AAA认证配置docx.docx
《AAA认证配置docx.docx》由会员分享,可在线阅读,更多相关《AAA认证配置docx.docx(48页珍藏版)》请在冰豆网上搜索。
AAA认证配置docx
44
AAA配置
访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。
身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。
44.1AAA基本原理
AAA是AuthenticationAuthorizationandAccounting(认证、授权和记账)的简称,它提供了对认证、授
权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。
AAA以模块方式提供以下服务:
认证:
验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+、议或Local
(本地)等。
身份认证是在允许用户访问网络和网络服务之前对其身份进行识别
的一种方法。
授权:
授权用户可使用哪些服务。
AAA授权通过定义一系列的属性对来实现,这
些属性对描述了用户被授权执行的操作。
这些属性对可以存放在网络设备上,也可以远程存放在安全服务器上。
记账:
记录用户使用网络资源的情况。
当AAA记账被启用时,网络设备便开始以
统计记录的方式向安全服务器发送用户使用网络资源的情况。
每个记账记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。
部分产品的AAA仅提供认证功能。
所有涉及产品规格的问题,可以通过向福建
星网锐捷网络有限公司市场人员或技术支援人员咨询得到。
尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用
户名身份认证、线路密码身份认证等。
不同之处在于它们提供对网络保护程度不一样,AAA提供更
高级别的安全保护。
使用AAA有以下优点:
灵活性和可控制性强可扩充性
标准化认证
多个备用系统
44.1.1AAA基本原理
AAA可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记账类型。
通过创建方法列表来定义身份认证、记账、授权类型,然后将这些方法列表应用于特定的服务或接口。
44.1.2方法列表
由于对用户进行认证、授权和记账可以使用不同的安全方法,您需要使用方法列表定义一个使用不同方法对用户进行认证、授权和记账的前后顺序。
方法列表可以定义一个或多个安全协议,这样可以确保在第一个方法失败时,有备用系统可用。
锐捷产品使用方法列表中列出的第一个方法时,如果该方法无应答,则选择方法列表中的下一个方法。
这个过程一直持续下去,直到与列岀的某种安全方法成功地实现通信或用完方法列表。
如果用完方法列表而还没有成功实现通信,则该安全功能宣告失败。
只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。
例如在身
注意份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他
的身份认证方法。
图11.典型的AAA网络配置图
上图说明了一个典型的AAA网络配置,它包含两台安全服务器:
R1和R2是RADIUS服务
器。
假设系统管理员已定义了一个方法列表,在这个列表中,R1首先被用来获取身份信息,然
后是R2,最后是访问服务器上的本地用户名数据库。
如果一个远程PC用户试图拨号
进入网络,网络访问服务器首先向R1查询身份认证信息,假如用户通过了R1的身
份认证,R1将向网络访问服务器发出一个ACCEPT应答,这样用户即获准访问网络。
如果R1返回的是REJECT应答,则拒绝用户访问网络,断开连接。
如果R1无应答,网络访问服务器就将它看作TIMEOUT,并向R2查询身份认证信息。
这个过程会一
直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。
如果所有的方法返回TIMEOUT,则认证失败,连接将被断开。
注意
在本文中,与AAA安全服务器相关的认证、授权和记账配置,均以RADIUS为例,而与TACACS有关的内容请另外参考“配置TACACS”
44.2AAA配置基本步骤
首先您必须决定要采用哪种安全解决方案,而且需要评估特定网络中的潜在安全风险,并选
择适当的手段来阻止XX的访问。
我们建议,在可能的情况下,尽量使用AAA
确保网络安全。
44.2.1AAA配置过程概述
如果理解了AAA运作的基本过程,配置AAA就相对简单了。
在锐捷网络设备上配置AAA
地步骤如下:
启用AAA,使用全局配置层命令aaanew-model。
如果决定使用安全服务器,请配置安全协议的参数,如RADIUS
定义身份认证方法列表,使用aaaauthentication命令。
如有需要,可将该方法列表应用于特定的接口或线路。
在应用特定方法列表时,如果没有明确指定使用命名的方法列表,则使用默认的
注意身份认证方法列表进行身份认证。
因此,如果不准备使用默认的身份认证方法列表,则需要指定特定的方法列表。
对于本章中使用的命令的完整描述,请参见安全配置命令参考中的相关章节。
44.2.2启用AAA
要使用AAA安全特性,必须首先启用AAA。
要启用AAA,在全局配置模式下执行以下命令:
命令
作用
aaanew-model
启用AAA
Step1
44.2.3停用AAA
要停用AAA,在全局配置模式下执行以下命令:
作用
命令
4424后续的配置过程
启用AAA以后,便可以配置与安全方案相关的其他部分,下表说明了可能要完成的配置任务以及相关内容所在的章节。
AAA访问控制安全解决方案方法
配置任务
步骤
所在章节
配置RADIUS安全协议参数
2
配置RADIUS
配置本地登录(Login)身份认证
3
配置认证
定义认证方法列表
4
配置认证
将方法列表应用于特定的接口或线路
5
配置认证
启用RADIUS授权
6
配置授权
启用RADIUS记账
7
配置记账
如果使用AAA实现身份认证,请参考“配置认证”中的相关部分。
44.3配置认证
身份认证是在允许用户使用网络资源以前对其进行识别,在大多数情况下,身份认证是通过
AAA安全特性来实现的。
我们建议,在可能的情况下,最好使用AAA来实现身份认
证。
44.3.1定义AAA认证方法列表
要配置AAA身份认证,首先得定义一个身份认证方法的命名列表,然后各个应用使用已定义列表进行认证。
方法列表定义了身份认证的类型和执行顺序。
对于已定义的身份认证方法,必须有特定的应用才会被执行。
默认方法列表是唯一的例外。
所有应用在未进行配置时使用默认方法列表。
方法列表仅是定义将要被依次查询的、并用于认证用户身份的一系列安全方法。
方法列表使您能够指定一个或多个用于身份认证的安全协议,这样确保在第一种方法失败的情况下,可以使用身份认证备份系统。
我司产品使用第一种方法认证用户的身份,如果该方法无应答,将选择方法列表中的下一种方法。
这个过程一直持续下去,直到与列出的某种身份认证方法成功地实现通信或用完方法列表。
如果用完方法列表而还没有成功实现通信,则身份认证宣告失败。
只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。
如果在身
注意份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他
的身份认证方法。
4432方法列表举例
在典型AAA网络配置图中,它包含2个服务器:
R1和R2是RADIUS服务器。
假设系统管理员已选定一个安全解决方案,NAS认证采用一个身份认证方法对Telnet连接进行
身份认证:
首先使用R1对用户进行认证,如果无应答,则使用R2进行认证;如果
R1、R2都没有应答,则身份认证由访问服务器的本地数据库完成,要配置以上身份
认证列表,执行以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaaauthenticationlogindefaultgroupradiuslocal
配置一个默认身份认证方法列表,其中
“default”是方法列表的名称。
这个方法列表中包含的协议,按照它们将被查询的顺序排列在名称之后。
为所有应用的默认方法列表。
如果系统管理员希望该方法列表仅应用于一个特定的Login连接,必须创建一个命名方法列
表,然后将它应用于特定的连接。
下面的例子说明了如何将身份认证方法列表仅应用于线路2:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
aaaauthenticationlogintestgroupradiuslocal
在全局配置模式下,定义了一个名为“test”
的方法列表。
Step4
linevty2
进入线路2配置层
Step5
loginauthenticationtest
在line配置模式下,将名为“test”方法列表应用于线路。
当远程PC用户试图Telnet访问网络设备(NAS),NAS首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向NAS发出一个ACCEPT应答,这样用户即获准访问网络。
如果R1返回的是REJECT应答,则拒绝用户访问网络,断开连接。
如果R1无应答,NAS就将它看作TIMEOUT,并向R2查询身份认证信息。
这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。
如果所有的服务器(R1、R2)返回TIMEOUT,则认证由NAS本地数据库完成。
我司产品目前支持以下认证类型:
Login(登录)认证
Enable认证
PPP认证
D0T1X(IEEE802.1X认证
Web认证
其中Login认证针对的是用户终端登录到NAS上的命令行界面(CLI),在登录时进行身份
认证;Enable认证针对的是用户终端登录到NAS上的CLI界面以后,提升CLI执行
权限时进行认证;PPP认证针对PPP拨号用户进行身份认证;DOT1X认证针对
IEEE802.1X接入用户进行身份认证。
Web认证时针对内置ePortal的情况下进行身
份认证。
4434配置AAA身份认证的通用步骤
要配置AAA身份认证,都必须执行以下任务:
使用aaanew-model全局配置命令启用AAA。
如果要使用安全服务器,必须配置安全协议参数,如RADIUS和TACACS+具体
的配置请参见“配置RADIUS和“配置TACACS”。
使用aaaauthentication命令定义身份认证方法列表。
如果可能,将方法列表应用于某个特定的接口或线路。
注意我司产品DOT1X认证目前不支持TACACS+
44.3.5配置AAALogin认证
本节将具体介绍如何配置锐捷产品所支持的AAALogin(登录)身份认证方法:
注意只有在全局配置模式下执行aaanew-model命令启用AAA,AAA安全特性才能进
注意行配置使用(下同)。
关于更详细的内容,请参见“AAA概述”。
在很多情况下,用户需要通过Telnet访问网络访问服务器(NAS),一旦建立了这种连接,就可以远程配置NAS,为了防止网络XX的访问,要对用户进行身份认证。
AAA安全服务使网络设备对各种基于线路的Login(登录)身份认证变得容易。
不论您要决
定使用哪种Login认证方法,只要使用aaaauthenticationlogin命令定义一个或多
个身份认证方法列表,并应用于您需要进行Login认证的特定线路就可以了。
要配置AAALogin认证,在全局配置模式下执行以下命令:
命令
作用
configure
terminal
Step1
Step2
aaanew-model
启用AAAo
Step3
aaaauthenticationlogin{default|list-name}method1[method2...]
疋义一个认证方法列表,如果需要疋义多个方法列表,重复执行该命令。
Step4
linevtyline-num
进入您需要应用AAA身份认证的线路。
Step5
loginauthentication{default|list-name}
将方法列表应用线路。
关键字list-name用来命名创建身份认证方法列表,可以是任何字符串;关键字method指
的是认证实际算法。
仅当前面的方法返回ERROR(无应答),才使用后面的其他认
证方法;如果前面的方法返回FAIL(失败),则不使用其他认证方法。
为了使认证最后
能成功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后一
个认证方法。
例如,在下例中,即使RADIUS服务器超时(TIMEOUT),仍然能够通过身份认证:
aaa
authenticationlogindefaultgroupradiusnone
由于关键字none使得拨号的任何用户在安全服务器没有应答情况下都能通过身
份认证,所以仅将它作为备用的身份认证方法。
我们建议:
一般情况下,不要使
注意用none身份认证,在特殊情况下,如所有可能的拨号用户都是可信任的,而且
注意用户的工作不允许有由于系统故障造成的耽搁,可以在安全服务器无应答的情况
下,将none作为最后一种可选的身份认证方法,建议在none认证方法前加上
本地身份认证方法。
关键字
描述
Step1
local
使用本地用户名数据库进行身份认证
Step2
none
不进行身份认证
Step3
groupradius
使用RADIUS服务器组进行身份认证
Step4
grouptacacs+
使用TACACS服务器组进行身份认证
上表列出了锐捷产品支持的AAALogin认证方法。
44.3.5.1使用本地数据库进行Login认证
要配置使用本地数据库进行Login认证时,首先需要配置本地数据库,锐捷产品支持基于本
地数据库的身份认证,建立用户名身份认证,请在全局配置模式下,根据具体需求执
行以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
usernamename[passwordpassword]
建立本地用户,设置口令
Step3
end
退出到特权模式
Step4
showrunning-config
确认配置
定义本地Login认证方法列表并应用认证方法列表,可使用以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
aaaauthenticationlogin{default|list-name}local
定义使用本地认证方法
Step4
end
退出到特权模式
Step5
showaaamethod-list
确认配置的方法列表
Step6
configureterminal
进入全局配置模式
Step7
linevtyline-num
进入线路配置模式
Step8
loginauthentication{default|list-name}
应用方法列表
Step9
end
退出到特权模式
Step10
showrunning-config
确认配置
44.3.5.2使用RADIUS进行Login认证
要配置用RADIUS服务器进行Login认证,首先要配置RADIUS服务器。
配置RADIUS服务器,请在全局配置模式下,根据具体需求执行以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
radius-serverhostp-address[auth-portport][acct-portport]
配置RADIUS服务器
Step4
end
退出到特权模式
Step5
showradiusserver
显示RADIUS服务器
配置好RADIUS服务器后,在配置RADIUS进行身份认证以前,请确保与RADIUS安全服
务器之间已经成功进行了通信,有关RADIUS服务器配置的信息,请参见“配置
RADIUS”。
现在就可以配置基于RADIUS服务器的方法列表了,在全局配置模式下执行以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
aaaauthenticationlogin{default|list-name}groupradius
定义使用RADIUS认证方法
Step4
end
退出到特权模式
Step5
showaaamethod-list
确认配置的方法列表
Step6
configureterminal
进入全局配置模式
Step7
linevtyline-num
进入线路配置模式
Step8
loginauthentication{default|list-name}
应用方法列表
Step9
end
退出到特权模式
Step10
showrunning-config
确认配置
44.3.6配置AAAEnable认证
本节将具体介绍如何配置锐捷产品所支持的AAAEnable认证方法:
在很多情况下,用户需要通过Telnet等方法访问网络访问服务器(NAS),在进行了身份认证以后,就可以进入命令行界面(CLI),此时会被赋予一个初始的执行CLI命令的权
限(0~15级)。
不同的级别,可以执行的命令是不同的,可以使用showprivilege
命令查看当前的级别。
关于更详细的内容,请参见"使用命令行界面”。
如果登录到命令行界面后,由于初始权限过低,不能执行某些命令,则可以使用enable命
令来提升权限。
为了防止网络XX的访问,在提升权限的时候,需要进行身份认证,即卩Enable认证。
要配置AAAEnable认证,在全局配置模式下执行以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
启用AAA。
Step3
aaaauthenticationenabledefaultmethod1
[method2...]
定义一个Enable认证方法列表,可以指定米用的认证方法,例如RADIUS
Enable认证方法列表全局只能定义一个,因此不需要定义方法列表的名称;关键字method
指的是认证实际方法。
仅当前面的方法返回ERROR(无应答),才使用后面的其他
身份方法;如果前面的方法返回FAIL(失败),则不使用其他认证方法。
为了使认证最
后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后
一个认证方法。
Enable认证方法配置以后立即自动生效。
此后,在特权模式下执行enable命令的时候,女口
果要切换的级别比当前级别要高,则会提示进行认证。
如果要切换的级别小于或等于当前级别,则直接切换,不需要进行认证。
如果进入CLI界面的时候经过了Login身份认证(none方法除外),将记录当前使用的用户名。
此时,进行Enable认证的时候,将不再提示输入用户名,直接
、、亠使用与Login认证相同的用户名进行认证,注意输入的口令要与之匹配。
y注
"'如果进入CLI界面的时候没有进行Login认证,或在Login认证的时候使用了none
方法,将不会记录用户名信息。
此时,如果进行Enable认证,将会要求重新输
入用户名。
这个用户名信息不会被记录,每次进行Enable认证都要重新输入。
一些认证方法,在认证时可以绑定安全级别。
这样,在认证过程中,除了根据安全协议返回
的成功或失败的应答外,还需要检查绑定的安全级别。
如果服务协议能绑定安全级别,
贝懦要在认证时校验绑定的级另阮如果绑定的级别大于或等于要切换的目的级别,贝U
Enable认证成功,并切换到目的级别;而如果绑定的级别小于要切换的目的级别,则
Enable认证失败,提示失败信息,维持当前的级别不变。
如果服务协议不能绑定安全级别,则不校验绑定的级别,就可以切换到目的级别。
何选)表示需读者留心关注的重要信息,用“注意栏”的形式提醒读者认真对待
此部分内容,严格遵照其中的要求操作或使用。
若读者忽略此内容,可能会因误注意操作而导致不良后果或无法成功操作。
如产品限制信息,包括芯片差异导致的功
能缺陷、功能之间的互斥信息、实现上的缺陷等等都需用“注意栏”的形式来描
述。
目前能够绑定安全级别的认证方法只有RADIUS和本地认证,因此只对这两种方法进行检
查,如果采用其他认证方法则不进行检查。
44.361使用本地数据库进行Enable认证
使用本地数据库进行Enable认证时,可以在设置本地用户时,为用户设置权限级别。
如果
没有设置,则默认的用户级别为1级。
要配置使用本地数据库进行Enable身份认证
时,首先需要配置本地数据库,并为用户设置权限级别,请在全局配置模式下,根据
具体需求执行以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
usernamename[passwordpassword]
建立本地用户,设置口令
Step3
usernamename[privilegelevel]
为用户设置权限级别(可选)
Step4
end
退出到特权模式
Step5
showrunning-config
确认配置
定义本地Enable认证方法列表,可使用以下命令:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
aaaauthenticationenabledefaultlocal
定义使用本地认证方法
Step4
end
退出到特权模式
Step5
showaaamethod-list
确认配置的方法列表
Step6
showrunning-config
确认配置
44.3.6.2使用RADIUS进行Enable认证
标准的RADIUS服务器可以通过Service-Type属性(标准属性号为6)绑定权限,
升级会员 