AAA是Authentication (认证)、Authorization(授权)和Accounting (计费)的简称,它提供了认证、授权、计费三种安全功能。
AAA授权功能赋予用户访问的特定网络或设备的权限。
AAA支持以下授权方式:
1. 不授权:不对用户进行授权处理。
2. 本地授权:根据NAS上配置的本地用户账号的相关属性进行授权。
3. 远端授权:HWTACACS授权,使用TACACS服务器对用户授权。RADIUS授权,对通过
RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独
使用RADIUS进行授权。
如果在一个授权方案中使用多种授权方式,这些授权方式按照配置顺序生效。不授权方式
最后生效。
AAA配置
[RTA] aaa
[RTA-aaa] authentication-scheme auth1
[RTA-aaa-authen-auth1 ] authentication mode local
[RTA-aaa-authen-auth1 ]quit
[RTA-aaa] authorization-scheme auth2
[RTA-aaa-author-auth2 ] authorization-mode local
[RTA-aaa-author-auth2] quit
[RTA-aaa] domain huawei
[RTA-aaa-domain-huawei] authentication-scheme auth1
[RTA-aaa-domain-huawei] authorization-scheme auth2
[RTA-aaa-domain-huawei] quit
authentication-scheme authentication-scheme-name命令用来配置域的认证方案。缺省情况下,域使用名为“default”的认证方案。
authentication-mode { hwtacacs | radius | local }命令用来配置认证方式,local指定认证模方式为本地认证。缺省情况下,认证方式为本地认证。
authorization-scheme authorization-scheme-name命令用来配置域的授权方案。缺省情况下,域下没有绑定授权方案。
authorization-mode { [ hwtacacs | if-authenticated | local ]*[ none ] }命令用来配置当前授权方案使用的授权方式。缺省情况下,授权模式为本地授权方式。
domain domain-name命令用来创建域,并进入AAA域视图。
[RTA-aa] local-user huawei@huawei password cipher huawei123
[RTA-aaa] local-user huawei@huawei service-type telnet
[RTA-aaa] local-user huawei@huawei privilege level 0
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4] authentication-mode aaa
local-user user-name password cipher password命令用来创建本地用户,并配置本地用户的密码。如果用户名中带域名分隔符,如@,则认为@前面的部分是用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。
local-user user-name privilege level level命令用来指定本地用户的优先级。