maneira simples de olhar de configuração o authentication do AAA está definindo uma lista nomeada que consiste nos métodos que do authentication você quer e então aplicando sua lista definida a seu interface(s) identificado. Você usa a lista do método definir os tipos de authentication que você quer ser executado e a seqüência em que você a quer ser executado. Com uma exceção, a lista do método nomeou o "defeito," você deve aplicar a lista do método a uma relação específica antes que alguns de seus métodos definidos do authentication estejam usados. A lista do método do defeito é aplicada automaticamente a toda a relação que você não aplicar uma lista do método a. Você deve definir todos os métodos do authentication, à excecpção do local, linha senha, e permite o authentication, através do AAA. Quando você escolhe executar a autorização, seus usuários devem authenticated antes que toda a autorização possa ocorrer.
A autorização é projetada trabalhar montando um jogo dos atributos que você define para determinar se um usuário for autorizado executar uma determinada tarefa. Seus atributos definidos são comparados à informação armazenada na base de dados para um usuário dado. O resultado (as potencialidades e limitações do usuário) é retornado ao AAA. Você pode definir a base de dados localmente no dispositivo da rede ou hospedá-la remotamente usuário de uma segurança do RAIO ou do TACACS+, tal como o usuário seguro do controle de acesso do Cisco (ACS). Os usuários da segurança de TACACS+ e de RAIO autorizam seus usuários para suas direitas específicas usando os pares do atribu-valor (avoirdupois), que assocíam suas direitas com o usuário apropriado. Todos os métodos da autorização devem ser definidos através do AAA. Justo como o authentication, você configurara a autorização do AAA com o uso de uma lista nomeada de métodos da autorização e aplica então sua lista definida a seu interface(s) específico.
A contabilidade deixa-o seguir os serviços que seus usuários estão alcançando, assim como a quantidade de recursos da rede estão consumindo. A contabilidade do AAA realiza esta relatando a atividade do seu usuário usuário à segurança do RAIO ou do TACACS+ no formulário de registros de contabilidade. Estes registros de contabilidade são compreendidos de pares do avoirdupois da contabilidade. São armazenados no ACS para a análise futura da gerência de rede, do faturamento do cliente, e/ou de examinar. Você deve definir todos os métodos de contabilidade através do AAA. Bem como os módulos precedentes do AAA, você configurara a contabilidade do AAA com o uso de listas nomeadas que define seus métodos de contabilidade e aplica então essa lista a seu interface(s) especificado.
O AAA usa o usuário principal protocolsTACACS+ da segurança dois e o RAIO. Você pode usar qualquer um destes protocolos authenticate um grande número seus usuários, porque cada um cría uma base de dados dos usernames e das senhas. Ambos os protocolos compartilham de muitas características, porque o Cisco Systems modelou a arquitetura de TACACS+ após o padrão existente do RAIO. Você pode executar um usuário de TACACS+ ou de RAIO em uma plataforma de UNIX ou na plataforma de Windows.
O RAIO é coberto no seguinte RFCs:
RFC 2138, Seletor Remoto Do Authentication No Serviço Do Usuário (RAIO)
RFC 2139, Contabilidade do RAIO
RFC 2865, Seletor Remoto Do Authentication No Serviço Do Usuário (RAIO)
RFC 2866, Contabilidade do RAIO
RFC 2867, modificações da contabilidade do RAIO para a sustentação do protocolo do túnel
RFC 2868, atributos do RAIO para a sustentação do protocolo do túnel
RFC 2869, Extensões do RAIO
TACACS+ é coberto pelo seguintes esboço do Internet e RFC:
A Versão 1.78 Do Protocolo de TACACS+ (draft-grant-tacacs-02.txt)
RFC 1492, Um Protocolo Do Controle De Acesso, Chamado Às vezes TACACS
Justo como todo o pacote que viajar através de sua rede do IP, TACACS+ e o RAIO usam a pilha de TCP/IP. Esta é também uma área em que diferem: O RAIO usa o protocolo do UDP para comunicações entre o cliente e o usuário da segurança, visto que TACACS+ usa o protocolo do TCP. TACACS+ opera o porto excedente 49 do TCP, e o RAIO opera o porto excedente 1812 do UDP para o authentication e o porto 1813 do UDP para a contabilidade. Em algumas execuções do RAIO, você pôde ver o RAIO operar o porto excedente 1645 para o authentication e mover 1646 para a contabilidade.
Outra uma área em que o RAIO e TACACS+ diferem é seu uso do encryption. O RAIO cifra somente a senha do usuário em um pacote do pedido do acesso do cliente-à-usuário. Outros artigos no pacote, tal como o username, autorizaram serviços, e a contabilidade, é emitida através da rede no texto desobstruído.
TACACS+ cifra o pacote inteiro ao usuário à excecpção do encabeçamento unencrypted de TACACS+. Este encabeçamento unencrypted contem um campo que especifica se o payload desse pacote está cifrado.
Você cría uma lista do método definindo uma lista seqüencial dos métodos do authentication que você quer usar authenticate um usuário. As listas do método deixam-no definir um sistema backup do authentication para o authentication caso que de uma falha configurarando um ou o mais segurança protocola para ser usado para o authentication. Seus dispositivos da rede usarão o primeiro método que você alista para authenticate usuários; no exemplo de uma falha, seus dispositivos da rede usarão o método seguinte do authentication definido na lista do método. Este processo continua até que ou seu usuário authenticated com a comunicação bem sucedida com um método listado do authentication ou a lista do método do authentication estiver esgotada, em que o authentication do caso falha. O authentication com o método definido seguinte do authentication é tentado somente se não há nenhuma resposta do método precedente do authentication.
NOTA
Uma resposta da FALHA difere de uma resposta de ERRO. Uma FALHA sinaliza que o usuário não se encontra com os critérios definidos requeridos authenticated. O processo do authentication para quando uma resposta da FALHA é retornada. Entretanto, um ERRO indica que o usuário da segurança não respondeu a uma pergunta do authentication. Porque o authentication não foi tentado, o AAA seleciona o método que seguinte do authentication você definiu na lista do método do authentication e no authentication dos reattempts
|
|