AAA和RADIUS协议配置
1.1概述
1.1.1 AAA介绍
AAA是一种身份验证、授权和计费的简单方法
据称它提供了一个统一的框架,构成了三个安全功能:身份验证、授权和计费
是网络安全的管理。
这里的网络安全主要是指以下访问控制:
哪些用户可以访问网络服务器?
有访问权限的用户可以享受什么服务?
如何对使用网络资源的用户计费。
针对上述问题,AAA必须提供身份验证、授权和计费功能。
1 .认证功能
AAA支持以下认证方法:
不认证:对用户非常信任,不进行合法检查。 一般不采用这种方式
本地身份验证:提供用户信息,包括本地用户的用户名、密码和各种属性
准备好。 本地身份验证的优点是速度快、操作成本低,而缺点是存储信息量
准备硬件条件的限制。
远程认证:支持通过RADIUS协议或HWTACACS协议进行远程认证
例如,Quidway系列交换机)作为客户端与RADIUS服务器或TACACS穿上衣服
机器通信。 对于RADIUS协议,可以使用标准或扩展的RADIUS协议。
2 .许可功能
AAA支持以下许可方式:
直接许可证:非常受用户信任,直接许可证通过。
本地许可证:根据本地用户帐户中设置的设备的相关属性授予许可证。
RADIUS认证成功后的许可证: RADIUS协议的认证和许可证是捆绑的,不能进行
单独许可RADIUS。
hTACACS许可证: tacacs服务许可用户。
3 .计费功能
AAA支持以下计费方式:
不收费:不对用户收费。
远程计费—支持通过RADIUS或TACACS服务进行远程计费。
AAA一般采用客户端/服务器结构。 客户端在被管理的资源端运行,集中存储在服务器上
输入用户信息。 因此,AAA框架具有良好的可扩展性,容易实现用户信息的集中
管理。
1.1.2 ISP域概述
ISP域是ISP用户组,其中一个ISP域是由属于同一ISP的用户组成的用户组。
在格式为“userid@isp-name”的用户名中,“@”之后的“isp-name”是ISP域的
域名。 访问设备将" userid "作为用于认证的用户名,将" isp-name "作为域
名字。
在多ISP APP应用程序环境中,同一访问设备可能是不同ISP的用户。 为了各自
ISP用户的用户属性(例如用户名和密码配置、服务类型/权限等)可能各不相同。
因此,有必要通过设定ISP域来区分它们。
在ISP域视图中,为每个ISP域指定要使用的AAA策略(使用的RADIUS
等)的一组单独的ISP域属性。
1.1.3 RADIUS协议概述
AAA是一个管理框架,因此可以通过各种协议来实现。 在实践中,人们最常用
RADIUS协议实现了AAA。
什么是RADIUS
远程身份验证拨号用户服务(radius )。
是分布式客户端/服务器结构的信息交换协议,可保护网络免受未经授权的访问
的干扰经常用于要求高安全性,同时要求保持远程用户访问的各种网络环境中
中了。
RADIUS服务有三个组件:
协议: RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其擦除
在信息传输机制中,将认证端口定义为1812,将计费端口定义为1813。
服务器RADIUS服务器在中央计算机或工作站上运行,并包含相关的用户感知
证书和互联网服务的访问信息。
客户端:位于拨号访问服务器设备端,可以扩展到整个网络。
RADIUS基于客户端/服务器模型。 交换机作为RADIUS客户端负责传输用户信息
访问指定的RADIUS服务,并根据服务返回的信息正确处理用户(
访问/断开用户)。 RADIUS服务接收用户连接请求,对用户进行认证和交换
机器会返回所有必需的信息。
RADIUS服务通常维护三个数据库,如图1-1所示。
第一个数据库" Users "用于存储用户信息,如用户名、密码和要使用的协议。
IP地址等的配置)。
第二个数据库“客户端”用于存储RADIUS客户端的信息,如共享密钥。
第三个数据库" Dictionary "包含用于说明RADIUS协议属性和属性的信息
性爱值的意思。
RADIUS服务器还可以作为其他AAA服务器的客户端进行代理认证
或计费。2. RADIUS 的基本消息交互流程
RADIUS 客户端(交换机)和RADIUS 服务器之间通过共享密钥来认证交互的消息,
增强了安全性。RADIUS 协议合并了认证和授权过程,即响应报文中携带了授权信
息。用户、交换机、RADIUS 服务器之间的交互流程如图1-2所示。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS 客户端根据获取的用户名和口令,向RADIUS 服务器发送认证请求
包(Access-Request)。
(3) RADIUS 服务器将该用户信息与Users 数据库信息进行对比分析,如果认证成
功,则将用户的权限信息以认证响应包(Access-Accept)发送给 RADIUS 客
户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS 客户端根据接收到的认证结果接入/ 拒绝用户。如果可以接入用户,
则RADIUS 客户端向RADIUS 服务器发送计费开始请求包
(Accounting-Request ),Status-Type取值为start 。
(5) RADIUS 服务器返回计费开始响应包(Accounting-Response )。
(6) 用户开始访问资源。
(7) RADIUS 客户端向 RADIUS 服务器发送计费停止请求包
(Accounting-Request ),Status-Type取值为stop 。
(8) RADIUS 服务器返回计费结束响应包(Accounting-Response )。
(9) 用户访问资源结束。
3. RADIUS 协议的报文结构
RADIUS 协议采用UDP报文来承载数据,通过定时器管理机制、重传机制、备用服
务器机制,确保RADIUS 服务器和客户端之间交互消息正确收发。RADIUS 报文结构
如图1-3所示。
(1) Code 域(1 字节)决定RADIUS 报文的类型,如表1-1所示。
(2) Identifier 域(1 字节)用于匹配请求包和响应包,随着 Attribute 域改变、接收
到有效响应包而不断变化,而在重传时保持不变化。
(3) Length 域( 2 字节)指明整个包的长度,内容包括 Code,Identifier ,Length,
Authenticator 和Attribute 。超过长度域的字节被视为填充,在接收时应被忽略;
如果包比长度域所指示的短时,则应被丢弃。
(4) Authenticator 域(16字节)用于验证RADIUS 服务器传输回来的报文,并且
还用于密码隐藏算法中,分为 Request Authenticator 和Response
Authenticator 。
(5) Attribute 域携带专门的认证、授权和计费信息,提供请求和响应报文的配置细
节,该域采用(Type、Length、Value)三元组的形式提供。
类型(Type)域1 个字节,取值为1~255 ,用于指明属性的类型。表1-2列
出了RADIUS 授权、认证常用的属性。
长度(Length)域 1 个字节,指明此属性的长度,单位为字节,包括类型字段、
长度字段和属性值字段。
属性值(Value)域包括该属性的信息,其格式和内容由类型域和长度域决定,
最大长度为253 字节。
RADIUS 协议具有良好的可扩展性,协议中定义的 26号属性(Vendor-Specific)用
于设备厂商对RADIUS 进行扩展,以实现标准RADIUS 没有定义的功能。
如图1-4所示的报文结构,Vendor-ID域占4 字节,表示厂商代号,最高字节为0,
其余3 字节的编码见RFC1700。厂商可以封装多个自己定义的“(Type、Length、
Value)”子属性,从而在应用中得以扩展。
1.1.4 HWTACACS 协议简介
1. HWTACACS 特性
HWTACACS(HUAWEI Terminal Access Controller Access Control System)是在
TACACS(RFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS 协
议类似,主要是通过Client-Server 模式与TACACS服务器通信来实现多种用户的
AAA功能,可用于 PPP 和VPDN 接入用户及终端用户的认证、授权和计费。
与RADIUS 相比,HWTACACS 具有更加可靠的传输和加密特性,更加适合于安全控
制。HWTACACS协议与RADIUS 协议的主要区别如表1-3所示。
HWTACACS 的典型应用是拨号用户或终端用户需要登录到设备上进行操作。交换
机作为HWTACACS 的客户端,将用户名和密码发给TACACS服务器进行验证,验
证通过并得到授权之后可以登录到交换机上进行操作。如图1-5所示。
2. HWTACACS 的基本消息交互流程
以Telnet 用户为例,说明使用HWTACACS对用户进行认证、授权和计费。基本消息
交互流程图如图1-6所示。
在整个过程中的基本消息交互流程如下:
(1) 用户请求登录交换机,TACACS客户端收到请求之后,向 TACACS服务器发
送认证开始报文。
(2) TACACS 服务器发送认证回应报文,请求用户名;TACACS客户端收到回应
报文后,向用户询问用户名。
(3) TACACS 客户端收到用户名后,向 TACACS服务器发送认证持续报文,其中
包括了用户名。
(4) TACACS 服务器发送认证回应报文,请求登录密码;TACACS客户端收到回
应报文,向用户询问登录密码。
(5) TACACS 客户端收到登录密码后,向 TACACS服务器发送认证持续报文,其
中包括了登录密码。
(6) TACACS 服务器发送认证回应报文,指示用户通过认证。
(7) TACACS 客户端向 TACACS服务器发送授权请求报文。
(8) TACACS 服务器发送授权回应报文,指示用户通过授权。
(9) TACACS 客户端收到授权回应成功报文,向用户输出交换机的配置界面。
(10) TACACS 客户端向 TACACS服务器发送计费开始报文。
(11) TACACS 服务器发送计费回应报文,指示计费开始报文已经收到。
(12) 用户退出,TACACS客户端向 TACACS服务器发送计费结束报文。
(13) TACACS 服务器发送计费回应报文,指示计费结束报文已经收到。
案例:思科认证服务器ACS在华为设备中的应用。
客户机telnet到交换机时,能够实现采用ACS服务器的验证,其身份是admin。
拓扑图如下:
交换机的配置:
radius scheme xxx
primary authen 192.168.100.100
key authentication 123456
user-name -formatt without-domain
accounting option
server-type standard
quit
domain tec
radius-scheme xxx
access-limit enable 10
accouting option
quit
vlan 1
#
interface Vlan-interface1
ip address 192.168.100.25 255.255.255.0
AAA服务器
ACS的配置
1.安装jdk
2.安装acs服务器
3.导入H3C的用户级别的私有Radius属性到ACS
编写h3c.ini文件
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
在cmd中导入:
4.配置ACS
打开ACS,进入User Setup
进入Group Setup 配置
将6,15,64,64,81前面的勾打上
选Admin选项
设置Network Configuration
结果测试:
用户user2登录成功,权限级别“0”
转载于:https://blog.51cto.com/gaosc900926/804159