一、AAA简介
AAA即Authentication认证、Authorization授权和Accounting计费,是网络安全的一种管理机制,提供认证、授权和计费三种安全功能。
认证:验证用户是否可以获得网络访问权
授权:授权用户可以使用哪些服务
计费:记录用户使用网络资源的情况
二、二、RADIUS协议和TACACS+协议
NAS(Network Access Server,网络接入服务器)和AAA服务器之间常用协议是RADIUS和TACACS+协议。
RADIUS包头部结构
code 字段表明RADIUS包的信息类型
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
Identifier 字段用于匹配request和reply包
Length 字段表示信息长度
Authenticator 字段用于RADIUS服务器reply,request包随机产生值,reply包中的Authenticator是一个md5值(reply message data + shared key + 随机数)
Attribute字段是AV pair。AV pairs是RADIUS和TACACS+服务器在授权阶段交换的变量信息,用来定义用户的服务级别。AV pairs用来指定用户的认证、授权和审计的属性。这些属性存储在服务器数据库中,并且和特定用户和组关联。在涌过授权约束的用户时发送给NAS,并且把这些属性运用到特定用户会话。