《AAA认证功能介绍.doc》由会员分享,可在线阅读,更多相关《AAA认证功能介绍.doc(23页珍藏版)》请在三一文库上搜索。
1、it京伟迪科技有服公司GW DELIGHT TECHNOLOGY CO-, LTD.OLTAAA认证功能介绍VESION 1.02011 年 7 月 7 日AAA 认证功能介绍 1一、相关知识点介绍 31.1. AAA 简介 31.1.1. 认证功能 41.1.2. 授权功能 41.1.3. 计费功能 51.2. ISP Domain 简介 51.3. Radius 协议简介 51.3.1. RADIUS 服务的 3 个部分 61.3.2. RADIUS 的基本消息交互流程 61.4. TACACS+ 协议简介 61.5. RADIUS 和 TACACS+ 实现的区别 81.5.1. RADI
2、US 使用 UDP 而 TACACS+ 使用 TCP 81.5.2. 加密方式 8二、OLT 上的 AAA 功能特点 9三、AAA 认证命令行配置 93.1. AAA 配置 93.2. 配置 ISP 域 103.3. 配置 RADIUS 协议 113.4. 配置 TACACS+协议 12四、AAA 认证 server 简介 1.34.1. 安装环境介绍: 134.2. 安装和简要配置 14五、配置案例 1.55.1. Telnet 用户通过 RADIUS 服务器认证的应用配置 155.2. Telnet 用户通过 TACACS+ 服务器认证的应用配置 175.3. Telnet 用户通过双服务
3、器实现主备冗余的 radius 认证 19、相关知识点介绍1.1. AAA 简介AAA 是 Authentication, Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器; 具有访问权的用户可以得到哪些服务; 如何对正在使用网络资源的用户进行计费。针对以上问题,AAA必须提供认证功能、授权功能和计费功能。1.1.1. 认证功能AAA支持以下认证方式: 不认证:对用户非常信任,不对其进行合法检查。一
4、般情况下不采用这种方式。 本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设 备硬件条件限制。 远端认证:支持通过 RADIUS协议或TACACS+ 协议进行远端认证, 设备作为客 户端,与RADIUS服务器或TACACS+服务器通信。对于RADIUS协议,可以采用标 准或扩展的RADIUS协议。1.1.2. 授权功能AAA支持以下授权方式: 直接授权:对用户非常信任,直接授权通过。 本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。 RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一
5、起的,不能单独使用RADIUS进行授权。 TACACS+ 授权:由TACACS+服务器对用户进行授权。1.1.3. 计费功能AAA支持以下计费方式: 不计费:不对用户计费。 远端计费:支持通过RADIUS服务器或TACACS+服务器进行远端计费。AAA 一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。1.2. ISP Domai n简介ISP域即ISP用户群,一个ISP域是由属于同一个ISP的用户构成的用户群。在"useridisp-name”形式的用户名中,“ ”后的“ isp-n
6、ame ”即为ISP域的域名。接入设备将"userid ”作为用于身份认证的用户名,将"isp-name ”作为域名。在多ISP的应用环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下,可以为每个ISP域配置包括使用的 AAA策略(使用的RADIUS 方案等)在内的一整套单独的ISP域属性。1.3. Radius 协议简介RADIUS ( Remote Authentication Dial-In User Service,远
7、程认证拨号用户服务)是一种分布式的、客户端 /服务器结构的信息交互协议,能保护网络不受未授权访问 的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。1.3.1. RADIUS 服务的3个部分 协议:RFC 2865 和RFC 2866 基于UDP/IP 层定义了 RADIUS 帧格式及其消息传输机制,并定义了 1812作为认证端口, 1813作为计费端口。 服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。客户端:位于拨号访问服务器设备侧,可以遍布整个网络。1.3.2. RADIUS的基本消息交互流程RADIUS客户端(交换
8、机)和RADIUS服务器之间通过共享密钥来认证交互的消息, 增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。用户、交换机、RADIUS服务器之间的交互流程如下图所示。翻 DIUGRADIUS订)仇讲熏也ActeM-Requftst 3)4cce*»-Accept存it脅端車请或包皑CCTJW阿bfteqyg芦侶蚀)2 i| 怕 A 柬成爭血.-_1 Ac conn ting-Res pcnsew1.4. TACACS+协议简介在计算机网络中,TACACS+ (Termi nal Access Con troller Access-C on trol S
9、ystemPlus)是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器 提供访问控制的协议。TACACS+提供了独立的认证、授权和记账服务。尽管RADIUS在用户配置文件中集成了认证和授权,TACACS+分离了这两种操作,另外的不同在于TACACS+使用传输控制协议(TCP)而RADIUS使用用户报文协议(UDP).多 数管理员建议使用TACACS+,因为TCP被认为是更可靠的协议。TACACS+协议的扩展为最初的协议规范提供了更多的认证请求类型和更多的响应代码。TACACS+ 使用TCP端口 49,包括三种独立的协议,如果需要,能够在独立的服务器上实现。TACACS+
10、认证因为是基于tcp的认证,其报文交互性要求实时,其具体过程如下图 所示。UserTACACS7ACACS Server用户弩入川户帘向用巾河需叭期户人掀砂用户茂风谨川用门退出ix jurist竝狀报文.向般郴臟用兀.认jUPIiu文,前陀务辭嘲戏需啊盘校”疣m力虫过计力卄蛤报史计粧培束扭丈H谿號曲丈叩奄1.5. RADIUS 和TACACS+实现的区别1.5.1. RADIUS 使用 UDP 而 TACACS+ 使用 TCPTCP提供比UDP更多的高级特性,TCP是面向连接的可靠传输服务,但UDP只提供最优的传输,因而 RADIUS需要额外的代码来实现例如重传、超时等机制,所有这些 在TCP
11、中已是固有的特性。1.5.2. 加密方式RADIUS仅对密码本身进行加密,对报文的其他部分并未加密是明文传输的。这些信息可能通过第三方软件捕获。TACACS+对整个数据包进行加密,仅留下 TACACS+的数据包头,在数据包头中有一个标识位表示该数据包是加密的还是未加密的,未加密的数据包做调试用,而一般应用中的则是加密的,因而TACACS+对整个数据包加密保证了客户端与服务器之间通信的安全性。OLT上的AAA功能特点OLT上的AAA认证功能设计也是按照 AAA框架配置、域相关配置、 radius服务 器相关配置、tacacs+服务器相关配置4个模块设计相关的功能、命令集。OLT开发AAA认证的主
12、要目的是实现 OLT登录用户的集中管理, 集中部署,避免 在每台OLT上添加/删除用户带来麻烦。对此,OLT上的AAA认证功能和理论上的 AAA认证以及 OLT本地认证功能的差别进行了简单整理,主要如下:序号OLT本地认证我们OLT上的AAA认证实现的功能理论上的AAA认证实现的功能1NO部分支持利用radius认证实现网络管 理员对OLT登录操作的集中 管理哪些用户可以访问网络服务器2NO部分支持不同域没有区分服务等级的作用具有访问权的用户可以得到哪些服务3NONO如何对正在使用网络资源的用户进行计费4启用远端认证后,本地认证 配置的用户名/密码将失效OLT超级管理员用户不受AAA认证约束5
13、configlogin-authentication enable依然生效只要通过AAA认证的都是管 理员权限,不再细分三、AAA认证命令行配置3.1. AAA 配置命令说明GFA6900(config)#config login-auth aaa_authGFA6900(config)#config login-auth local配置AAA认证为本地认证或者远 端认证;缺省为本地认证,本地认证时本地用户名/密码配置有效;GFA6900(config)#config aaa-authentication enableGFA6900(config)#config aaa-authenticat
14、ion disable配置AAA认证启用或者禁用; 缺省是禁用;GFA6900(config)#config login-aaa time<1-600>配置AAA认证时client端提交用户名密码后等待时间;缺省时间是30秒;32配置ISP域ISP域即ISP用户群,一个ISP域属于同一个ISP的用户构成。在user_ nameisp _n ame接入设备将"user_nameisp_name ”作为域名。形式的用户名中,"”后的“isp_name ”即为ISP域的域名,命令说明GFA6900(config)#create isp-domain <domai
15、n>GFA6900(config)#delete isp-domain <domain>创建/删除一个ISP域;Default域不能被删除;域名规则:首字符只能为大小写字母,domain不能包含除"a-z ” ,“ A-Z ” , “ 0-9 ” , “”以外的字符,domain的长度不能超过 20个字节;GFA6900(config)#show isp-domain <domain>GFA6900(config)#show isp-domain查看当前存在的ISP域;OLT上同时最多可以包含 5个ISP域(包含缺省的 default域)GFA6900(
16、config)#configisp-domaindefaultusernamecompleteGFA6900(config)#configisp-domaindefaultusernameincomplete配置用户输入时是否要输入带域名的用户名;缺省是complete ,要输入的; 不带域名的用户名系统认为是default 域的用户;GFA6900(config)#config isp-domain default aaa-protocol radiusGFA6900(config)#config isp-domain default aaa-protocol tacacs配置在defaul
17、t 域中使用radius协议或者使用tacacs协议;在所有域中缺省使用radius协议;作为用户身份认证的用户名,将配置在default 域中认证模式是independent或者primary-backup ;Independent:只有第一个服务GFA6900(config)#config authentication mode independentisp-domaindefault器有效;Primary-backup : 主备 模式认GFA6900(config)#config authentication mode primary-backupisp-domaindefault证,当
18、地一个 primary 的服务器 不响应时会向 backup 的服务器 发起请求;默认是 independent方式的认证;将配置好的 radius server 0在GFA6900(config)#configisp-domaindefaultdefault域中启用;authentication add-server id 0从 default 域中删除 radisuGFA6900(config)#configisp-domaindefaultserver 0 ;authentication delete-server id 0添加server时先添加id小的,删除server时先删除id大
19、的;将配置好的tacacs+ server 0在GFA6900(config)#configisp-domaindefaultdefault域中启用;tacc-authentication add-server id 0从 default 域 中删除tacacs+GFA6900(config)#configisp-domaindefaultserver 0 ;tacc-authentication delete-server id 0添加server时先添加id小的,删除server时先删除id大的;GFA6900(config)#configisp-domaindefault手工设置在def
20、ault域中id为0authentication config-server id 0 type primary的服务器为主服务器;GFA6900(config)#configisp-domaindefault缺省情况下被添加的第一个tacc-authenticate config-server-id 0 type primaryserver为主服务器;33配置RADIUS协议命令说明GFA6900(config)#radius authentication enableGFA6900(config)#radius authentication disable启用/禁用radius协议;默认是
21、禁用;这里的设置是全局生效,影响所有的域;GFA6900(config)#radiusauthenticationadd-server id 0server-ip192.168 2244client-ip 192.168.2.130 udp-port1234Server id :添加服务器的编号, 范围是04,先从小的id开始用;Server-ip :指定 radius server 的ip地址;Client-ip : OLT 的 ip 地址; Udp-port : radius server 使用的认证端口号,默认是 1812 ;GFA6900(config)#radius authenti
22、cation delete-server id 0删除id为0的radius server服务器;删除时应该按照id从大到小的顺序来;GFA6900(config)#radiusauthenticationserver-switchenableGFA6900(config)#radiusauthenticationserver-switchdisable配己置radius server 切换开关打开/关闭;默认是关闭;Radius server 切换开关也是全局生效,配置后会影响所有域;GFA6900(config)#radius authentication config-server id
23、 0 status active配置id为0的radius server的 状态是active的;缺省情况下新加的服务器都是 active 的;本命令主要是在特定情况下人工 干预状态使用;GFA6900(config)#radius authentication config-server id 0 shared-secret greenway配置和id为0的radius server通信时的共享密钥是greenway1 ;缺省的共享密钥是 greenway ;Client和server正常通行的前提是共享密钥必须一致!GFA6900(config)#radius authentication
24、 config-server id 0 max-retransmit-count 5GFA6900(config)#radius authentication config-server id 0 retransmit-interval 5配置radius协议的重传间隔/重 传次数分别是5 ;缺省配置时重传间隔/次数都是3 ;34配置TACACS+协议命令说明GFA6900(config)#tacc authentication enableGFA6900(config)#tacc authentication disable启用/禁用tacacs+协议;默认是禁用;这里的设置是全局生效,影响
25、所有的域;GFA6900(config)#taccauthenticationadd-serverid 0server-ip 192.1682244client-ip 192.168.2.130 share-keygreenway1Server id :添加服务器的编号, 范围是04,先从小的id开始用;Server-ip :指定 tacacs+ server 的ip地址;Client-ip : OLT 的 ip 地址; Share-key :共享密钥 缺省是 greenway , OLT 和 tacacs+ server端配置一致; 认证端口: 默认的 tacacs+ server认证端口使
26、用tcp 49 ;删除 id 为 0 的 tacacs+ serverGFA6900(config)#tacc authentication delete-server id 0服务器;删除时应该按照id从大到小的顺序来;配己置tacacs+ server切换开关打GFA6900(config)#tacc authentication server-switch enable开/关闭;GFA6900(config)#taccauthenticationserver-switch默认是关闭;disableTacacs+ server切换开关也是全局生效,配置后会影响所有域;配置id为0的radi
27、us server的GFA6900(config)#taccauthenticationconfig-serverid0状态是active的;status active缺省情况下新加的服务器都是GFA6900(config)#taccauthenticationconfig-serverid0active 的;status inactive本命令主要是在特定情况下人工干预状态使用;配置和 id 为 0 的 tacacs+ server通信时的共享密钥是GFA6900(config)#taccauthenticationconfig-serverid0greenway1 ;share-key g
28、reenway1缺省的共享密钥是 greenway ;Client和server正常通行的前提是共享密钥必须一致!配置tacacs+协议的重传间隔/重GFA6900(config)#config tacc re-transmit period 5传次数分别是5 ;GFA6900(config)#config tacc re-transmit max-num 5缺省配置时重传间隔/次数都是3 ;四、AAA认证server简介AAA认证server也有多种软件,这里只推荐一种适合在现网部署的服务器软件Cisco Secure ACS v4.2,该软件的功能比较强大、稳定,我们只需简单配置就能满足我
29、们使用的需求。4.1. 安装环境介绍:Windows 2003 server sp1 版本(部分 windows2000server 版也可以,推荐2003 )1G 以上内存1.8 GHz 或更高 CPUNTFS 文件系统已经安装 Java 虚拟接 -1_5_0-windows-i586.exe 更多注意事项请参考文档安装手册,这里只列举了特别需要注意的项目。4.2. 安装和简要配置ACS 的安装步骤只需要在具备以上环境的工作站上一路点“ next ”直至安装完 毕,所以详细的步骤这里不再介绍。ACS 安装完成后会在桌面上自动生成一个“ ACS admin ”的管理页面,单击该 管理页面进行
30、ACS 的配置。注:这一步骤中如果 ACS 的管理页面无法打开,请在 IE 属性安全 菜单里 将这个页面设置为受信任的站点即可;ACS 页面打开后的菜单如下图, 标红的部分是必须要做初始配置的 3 个选项卡, 我们只做普通的认证服务器来用的话,这三个菜单里的配置就够,不涉及其他菜单 配置。User Setup :在该菜单里完成用户名 /密码的添加、修改;Network Configuration :在该菜单里完成客户端的设置,共享密钥的设置; Adminstration Control :在该菜单里设置 ACS server 的超级管理员,用于远 程登录,添加、修改 server 上的各个配置
31、信息;这里对ACS的各个子菜单不做详细介绍,单进去后看各个菜单的提示设置就可以的。对于ACS详细的安装、配置专门有一个文档,讲的很详细,有兴趣请参看“ACS安装&置手册.doc ”,已经放到共享服务器上。五、配置案例以下提供3个分别通过radius和tacacs+实现的具体配置案例,5.1. Tel net用户通过RADIUS服务器认证的应用配置该案例是按照在 default域中实现radius认证的配置。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使 能步骤2GFA6900(config)#con
32、fig login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#radius authentication enable配己置radius 认证功能使能步骤4GFA6900(config)#radius authentication add-server id 0 server-ip192.1682244 client-ip 192.1682130酉己 置radiusserver 、radius client ip 地址; 本步骤中忽略配 置udp port 即使 用1812默认端 口,要确保 server 端使用该端口;步骤5GFA6900
33、(config)#radius authentication config-server id 0 shared-secret greenway1配置 client 和 server 通信时的 共享密钥;Server端要保证 和client 配置一 直才能验证成功;步骤6GFA6900(config)#config isp-domain default authenticationadd-server id 0在default域中启 用 server id 0 的配置项;步骤7GFA6900(config)#config isp-domain default aaa-protocol radi
34、us在default域中启 用radius 认证步骤8GFA6900(config)#show radiusRADIUS AUTH: EnableIDSTATESERVER-IPSERVER-PORTCLIENT-IPSECRET0ACTIVE192.168.2.2441812192.168.2.130greenway1IDRETRANSMIT-INTERVALMAX-RETRANSMIT-COUNT查看radisu 相关配置033GFA6900(config)#步骤9GFA6900(config)#show isp-domain default查看 defaut 域相关配置DomainId:
35、0AAAProtocol:RADIUSDomainName:defaultAuthenticateMode:independentRadiusAuthentication:EnabledUserName: completeTacc+ Authentication: DisabledRadius Auth Server Info:IDTYPESTATESERVER-IPSERVER-PORTCLIENT-IPSECRET0PRIMARY ACTIVE192.16822441812192.1682 130 greenway1TACACS+ Auth Server Info:IDTYPESTATES
36、ERVER-IPSERVER-PORTSECRETGFA6900(config)#5.2. Tel net用户通过TACACS+服务器认证的应用配置该案例是按照在default域中实现tacacs+认证的配置。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使 能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#tacc authentication enable配己置 tacacs+ 认证功能使能步骤
37、4GFA6900(config)#tacc authentication add-server id 0 server-ip192.168.2.244 client-ip 192.168.2.130配己置 tacacs+ server 、tacacs+ client ip 地址;步骤5GFA6900(config)#tacc authentication config-server id 0 shared-secret greenway1配置 client 和 server 通信时的 共享密钥;Server端要保证 和client 配置一 直才能验证成功;步骤6GFA6900(config)#
38、config isp-domain default tacc-authenticationadd-server id 0在default域中启 用 server id 0 的配置项;步骤7GFA6900(config)#config isp-domain default aaa-protocol tacacs在default域中启 用tacacs+认证步骤8GFA6900(config)#show tacc查看 tacacs+ 相关配置TACC authentication enabledidserver-statusserver-ipclient-iptcp-portshare-key0Ac
39、tive192.1682244192.168 213049greenway1TACC re-transmit configurationmax retransmit number: 3 retransmit period: 3(seconds)GFA6900(config)#步骤9GFA6900(config)# show isp-domain default查看 defaut 域相关配置DomainId:0AAAProtocol:tacacsDomainName:defaultAuthenticateMode:independentRadiusAuthentication:disabledU
40、serName:completeTacc+Authentication: EnabledRadius Auth Server Info:IDTYPESTATESERVER-IPSERVER-PORTCLIENT-IPSECRETTACACS+ Auth Server Info:IDTYPESTATESERVER-IPSERVER-PORTSECRETPRIMARYACTIVE192.168224449greenway1GFA6900(config)#5.3. Tel net用户通过双服务器实现主备冗余的radius认证该案例是按照在default域中实现主备冗余的 radius认证。步骤命令说
41、明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使 能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#radius authentication enable配己置radius 认证功能使能步骤4GFA6900(config)#radius authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130GFA6900(
42、config)#radius authentication add-server id 1 server-ip192.168.2.99 client-ip 192.168.2.130配己置 tacacs+ server 、tacacs+ client ip 地址;步骤5GFA6900(config)#radius authentication config-server id 0 shared-secret greenway1GFA6900(config)#radius authentication config-server id 1 shared-secret greenway1配置 cl
43、ient 和 server 通信时的 共享密钥;Server端要保证 和client 配置一 直才能验证成功;开启 radisu 、步骤6GFA6900(config)#radius authentication server-switch enabletacacs+ 服务器的切换开关步骤7GFA6900(config)#config isp-domain default authentication mode primary-backup在两个域中分别 开启主备服务器 模式步骤8GFA6900(config)#config isp-domain default authentication
44、add-server id 0GFA6900(config)#config isp-domain default authentication add-server id 1在default域中启 用 server id 0 的配置项;步骤9GFA6900(config)#config isp-domain default aaa-protocol radius在default域中启 用radius 认证GFA6900(config)#show radiusRADIUS AUTH: EnableIDSTATESERVER-IPSERVER-PORTCLIENT-IPSECRET步骤100ACTIVE192.1682 130greenway11ACTIVE192.168.2.1