AAA объединяет три независимых функций по обеспечению безопасности в модульной форме, что позволяет настроить контроль доступа к сети устройств, таких как маршрутизаторы и коммутаторы. В трех модулей вы будете обеспокоены в этой статье являются:
Подлинности обеспечивает методы Вы будете использовать для идентификации пользователей до предоставления им доступа к сети услуг. Эти методы включают вызов и ответ, логин и пароль диалог, шифрование сообщений и поддержку.
Разрешение предоставляет методы Вы будете использовать для удаленного контроля доступа, такие как каждого пользователя список внимание и профиля, поддержки ИС и Telnet, одноразового разрешения или разрешения для каждой службы, группы пользователей и поддержку.
Бухгалтерский учет обеспечивает метод вы будете собирать и передавать информацию безопасности сервера. Вы можете использовать эту информацию для аудита счетов, или отчетности.
|
|
Эти модули, обсуждаются в следующих разделах.
Подлинности - это метод, использованный для идентификации пользователя, прежде чем он или она имеет доступ к вашей сети и ее услуг. А просто взглянуть на настройке аутентификации AAA определяет именованный список, состоящий из методов аутентификации нужно, а затем применения определенных Вами список выявленных на Ваш интерфейс (ы). Вы можете использовать метод для определения перечня видов аутентификации нужно решать, и последовательность, в которой Вы хотите, чтобы они должны выполняться. За одним исключением, метод список называется "по умолчанию", нужно применить метод список конкретного интерфейса до любой из определенных методов аутентификации используется. Методом по умолчанию список автоматически применяться к любым интерфейсом вы не применяется метод список. Вы должны определить все методы аутентификации, за исключением местных, строка пароля, и чтобы аутентификации через ААА. Если вы выберете для осуществления авторизации, пользователи должны быть аутентифицированы до любого разрешения может иметь место.
Авторизация предназначена для работы на монтаж набор атрибутов можно определить определить, если пользователь имеет право выполнять определенные задачи. Ваше определение атрибутов сравнению к информации, хранящейся в базе данных для конкретного пользователя. В результате (пользователю возможностей и ограничений) возвращается AAA. Вы можете определить базу данных локально на сетевое устройство или пребывания его удаленно на RADIUS или TACACS + сервер безопасности, такие как Cisco Безопасный доступ контролю Server (АКГ). TACACS + и RADIUS серверах безопасности разрешить пользователям за их конкретные права, используя атрибут - значение (АГ) пар, которые связаны их прав с соответствующими пользователя. Все методы разрешения должны быть определены через ААА. Как подлинности, настроить AAA авторизации посредством использования именованного списка методов авторизации и затем применить ваш определен перечень на Ваш интерфейс (ы).
Бухгалтерский учет позволяет отслеживать услуг у пользователей доступа, а также количество сетевых ресурсов, они являются потребителями. AAA учета решает эту сообщая пользователя деятельности на RADIUS или TACACS + сервер безопасности, в форме бухгалтерской отчетности. Эти бухгалтерской отчетности входят учета А.В. пар. Они хранятся на АКГ для будущего анализа сетевого управления, клиента счетов, и / или аудита. Вы должны определить все методы учета с помощью AAA. Что-то вроде предыдущего AAA модулей, настроить AAA учета с использованием указанных списков определения вашего учета методов и затем применять этот список на указанный Вами интерфейс (ы).
AAA использует два основных безопасности сервера protocolsTACACS + и RADIUS. Можно использовать любой из этих протоколов для идентификации большого числа пользователей, потому что каждый создает базу данных имен пользователей и паролей. Оба протокола имеют много особенностей, поскольку Cisco Systems моделируется на TACACS + архитектура после существующего стандарта RADIUS. Вы можете осуществлять TACACS + или RADIUS сервера на платформе UNIX или Windows платформе.
RADIUS рассматривается в следующих РЛК:
RFC 2138, дистанционного Наберите В подлинности пользователя обслуживания (RADIUS)
RFC 2139, RADIUS учета
RFC 2865, дистанционного Наберите В подлинности пользователя обслуживания (RADIUS)
RFC 2866, RADIUS учета
RFC 2867, RADIUS для учета изменения туннеля поддержка протокола
RFC 2868, Атрибуты RADIUS для поддержки протокола Туннель
RFC 2869, RADIUS Расширения
TACACS + является распространяются следующие Интернет Проект и RFC:
В TACACS + Протокол Версия 1,78 (проект - субсидий tacacs - 02.txt)
RFC 1492, является контроль доступа протокола, который иногда называют TACACS
Как и любой пакет, путешествует через свой IP- сети, как TACACS + и RADIUS использовать TCP / IP стек. Это также одна из областей, в которых они различаются: RADIUS использует протокол UDP для связи между клиентом и сервером безопасности, а TACACS + использует TCP протокол. TACACS + работает на TCP порту 49, и RADIUS работает над UDP порт 1812 для проверки подлинности и UDP порт 1813 для учета. В некоторых реализаций RADIUS, можно увидеть RADIUS работать над порт 1645 для проверки подлинности и порт 1646 для учета.
Другой областью, в которой RADIUS и TACACS + различаются их использование шифрования. RADIUS шифрует только пароль пользователя в клиента для доступа к серверу запрос пакета. Другие пункты в пакете, например, имя пользователя, утвержденную обслуживание, и бухгалтерский учет, отправляются по сети в виде открытого текста.
TACACS + шифрует весь пакет к серверу, за исключением незашифрованного TACACS + заголовок. Это незакодирован заголовок содержит поле с указанием, что ли полезной нагрузки пакетов шифруется.
Вы создали метод определения списка последовательном список методов аутентификации, которые вы хотите использовать для идентификации пользователя. Метод списков можно определить резервную систему аутентификации для проверки подлинности в случае неисправности, настроив один или несколько протоколов безопасности, которые будут использоваться для аутентификации. Ваши сетевые устройства будет использовать первый метод вам список для аутентификации пользователей; В случае неисправности сети устройств будет использовать следующий метод проверки подлинности определяется в список метода. Этот процесс продолжается до тех пор, пока либо ваш пользователь идентифицируется посредством успешной коммуникации с перечисленных метода проверки подлинности или метода проверки подлинности список исчерпан, и в этом случае, не подлинности. Подлинности со следующей метод проверки подлинности определяется судом только при отсутствии ответа от предыдущего метода проверки подлинности.
ПРИМЕЧАНИЕ
А FAIL ответ отличается от ОШИБКА ответ. А FAIL означает, что пользователь не отвечает определенным критериям должна быть удостоверена. В подлинности процесс останавливается, когда FAIL ответ возвращается. Вместе с тем, ОШИБКА свидетельствует о том, что безопасность сервера не откликнулся на запрос авторизации. Поскольку подлинности не пытались, AAA выбирает следующий метод проверки подлинности вы определены в списке метода проверки подлинности и reattempts подлинности
|
|