认识AAA
AAA简介 AAA是 Authentication 、Authorization 和 Accounting 的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。 最常见的应用场景就是运营商需要验证家庭宽带用户的账号密码之后才允许上网,并记录用户的上网时长或流量进行计费。 AAA 架构 AAA 架构包括用户、NAS(Network Access Server)、AAA服务器 NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案 用户属于哪个域是由用户名中的域名分隔符 @ 后的字符串决定。例如上图中的用户分别属于 Domain1、Domain2、Domain3 (图中单词拼错了🙃) 认证 AAA 的认证方式有三种:不认证、本地认证、远端认证 不认证:完全信任用户,不对用户身份进行合法性检查,一般很少用。 本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在 NAS 上,此时 NAS 就是 AAA Server。该认证方法处理速度快、运营成本低,缺点是存储的信息量受设备硬件条件限制。 远端认证:将用户信息配置在认证服务器上。NAS 作为客户端,通过 RADIUS 协议或 HWTACACS 协议进行远端认证。 授权 跟认证一样,分为不授权、本地授权和远端授权 前两种类比认证,不再赘述 远端授权也支持 RADIUS 服务器或 HWTACACS 服务器授权。 前者只支持通过 RADIUS 服务器认证的用户授权,RADIUS 协议的认证和授权是绑定在一起的,不能单独使用 RADIUS 进行授权。 后者使用 HWTACACS 服务器对所有用户进行授权。 使用远端授权时,用户可以同时从授权服务器和 NAS 获取授权信息,其中授权服务器下发的授权信息优先级更高。 计费 分为不计费和远端计费两种方式。 不计费即白嫖,给用户提供免费上网服务。 远端计费支持通过 RADIUS 服务器或 HWTACACS 服务器进行远端计费。...