登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

09-安全配置指导

目录

02-AAA配置

本章节下载 02-AAA配置  (957.06 KB)

02-AAA配置

  录

1 AAA

1.1 AAA简介

1.1.1 AAA实现的功能

1.1.2 AAA基本组网结构

1.1.3 RADIUS协议简介

1.1.4 HWTACACS协议简介

1.1.5 LDAP协议简介

1.1.6 基于域的用户管理

1.1.7 认证、授权、计费方法

1.1.8 AAA的扩展应用

1.1.9 协议规范

1.2 AAA配置任务简介

1.3 配置本地用户

1.3.1 本地用户简介

1.3.2 本地用户配置任务简介

1.3.3 配置设备管理类本地用户属性

1.3.4 配置网络接入类本地用户属性

1.3.5 配置用户组属

1.3.6 批量配置本地用户

1.3.7 配置网络接入类本地用户管理功能

1.4 配置RADIUS

1.4.1 RADIUS配置任务简介

1.4.2 配置RADIUS服务器探测模板

1.4.3 创建RADIUS方案

1.4.4 配置RADIUS认证服务器

1.4.5 配置RADIUS计费服务器

1.4.6 配置RADIUS报文的共享密钥

1.4.7 配置RADIUS方案所属的VPN

1.4.8 配置RADIUS服务器的状态

1.4.9 配置RADIUS服务器的定时器

1.4.10 配置发送RADIUS报文使用的源IP地址

1.4.11 配置发送给RADIUS服务器的用户名格式和数据统计单位

1.4.12 配置发送RADIUS报文的最大尝试次数

1.4.13 配置允许发起实时计费请求的最大尝试次数

1.4.14 配置RADIUS报文的DSCP优先级

1.4.15 配置RADIUS Attribute 15的检查方式

1.4.16 配置RADIUS Attribute 25的CAR参数解析功能

1.4.17 配置RADIUS Attribute 31中的MAC地址格式

1.4.18 配置Vendor ID为2011的RADIUS服务器版本号

1.4.19 配置RADIUS Remanent_Volume属性的流量单位

1.4.20 配置设备使用的Acct-Session-Id属性模式

1.4.21 配置RADIUS属性解释功能

1.4.22 配置RADIUS的accounting-on功能

1.4.23 配置RADIUS的session control功能

1.4.24 配置RADIUS DAE服务器功能

1.4.25 配置RADIUS告警功能

1.4.26 RADIUS显示和维护

1.5 配置HWTACACS

1.5.1 HWTACACS配置任务简介

1.5.2 创建HWTACACS方案

1.5.3 配置HWTACACS认证服务器

1.5.4 配置HWTACACS授权服务器

1.5.5 配置HWTACACS计费服务器

1.5.6 配置HWTACACS报文的共享密钥

1.5.7 配置HWTACACS方案所属的VPN

1.5.8 配置HWTACACS服务器的定时器

1.5.9 配置发送HWTACACS报文使用的源IP地址

1.5.10 配置发送给HWTACACS服务器的用户名格式和数据统计单位

1.5.11 配置HWTACACS服务器都处于block状态后的请求动作

1.5.12 HWTACACS显示和维护

1.6 配置LDAP

1.6.1 LDAP配置任务简介

1.6.2 创建LDAP服务器

1.6.3 配置LDAP服务器IP地址

1.6.4 配置LDAP版本号

1.6.5 配置LDAP服务器的连接超时时间

1.6.6 配置具有管理员权限的用户属性

1.6.7 配置LDAP用户属性参数

1.6.8 配置用户组的过滤条件

1.6.9 配置LDAP属性映射表

1.6.10 创建LDAP方案

1.6.11 指定LDAP认证服务器

1.6.12 指定LDAP授权服务器

1.6.13 引用LDAP属性映射表

1.6.14 LDAP显示和维护

1.7 创建ISP域

1.7.1 ISP域简介

1.7.2 配置限制和指导

1.7.3 创建非缺省ISP域

1.7.4 配置缺省ISP域

1.7.5 配置未知域名用户的ISP域

1.8 配置ISP域的属性

1.8.1 配置ISP域的状态

1.8.2 配置ISP域的用户授权属性

1.8.3 设置设备上传到服务器的用户在线时间中保留闲置切断时间

1.8.4 设置ISP域的用户地址类型

1.8.5 设置ISP域的业务类型

1.9 在ISP域中配置实现AAA的方法

1.9.1 配置ISP域的AAA认证方法

1.9.2 配置ISP域的AAA授权方法

1.9.3 配置ISP域的AAA计费方法

1.9.4 ISP域显示和维护

1.10 配置域名分隔符

1.11 限制同时在线的最大用户连接数

1.12 配置设备ID

1.13 配置密码修改周期性提醒日志功能

1.14 AAA典型配置举例

1.14.1 SSH用户的RADIUS认证和授权配置

1.14.2 SSH用户的本地认证和授权配置

1.14.3 SSH用户的HWTACACS认证、授权、计费配置

1.14.4 SSH用户的LDAP认证配置

1.15 AAA常见故障处理

1.15.1 RADIUS认证/授权失败

1.15.2 RADIUS报文传送失败

1.15.3 RADIUS计费功能异常

1.15.4 HWTACACS常见配置错误

1.15.5 LDAP认证失败

1.16 附录

1.16.1 附录A 常见RADIUS标准属性列表

1.16.2 附录B 常见RADIUS标准属性描述

1.16.3 附录C RADIUS扩展属性(Vendor-ID=25506)

 

1 AAA

1.1  AAA简介

1.1.1  AAA实现的功能

AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

·     认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。

·     授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。

·     计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。

1.1.2  AAA基本组网结构

AAA采用客户端/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,负责验证用户身份与管理用户接入,服务器上则集中管理用户信息。AAA的基本组网结构如图1-1

图1-1 AAA基本组网结构示意图

 

当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时,首先需要通过AAA认证,而NAS就起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器。服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS根据服务器返回的结果,决定是否允许用户访问外部网络、获取网络资源。

AAA可以通过多种协议来实现,这些协议规定了NAS与服务器之间如何传递用户信息。目前设备支持RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议、HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)协议和LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议,在实际应用中,最常使用RADIUS协议。

用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。例如,可以选择HWTACACS服务器实现认证和授权,RADIUS服务器实现计费。

当然,用户也可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源时进行身份认证,则网络管理员只需要配置认证服务器。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

目前,设备支持动态口令认证机制。

1.1.3  RADIUS协议简介

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS协议合并了认证和授权的过程,它定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议,UDP端口1812、1813分别作为认证/授权、计费端口。

RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。

1. 客户端/服务器模式

·     客户端:RADIUS客户端一般位于NAS上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

·     服务器:RADIUS服务器一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收NAS发送的认证、授权、计费请求并进行相应的处理,然后给NAS返回处理结果(如接受/拒绝认证请求)。另外,RADIUS服务器还可以作为一个代理,以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信,负责转发RADIUS认证和计费报文。

RADIUS服务器通常要维护三个数据库,如图1-2所示:

图1-2 RADIUS服务器的组成

 

·     “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。

·     “Clients”:用于存储RADIUS客户端的信息(如NAS的共享密钥、IP地址等)。