AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费也称为审计、记账,记录通过认证用户的网络资源使用情况不支持本地认证和授权方式的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)Windows和linux都支持服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的在实际应用中,可以使用AAA的一种或两种服务2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如user@就表示属于huawei域,如果用户名不带@,就属于系统缺省default域自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输5、hwtacacs协议Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDN(virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。
与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、 hwtacacs三种任意组合本地认证授权:优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制RADIUS认证、计费:优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费:认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署多台hwtacacs服务器;还支持在一个方案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证方案,本地授权作为hwtacacs授权的备用授权方案等二、本地方式认证和授权配置配置流程为:配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的认证、授权、计费,用于“域的aaa方案”中绑定这些方案使用(所配置的各种方案只有在域中绑定后才能得到应用)认证方案:1、进入AAA视图[Huawei]aaa2、设置一个AAA认证方案名[Huawei-aaa]authentication-scheme test13、设置认证模式为本地认证(缺省为本地认证)[Huawei-aaa-authen-test1]authentication-mode ? hwtacacs HWTACACS local Local none None radius RADIUS4、配置当前认证模板对用户提升级别进行认证时采用的认证模式可配置多种认证模式,此时认证模式匹配的先后顺序为配置的先后顺序,只有当前模式没有响应的情况下(不是认证失败)才会采用下一种认证模式;如果用户没有通过当前模式认证,设备也不会跳到下一个模式认证。
可选,默认为本地认证)[Huawei-aaa-authen-test1]authentication-super ? hwtacacs HWTACACS none None radius RADIUS super Super(本地认证模式)5、配置用户名和域名解析的方向便于系统识别域用户名格式但必须与AAA视图下domain-location{after-delimiter|befpre-delimiter}命令配置一致如域用户名user@huawei@com,如果采用after-delimiter则表示域名在分隔符之后,从左向右解析时用户名为user 域名为huawe.@com;从右向左解析时用户名为user@huawei 域名为com;如果才befpre-delimiter表示域名在分隔符之前,从左向右时用户名为huawei@com,域名为user,从右向左用户名为hauwei@com,域名为user@(可选,缺省从左向右) [Huawei-aaa]domainname-parse-direction ? left-to-right Configure the left to right direction of domainname parsing right-to-left Configure the right to left direction of domainname parsing授权方案: 1、创建一个授权方案 [Huawei-aaa]authorization-scheme tets12、配置本地授权模式[Huawei-aaa-author-tets1]authorization-mode ? hwtacacs Use HWTACACS authorization method if-authenticated如果用户通过了认证,且使用的认证模式是本地或远处认证,则直接为用户授权。
Use authorization method which lets user(s) authorized if user(s) not authenticated by none authentication method local Use local authorization method none Use none authorization method3、设置授权服务器下发的用户授权信息的生效模式(可选,缺省为overlay模式) [Huawei-aaa]authorization-modify ? Modify 修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息 Overlay 覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息# 模拟器未能模拟二、配置本地用户采用本地方式进行认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等1、设置本地用户名和密码[Huawei-aaa]local-user test password simple 1472582、设置本地用户的级别[Huawei-aaa]local-user test privilege level 153、设备本地用户加入用户组(可选,先配置好用户组[Huawei-aaa]local-user test user-group teset #模拟器无法模拟4、设置本地用户断开超时时间[Huawei-aaa]local-user test idle-timeout 6005、设备本地用户用于何种类型的服务[Huawei-aaa]local-user test service-type ? 8021x 802.1x user bind Bind authentication user ftp FTP user http Http user ppp PPP user ssh SSH user telnet Telnet user terminal Terminal user web Web authentication user x25-pad X25-pad user 6、本地用户作为FTP使用时设置访问目录 [Huawei-aaa]local-user test ftp-directory ? STRING<1-58> flash: flash:/ 7、设置本地用户状态 [Huawei-aaa]local-user test state ? active Permit the user(s) to deal with the authen request block Forbid the user(s) to deal with the authen request (拒绝该用户认证请求) 8、设备本地用户访问时最大连接数(缺省不限制)[Huawei-aaa]local-user test access-limit 10 9、设置本地账号锁定功能(连续登陆失败达到次数后锁定和解锁、重试等参数)[Huawei-aaa]local-aaa-user wrong-password retry-interval 5(重试时间间隔) retry-time 3 (连续认证失败的最大次数block-time 10(账号被锁定时间)10、修改账号密码用户认证通过后,可以在用户。