常见的AAA service
Radius(Remote Authentication Dial-In User Service)
在 IETF 的 RFC 2865 中定义TACACS+
常见的AAA SERVER
Cisco Secure Access Control Server (ACS)
可用于跨 UNIX 和 Windows ,并支持 Cisco 特有的协议 TACACS+
FreeRADIUS 是来自GNU
FreeRADIUS 1.0.2 支持 LDAP、MySQL、PostgreSQL 和 Oracle 数据库
并与诸如 EAP 和 Cisco LEAP 之类的网络协议兼容
FreeRADIUS 目前被部署在很多大型生产网络系统中。
RADIUS 服务器可以支持很多不同的用户验证机制
本地 UNIX/Linux 系统密码数据库(/etc/passwd);
PAP(Password Authentication Protocol,密码验证协议,与 PPP 一起使用,在此机制下,密码以明文形式发送;
CHAP(Challenge Handshake Authentication Protocol,比 PAP 更安全,它同时使用用户名和密码);
LDAP 数据库;其他本地数据库(MYSQL、PostgreSQL、Oracle)
AAA组件
NAS(比如ROUTER,访问服务器,各种有用户认证功能的产品)
AAA server
AAA安装原理
ROUTER等要与AAA SERVER建立联系:
首先要配AAA指令,指向AAA SERVER
其次要在AAA SERVER也配client.conf(也可以不配,用网段标识,不用地址一对一标识很多人容易忘了在AAA SERVER上加ROUTER(client)这步要保证AAA SERVER与ROUTER上的KEY是相同的
AAA认证原理
NAS 收到用户连接请求
NAS会将用户信息放在Access-Request里发往指定的AAA SERVER
radius server 对用户进行验证,并返回Access-Accept或Access-Reject给NAS,如果是Access-Accept,还会包含用户的配置信息 收到access-accept或access-reject包后,NAS接受或拒绝用户的连接请求。
Access-Accept 响应用户名匹配,密码匹配, RADIUS 服务器将返回一个 Access-Accept 响应
授权
RADIUS 中,验证和授权是组合在一起的。
access-accept响应中也包括一些参数(属性-值对),以保证对该用户的访问。
包括:
访问类型
协议类型
用户指定该用户的 IP 地址(DHCP)
一个访问控制列表(ACL)
静态路由
reeradius+mysql模式的安装
注意安装mysql的devel版本,为什么呢?因为freerdius的连接模块编译的时候需要用到mysql的链接库和头文件而只安装server和client的rpm包这些都是没有的
来源: http://bbs.07fly.com/forum.php?mod=viewthread&tid=126&extra=page%3D1