AAA配置使用Local方式认证并授权

2023-12-27 12:58:46

AAA简介

访问控制是用来控制哪些用户可以访问网络以及可以访问的网络资源。AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了在NAS(Network Access Server,网络接入服务器)设备上配置访问控制的管理框架。

定义

AAA作为网络安全的一种管理机制,以模块化的方式提供以下服务:

  • 认证:确认访问网络的用户的身份,判断访问者是否为合法的网络用户。

  • 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。

  • 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。

基本架构

AAA采用客户端/服务器结构,AAA客户端运行在接入设备上,通常被称为NAS设备,负责验证用户身份与管理用户接入;AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。AAA的基本架构如图1。

图1 AAA基本架构

AAA可以通过多种协议来实现,目前设备支持基于RADIUS或HWTACACS协议来实现AAA,在实际应用中,最常使用RADIUS协议。

图1中所示的AAA服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。用户也可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源时进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

目的

提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。

基于域的用户管理

NAS设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。

如图1所示,域统一管理AAA方案、服务器模板和授权等配置信息:

  • AAA方案:分为认证方案、授权方案和计费方案,用来定义认证、授权和计费的方法及每种方法的生效顺序,AAA方案的详细介绍请参见AAA方案。
  • 服务器模板:用来配置认证、授权或计费使用的服务器。配置服务器授权时,用户从服务器和域下获取授权信息,详见图2。

    如果使用本地认证或授权,需要配置本地用户的相关信息。

  • 域下的授权信息:域下还可以配置授权信息,域下可以绑定业务方案、用户组等,业务方案、用户组内支持配置授权的ACL、VLAN等信息。

图1 域下的AAA配置信息

授权信息分为两类:服务器下发的授权信息和域下的授权信息。用户从何处获取授权与授权方案中配置的授权方法有关。如图2所示:

  • 授权方法为本地授权时,用户从域下获取授权信息。
  • 授权方法为服务器授权时,用户从服务器和域下获取授权信息。域下配置的授权信息比服务器下发的授权信息优先级低,如果两者的授权信息冲突,则服务器下发的授权优先生效;如果两者的授权信息不冲突,则两者的授权信息同时生效。这样处理可以通过域管理进行灵活授权,而不必受限于服务器提供的授权。

?实验需求

? ? ? ? 1、管理员输入正确的用户名和密码才能通过Telnet登录设备。
? ? ? ? 2、管理员通过TeInet登录设备后,可以执行命令级别为0~15的所有命令行。

?实验拓扑

实验步骤?

1、配置Switch的接口IP地址

[S1]vlan 10
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid 
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 10
[S1-GigabitEthernet0/0/1]q

[S1]interface Vlanif 10
[S1-Vlanif10]ip address 192.168.10.2 24
[S1-Vlanif10]q

2、使能Telnet服务器功能

[S1]telnet server enable 

3、配置VTY用户界面的验证方式为aaa

[S1]user-interface maximum-vty 15
[S1]user-interface vty 0 14
[S1-ui-vty0-14]authentication-mode aaa
[S1-ui-vty0-14]protocol inbound telnet 
[S1-ui-vty0-14]q

4、配置AAA本地认证

[S1]aaa
[S1-aaa]local-user user1 password simple 123.123
Info: Add a new user.
[S1-aaa]local-user user1 service-type telnet 
[S1-aaa]local-user user1 privilege level 15
[S1-aaa]q

实验配置验证

执行telnet命令,并输入用户名user1和密码123.123,通过Telnet方式登录设备。

文章来源:https://blog.csdn.net/zj2059129607/article/details/135237874
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。