基本概念:域即用户所在的区域,域名为该区域的名字,一般情况下用户名@域名则表明用户属于这个区域,防火墙等设备都有域的概念不过一般都在default域中,所以没有域名。
一般有域就有用户,有用户就有用户服务器来认证用户,服务器分为AD域控服务器,LDAP服务器(存在域的概念);TSM, radius服务器等。
服务器提供用户认证:比如AD服务器通过控制用户pc加入域来控制资源权限;交换机防火墙通过radius服务器进行aaa认证以及802.1x准入控制以及ssl、L2TPvpn的用户接入。下面列出数通产品与认证服务器(radius)的交互配置流程(不涉及原理,只为逻辑理解):
1.以交换机为例,交换机全局和接口启用802.1x认证功能,接入pc必须通过认证才能通过,此时用户输入用户名密码。
2.交换机有默认的default域,以及手工配置的新域@csdn.com,如果用户输入了user后未加@csdn.com则默认去default域进行认证,此时默认域没有配置与服务器交互的配置则无法认证。可以在交换机上配置强制认证域为@csdn.com,这样即使输入带域名的用户也会去该域认证。防火墙无法配置强制认证。
3.交换机通过在域下配置与服务器交互参数来与服务器进行通讯,如果服务器为radius上面的用户没有写域名,可以配置向服务器发送不带域名的用户名。认证完成后即可通信。域下配置服务器模板与认证方案。
这样完成后即可实现用户在服务器,交换机作为代理客户端向服务器发送认证信息认证。