第六七章用户认证和DNS部份.docx
《第六七章用户认证和DNS部份.docx》由会员分享,可在线阅读,更多相关《第六七章用户认证和DNS部份.docx(17页珍藏版)》请在冰豆网上搜索。
第六七章用户认证和DNS部份
第六章用户认证
第一节AAA认证概述
随着Internet的进展,愈来愈多的应用通过网络得以实现,拨号用户、专线用户和各类商用业务的进展使Internet面临许多挑战。
如何平安、有效、靠得住的保证运算机网络信息资源存取及用户如何以合法身份登岸、如何授予相应的权限,又如何记录用户做过什么的进程成为任何网络效劳提供者需要考虑和解决的问题。
正是基于此需求,AAA协议慢慢进展完善起来,成为很多网络设备解决该类问题的标准。
AAA即为Authentication(认证),Authorization(授权),Accounting(记费)。
认证(Authentication)即分辨用户是谁的进程。
通常该进程通过输入有效的用户名和密码实现;授权(Authorization):
对完成认证进程的用户授予相应权限,解决他能做什么的问题。
在一些身份认证的实现中,认证和授权是统一在一路的;计帐(Accounting):
统计用户做过什么的进程,用户利用的时刻和费用。
通常能够用用户占用系统时刻、同意和发送的信息量来衡量。
AAA的通常框架:
AAA通过Authentication,Authorization,Accounting集成操纵了用户在自己特定角色特点所遵循的原那么下如何访问多个网络及特定网络下的某个平台也及某种应用效劳。
通常意义上的AAA效劳器都具有效户认证、授权处置用户请求和搜集用户利用情形的相关数据的功能。
对一个效劳提供商来讲,如此的AAA效劳器应该有一个应用型的特定模式的应用界面(接口),通过那个界面(接口)的效劳必需通过授权。
在实际利用中,AAA效劳器都带有一个用户数据库(能够是某系统用户数据库或独立的数据库系统),那个数据库中含有效户的初始化信息,它能够反映合法的属性值和每一个用户所享有的权限。
通过它和客户端软件的数据交流来实施相关操作。
Authentication通过终端用户的识别属性来判定它是不是有进入网络的权限。
终端用户一样需要提供一个用户名(该用户名在那个认证系统中应该是唯一的)和对应该用户名的口令。
AAA效劳器将用户提交的信息和贮存在数据库的和用户想关联的信息比较,若是匹配成功的话该次登岸生效,不然拒绝用户请求。
当用户通过认证以后,Authorization就决定了该用户访问网络的全线范围及所享有何种效劳。
就有可能包括提供一个IP地址,或某种规那么的滤镜以来确信那些应用和协议能够被支持。
在AAA治理模式下Authentication和Authorization通常能够一路执行。
Accounting提供了搜集用户利用网络资源情形信息的方式。
通过该类数据的搜集,能够提供网络审查、进展和结构调整的一些依据。
如图显示AAA解决方案的各个组成部份。
网络访问效劳器有时可能是一台路由器,或一台终端效劳器,或是另一台的主机。
它要紧作为一个网络的入口,在AAA效劳器模式下承担是客户端的功能。
一个AAA的工作进程能够分为如下几步:
1)终端通过PPP给网络访问效劳设备发出连接请求,访问效劳器提示用户输入用户名和密码等信息。
2)网络访问效劳器一旦取得这些信息,就制造而且发送一个“Access-Request”数据包给RADIUS效劳器,其中就包括了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。
若是RADIUS效劳器在一段规定的时刻内没有响应,那么NAS会从头发送上述数据包;另外若是有多个RADIUS效劳器的话,NAS在多次尝试主RADIUS效劳器失败后,会转而利用其他的RADIUS效劳器。
3)RADIUS效劳器会直接抛弃那些没有加“共享密钥”(SharedSecret)的请求而不做出反映。
若是数据包有效,那么RADIUS效劳器访问认证数据库,查找此用户是不是存在。
若是存在,那么提取此用户的信息列表,其中包括了用户口令、访问端口和访问权限等。
当一个RADIUS效劳器不能知足用户的需要时,它会求助于其他的RADIUS效劳器,现在它本身充当了一个客户端。
若是在PAP模式下,用户信息被否定,那么RADIUS效劳器给客户端发送一个“Access-Reject”数据包,指示此用户非法。
相反,若是用户名和密码有效,那么Radius效劳器给访问效劳器返回“Access-Accept”数据包;在CHAP模式下,情形略微复杂些,有爱好的同事能够参考RFC2865~2869
4)访问效劳器将通知结果给终端用户。
Radius数据包结构
RADIUS数据包被包装在UDP数据报的数据块(Datafield))中,其中的目的端口为1812或1814。
具体的数据包结构如以下图。
Code域长度为8位,具体取值见下表。
其中,一、二、3用于用户认证,而4、5那么是统计流量用,1二、13用于实验时期,255作为保留。
Code
含义
1
Access-Request
2
Access-Accept
3
Access-Reject
4
Accounting-Request
5
Accounting-Response
11
Access-Challenge
12
Status-Server(experimenta)
13
Status-client(experimenta)
255
Reserved
Identifier域长度为8位,要紧用于匹配请求和回应数据包,也即是数据包的编号。
Length长度为16位,取值范围(20<=Length<=4096),此长度包括Code、Identifier、Length、Authenticator和Attribute五个数据域的长度总和(Code、Identifier、Length、Authenticator为定长,Attribute为变长)。
超出范围的数据将被视为附加数据(Padding)或直接被忽略。
Authenticator长度为16个字节(128位),要紧用于鉴定来自RADIUS效劳器的回应,同时也用于对用户口令进行加密。
Attributes属性域有Type—Length—value三元组组成,的数据格式如以下图所示。
其中Type指示了Attribute的类型代码,一样支持的类型有几十种,各个厂家不同的BAS或NAS设备可能具有不同的私有Attribute,具体参考各厂家网络接入设备可支持的属性表。
公认的Attribute一样有以下几个:
Type
说明
1
User-Name
2
Password
3
CHAP-Password
4
NAS-IP-Address
5
NAS-Port-Id
6
Service-Type
7
Framed-Protocol
8
…..
Length表示了Attibutes属性地域的总长度。
Valve表示了属性的值,一样有四种类型:
String、IPaddress、,Integer、Time。
第二节几种认证方式的比较
目前业界有几种认证方式:
PPPOE、DHCP+WEB和。
以下做一个比较:
PPPOE
PPPOE认证原理
PPPoE的全称是:
在以太网上传输PPP的一种方式;是以太网上的一种接入技术,它通过在共享式以太网上成立点到点链路,以此来对每一个PPPoE用户执行单独的策略,因此具有可治理性;又因为它利用PPP的各类成熟功能,因此比较容易实现,能够轻易与Radius技术结合来完成3A功能;而且,PPPoE技术提高了以太网接入的平安性,因此PPPoE技术
是一个很受欢迎的技术。
PPPoE接入采纳客户机/效劳器模型,整个进程分Discovery时期和Session时期。
Discovery时期:
1)接入主机通过在以太网上广播PADI(PPPoEActiveDiscoveryInitiation)分组来发觉接入效劳器;
2)对主机进行效劳的效劳器对该主机应答PADO(PPPoEActiveDiscoveryOffer)分组,目的是向主机通告效劳器能提供的所有效劳;若是效劳器不能提供PADI所要求的效劳,它将不该答PADO。
3)接入主机发送PADR(PPPoEActiveDiscoveryRequest)分组来选择一个效劳器,同时在分组中包括所请求的效劳名;
4)效劳器收到一个PADR分组,预备开始一个PPP会话。
它为该对话生成一个唯一的SessionID,并对主机应答一个PADS分组,其中包括SessionID,此ID将被包括在以后的所有信息互换中,以用于标识此特定的会话,从而在以太网上成立起了一条PPP链路。
尔后将进入PPPoE接入的下一个时期---Session时期。
Session时期:
1)接入主机和效劳器在Discovery时期成立的PPP链路上开始PPP的LCP协商,认证和IPCP协商,协商完成后,就能够够发送数据了;
2)用户上网完成,发送PPP的TermReq要求进行断网,效劳器断开PPP连接,将用户上网的计费信息发送给Radius,同时用户端会发送PADT。
PPPOE的特点总结
优势:
●是传统PSTN窄带拨号接入技术在以太网接入技术的延伸
●和原有窄带网络用户接入认证体系一致
●最终用户相对照较容易接收
缺点:
●PPP协议和Ethernet技术本质上存在不同,PPP协议需要被再次封装到以太帧中,因此封装效率很低
●PPPoE在发觉时期会产生大量的广播流量,对网络性能产生专门大的阻碍组播业务开展困难,而视频业务大部份是基于组播的
●需要运营商提供客户终端软件,保护工作量过大
●PPPoE认证一样需要外置BAS,认证完成后,业务数据流也必需通过BAS设备,容易造成单点瓶颈和故障,而且该设备通常超级昂贵。
DHCP+WEB
DHCP+WEB认证原理
WEB认证最初是一种业务类型的认证,通过启动一个WEB页面输入用户名/密码,实现用户认证。
用的最多的是在一些门户网站,例如新浪、搜狐等,若是用户申请了WEB邮件效劳,就能够够通过在其认证的WEB页面上输入用户名/密码进入到门户网站的效劳中。
WEB认证目前已经成为运营商网络平台的认证方式,通过WEB页面实现对用户是不是有利用网络权限的认证。
WEB认证的要紧进程如下:
a)用户机器上电启动,系统程序根据配置,通过DHCP由BAS做DHCP-Relay,向DHCPServer要IP地址(私网或公网);
b)BAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问portalserver和一些内部服务器,个别外部服务器如DNS);
c)Portalserver向用户提供认证页面。
在该页面中,用户输入帐号和口令,并单击“login”按钮。
也可不输入由帐号和口令,直接单击“Login”按钮;
d)该按钮启动portalserver上的Java程序,该程序将用户信息(IP地址,帐号和口令)送给网络中心设备BAS;
e)BAS做为radius的客户端截获用户帐号和密码等信息,将这些信息送到Radiusserver进行认证;
f)RadiusServer返回认证结果给BAS;
g)认证通过后,BAS修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。
h)用户离开网络前,连接到portalserver上,单击“断开网络”按钮。
系统停止计费,删除用记的ACL和转发信息,限制用户不能访问外部网络。
i)在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断掉,直接关机等。
DHCP+WEB认证特点总结
优势:
●不需要特殊的客户端软件,降低网络保护工作量;
●能够提供Portal等业务认证;
缺点:
●WEB承载在7层协议上,关于设备的要求较高,建网本钱高;
●用户连接性差,不容易检测用户离线,基于时刻的计费较难实现;
●易用性不够好,用户在访问网络前,不管是TELNET、FTP仍是其它业务,必需利用阅读器进行WEB认证;
●IP地址的分派在用户认证前,若是用户不是上网用户,那么会造成地址的浪费,而且不便于多ISP的支持;
●认证前后业务流和数据流无法区分。
认证原理
起源于EAPoL(基于局域网的扩展认证协议),是IEEE为了解决基于端口的接入操纵(Port-BasedAccessControl)而概念的一个标准。
在传统的以太网设备基础上,采纳IEEE协议,对基于以太网的点到点连接的端口用户提供了认证和授权的能力。
协议是基于Client/Server的访问操纵和认证协议。
在取得LAN提供的各类业务之前,对连接到以太网端口上的用户/设备进行认证。
从而限制XX的用户/设备通过以太网端口访问LAN/WAN
如上图所示,IEEE的体系结构包括三部份:
●请求者(SupplicantSystem)。
一样为一个用户终端系统,该终端系统通常要安装一个客户端软件。
用户通过启动那个客户端软件发起IEEE协议的认证进程。
认证通事后能够发起ip地址请求。
WindowsXP已支持客户端。
●认证者(AuthenticatorSystem)。
一样为支持IEEE协议的网络设备。
该设备对应于不同用户的端口,它们能够是物理端口,也能够是用户设备的MAC地址、VLAN、IP等。
它要紧依照客户的认证状态操纵其物理接入,是客户与认证效劳器之间的认证代理。
认证者也确实是以太网设备的每一个物理端口被分为授权和非授权的两个逻辑端口。
对授权端口的访问,受限于授权端口的授权状态。
认证者的PAE(端口访问实体)依照认证效劳器认证进程的结果,操纵“授权端口”的授权/未授权状态。
非授权端口始终处于双向连通状态,要紧用来传递EAPoL协议帧,保证请求者始终能够发送或接收认证。
授权端口只有在认证通事后才打开,用于传递网络资源和效劳。
授权端口有双向授权和仅输入授权两种方式,以适应不同的应用环境。
输入授权应用在集中桌面治理的应用处合,例如治理员即便在客户端关机的情形下也能通过授权端口向客户端发送远程开机命令。
●认证效劳器系统(AuthenticationServerSystem)。
依照认证者的信息,对请求访问网络资源的用户/设备实施实际认证功能的设备。
一样驻留在运营商的AAA中心,典型的是传统的Radius效劳器。
该效劳器能够存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问操纵列表等等。
当用户通过认证后,认证效劳器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问操纵列表,用户的后续流量就将同意上述参数的监管。
认证进程
在启用认证时,认证者即以太网端口的授权端口的初始状态一样为未授权状态(unauthorized)。
在该状态下,授权端口对连接在物理端口上的用户MAC(媒体访问操纵)是关闭的。
现在,除报文和广播报文外,用户/设备是无法享用以太网端口提供的网络接人业务的。
当客户通过认证后,端口状态切换到授权状态,许诺客户端通过端口进行正常通信。
认证者PAE利用非授权的端口,通过EAPOL协议与请求者PAE进行认证信息交互,并采纳承载在其它高层协议上的EAPoRadius或扩展认证协议(EAP)与认证效劳器进行通信。
认证者要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证效劳器,返回等同;最后认证者PAE依照认证效劳器返回的认证结果,开放或关闭授权端口,从而操纵最终用户对网络的访问。
认证效劳器(Authenticationserver)核实客户的identity,通知认证者是不是许诺客户端访问LAN和网络系统所提供的各类效劳。
认证者PAE的作用相当于认证效劳器的代理。
它能够与认证效劳器位于同一物理设备,也能够通过LAN/WAN与认证效劳器进行本地和远程认证。
具体认证流程图如下:
认证特点总结
优势:
●协议为二层协议,不需要抵达三层,而且接入层互换机无需支持的VLAN,对设备的整体性能要求不高,能够有效降低建网本钱。
●通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。
●业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处置没有特殊要求
缺点:
●需要特定客户端软件
●该协议已经取得了很多软件厂商的重视,目前微软新版的windowsXP已经自带客户端软件
第七章DNS
第一节DNS相关概念简介
一、DNS(DomainNameSystem):
层次性散布式数据库,包括INTERNET主机名到IP地址的映射信息、IP地址到主机名的映射信息、邮件路由信息,等等。
二、Domain(域):
INTERNET组织机构设立了根域,包括、、.gov等等,每一个根域下又细分许多子域,并依如实际需求一层一层细分下去,形成一个树状结构。
3、Delegation(授权):
域依如实际需求细分为子域,并将子域的治理权限交给另一台机械称为授权。
4、Zone(区):
域扣掉授权过的子域剩下的部份。
五、Resolver(解析器):
通常以函数库的方式嵌在操作系统中,负责接收各类应用程序的DNS查询请求,并把请求转发给域名效劳器。
解析器于域名效劳器之间存在两种工作方式,递归式和迭代式。
且域名效劳器之间利用的也是这两种工作方式。
RecursiveQuery(递归查询):
大多数操作系统的解析器为stubresolver(根解析器),这种解析器不能独立完成完整的解析请求,它把DNS请求转发给指定的本地域名效劳器,本地域名效劳器通过层层查询取得最终解析结果,并把最终解析结果返回给根解析器。
这种方式称为递归式查询。
IterativeQuery(迭代式查询):
通常DNS解析不是一次查询就能够完成的,迭代式查询与递归式查询最全然的区别在于,本地域名效劳器收到解析器的请求后,返回给解析器的仅是中间结果,解析器需要依照中间结果再去进一步查询,直到取得最终解析结果。
六、NameServer(域名效劳器):
域名效劳器有两大类型AuthoritativeNameServer(权威域名效劳器)和CachingNameServer(存储缓冲域名效劳器)。
权威域名效劳器又包括了主效劳器、辅效劳器等子类型。
ThePrimaryMaster(主效劳器)/SlaveServer(辅效劳器):
每一个区至少有一台权威域名效劳器负责解析工作,考虑到效劳器和网络的不稳固性,通常把区交由两台或多台权威域名效劳器解析。
其中的一台被指定为主效劳器,其它的那么为辅效劳器。
区完整的配置信息保留在主效劳器上,辅效劳器会按期将主效劳器上区的资料复制到本机,那个进程称为zonetransfer(区传输)。
存储缓冲域名效劳器:
为了节省查询时刻,提高性能,支持递归查询的域名效劳器通常会在必然的时刻范围内将查询结果放入高速缓存,利用这种方式的域名效劳器称为存储缓冲域名效劳器。
第二节BIND简介
目前利用最为普遍的DNS效劳软件是美国伯克利大学研究开发的免费软件---BIND(BerkeleyInternetNameDomain)。
BIND现有安装版要紧包括三个系列,、、。
版本和代表着进展趋势,当前最新版本别离是(2002/6)和(2002/5),罢了经开始退出舞台。
需要注意的是:
一、大多数厂商操作系统中的域名效劳软件版本较为陈腐,如SUN公司的、等,其操作系统自带的域名效劳软件是以为核心的,必需从头安装高版本的BIND;
二、保护人员应按期查看相关站点(如),跟踪BIND新版本的推出,依照新版本增加的功能和对网络平安漏洞修补的情形决定是不是需要升级;关注CERT发布的平安公告,并参照相关公告要求做相应的配置。
BIND能够运行在当前大多数系统平台之上,以BIND9为例,支持的平台有:
AIX
COMPAQTru64UNIX
COMPAQTru64UNIX5(withIPv6EAK)
FreeBSD,,,
HP-UX,x<11
IRIX64
NetBSD
RedHatLinux,,,
Solaris,7,8
WindowsNT/W2K
BIND作为实现DNS协议的软件体要紧包括三大部份:
DomainNameSystemserver
DomainNameSystemresolverlibrary
检测DNS效劳的工具,如:
nslookup、ndc等
第三节DNS安装
能够在下载各类版本的BIND,咱们选用为例来讲明DNS安装进程,其它版本的安装进程是类似的,但细节上有可能存在不同。
1、确认机械有足够的空间
#df-k
确保工作目录(临时寄存的目录)所在的分区有大约10M以上的自由空间。
确保安装目标分区(缺省为/usr/local)有大约30M字节以上的自由空间。
二、解紧缩
在工作目录下,解紧缩下载软件包bind-。
#tarxvf解压后在工作目录下产生目录,所有源文件都在其中。
3、编译
确认主机上面安装有编译器,如gcc,而且gcc和make在超级用户的执行文件搜索途径中。
进入目录,进行缺省安装(能够通过命令行加参数的方式修改相关缺省安装参数,具体参数依照版本转变有所不同)。
#cd./configure
#make
#makeinstall
缺省安装的执行文件目标目录在/usr/local/sbin,配置文件目录在/usr/local/etc。
4、运行
杀掉原有named进程,运行新named进程,使新安装的BIND生效。
#pkill
#pkillnamed
#/usr/local/sbin/named
五、开机自动启动设置
编辑文件/etc/S72inetsvc,将其中的/usr/sbin/相应地改成/usr/local/sbin/named、/etc/相应地改成/usr/local/etc/,使主机每次启动时能够自动运行新的域名效劳。
第四节DNS配置
咱们仍然选用为例来讲明DNS配置进程,其它版本的配置方式大体一样,只是个别语法可能存在细节上的不同。
DNSresolverlibrary的配置
#vi/etc/
将行:
hostsfiles
改成:
hosts filesdns
#cat/etc/
domain(该域的作用是当resolver收到不完整的域名解析请求时,会将该域追加在后面形成完整的域名,再将其转发出去)
nameserver(此处为本地DNS效劳器的IP地址)
nameserver(此处为备份DNS效劳器的IP地址)
optionstimeout:
2(超不时刻设置)
DNS效劳器配置文件
该配置文件用于告知DNS效劳器区的设置情形和区数据文件的位置,同时也包括同途径、平安等相关的配置。
该文件的默许文件名。
一、注释
能够利用三种风格的注释:
/*这是C语言风格的注释*/
in{
typehint;
file"";
};
五、设置区数据文件所在目录
options{
directory"path_name";in{
typehint;
file"";
};
区文件的配置
区数据文件中大的部份条款被称为DNS资源记录。
DNS查询是不区分大小写的,能够在区数据文件中输入大写、小写或混合写,但偏向于全数利用小写,因为大写是被
升级会员 