AAA(认证Authentication,授权Authorization,记帐Accounting)
企业应先制定对客户信用评价的内容、事项和指标体系标准,这套标准应是参阅一定的理论研究资料和
企业应先制定对客户信用评价的内容、事项和指标体系标准,这套标准应是参阅一定的理论研究资料和
大量实践总结出来的客户信用特征的集中体现,在下面“信用评价”部分将较详细的介绍。
然后对照标准,用计分法对客户信用进行评估,可分六个等级。
满分100分,
>90—100分、AAA级,
>80—90分、AA级,
>70—80分、A级,
>60—70分、BBB级,
>50—60分、BB级,
>40—50分、B级。
国际国内通行的企业信用等级是三等九级制或四等十级
由于CCC、CC、C和D级是属于信用警示企业和失信企业,因此要避免和这些企业进行信用交易,剩下的可
然后对照标准,用计分法对客户信用进行评估,可分六个等级。
满分100分,
>90—100分、AAA级,
>80—90分、AA级,
>70—80分、A级,
>60—70分、BBB级,
>50—60分、BB级,
>40—50分、B级。
国际国内通行的企业信用等级是三等九级制或四等十级
由于CCC、CC、C和D级是属于信用警示企业和失信企业,因此要避免和这些企业进行信用交易,剩下的可
考虑信用交易的企业只是B级以上的六种。
网络安全技术 AAA 认证授权与计费协议组
Kerberos:网络认证协议(Network Authentication Protocol)
RADIUS:远程用户拨入认证系统(Remote Authentication Dial In User Service)
SSH:安全外壳协议(Secure Shell Protocol)
ACS是Cisco出的一个 AAA 认证软件,可以对路由器进行用户认证、授权、记账操作。
安装步骤:
1.以超级用户登录NT或2000的ACS安装机器
2.在CD-ROM中插入ASC的安装光盘
3.用鼠标双击Install的图标
4.在Software License Agreement 窗口中阅读Software License Agreement并点击ACCEPT按纽。
5.点击Next按纽,进入下一步。
6.选择属于你的网络配置情况的多选框,在点击Next按纽,进入下一步
7.如果ACS软件已经在本机上安装了,那么它会提示你是否覆盖还是保存原来的数据选择Yes,
安装步骤:
1.以超级用户登录NT或2000的ACS安装机器
2.在CD-ROM中插入ASC的安装光盘
3.用鼠标双击Install的图标
4.在Software License Agreement 窗口中阅读Software License Agreement并点击ACCEPT按纽。
5.点击Next按纽,进入下一步。
6.选择属于你的网络配置情况的多选框,在点击Next按纽,进入下一步
7.如果ACS软件已经在本机上安装了,那么它会提示你是否覆盖还是保存原来的数据选择Yes,
keep existing database 按纽,保存数据,不选择该按纽则新建数据库,再点击下一步在进行接下来的
安装
8.如果发现有原来的ACS的配置文件,安装程序会提示你是否保存,选择后,再点击下一步在进行
8.如果发现有原来的ACS的配置文件,安装程序会提示你是否保存,选择后,再点击下一步在进行
接下来的安装
9.选择安装都默认的路径请点击Next按纽,进入下一步,选择安装都其他路径请点击Browse按纽,
9.选择安装都默认的路径请点击Next按纽,进入下一步,选择安装都其他路径请点击Browse按纽,
选择路径。
10.选择要认证的用户的数据库是以NT的帐户数据库为基础还是独立的ACS的数据库为基础。选择后
10.选择要认证的用户的数据库是以NT的帐户数据库为基础还是独立的ACS的数据库为基础。选择后
进入下一步。(建议选择独立的ACS数据库)
11.如果选择的是以NT的帐户数据库为基础的,还要选择是否对远程访问用户根据NT的用户管理器
11.如果选择的是以NT的帐户数据库为基础的,还要选择是否对远程访问用户根据NT的用户管理器
来进行限制。进入下一步。
12.完成Authenticate Users Using,Access Server Name,Access Server IP Address,Windows
12.完成Authenticate Users Using,Access Server Name,Access Server IP Address,Windows
NT Server IP Address,TACACS+ or RADIUS Key等参数的填写,进入下一步
13.选择是否打开Interface Configuration window(在安装过程中)(默认为不打开)
14.选择是否打开Enable Log-in Monitoring按纽,同时选择报警方式,包括No Remedial Action
13.选择是否打开Interface Configuration window(在安装过程中)(默认为不打开)
14.选择是否打开Enable Log-in Monitoring按纽,同时选择报警方式,包括No Remedial Action
,Reboot,Restart All,Restart RADIUS/TACACS+,还可以选择通过EMAIL进行报警,(同时要配置
EMAIL的SMTP Mail Server和Mail account to notify),点击Next按纽进入下一步。
15.如果你不配置ACS服务器,就点击Next按纽完成安装,如果你要在安装完成后进行ACS的配置,
15.如果你不配置ACS服务器,就点击Next按纽完成安装,如果你要在安装完成后进行ACS的配置,
则选择Yes, I want to configure Cisco IOS now,进行ACS的配置。
配置ACS服务器:
1.在客户端的IE上输入HTTP://ACS服务器的IP:2002
2.输入用户名和密码进入配置窗口。(如果选择是独立的数据库,默认为空的用户名和密码)
3.根据菜单进行具体的配置。
配置ACS服务器:
1.在客户端的IE上输入HTTP://ACS服务器的IP:2002
2.输入用户名和密码进入配置窗口。(如果选择是独立的数据库,默认为空的用户名和密码)
3.根据菜单进行具体的配置。
ACS 与AD 结合认证配置方法,在我网络上找的,先收藏下来。
一. 测试架构及设备配置:
1. 架构图:
2. 设备配置:
A.Cisco Catalyst 3750-24TS 交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1 服务器做为AD Server
C.一台Windows 2000 Server SP4 服务器做为ACS Server 和CA Server
D.一台Windows 2003 Server SP1 工作站做为终端接入设备
E.Cisco Secure ACS for Windows version 3.3.1
二. AD 及CA 安装:
AD&CA 安装(在此不做介绍),装CA 的SERVER 要在登入AD 后再安装CA
服务.
三. AD 配置:
1. 创建OU.
2. 在OU 下建GROUP, 比如:NETGroup,SYSGroup 等
3. 再创建User, 把对应的User 加入到各自的Group 中,便于管理,在ACS 中
也需要,在ACS 配置中再介绍.
四. ACS 的安装与配置.
1. ACS 的安装:
A. 安装ACS 的SERVER 必须登入到AD 中.
B. ACS 软件安装很简单,下一步下一步,到完成.
C. 还需安装Java 的插件.
2. ACS 的配置:
A. 在ACS 服务器上申请证书: 在ACS 服务器浏览器上键
http://192.168.68.19/certs... 进入证书WEB 申请页面,登录用户采用
域管理用户账号. 选择“Request a certificate →Advanced request →
Submit a certificate request to this CA using a form”,
接下来Certificate Template 处选择“Web Server”,Name: 处填入
“TSGNET”,Key Options: 下的Key Size: 填入“1024”, 同时勾选
“Mark keys as exportable”及“Use local machine store”两个选项, 然后
submit. 出现安全警告时均选择“Yes”, 进行到最后会有
Certificate Installed 的提示信息,安装即可.
B. 进行ACS 证书的配置: 进入ACS 的配置接口选择System
Configuration→ACS Certificate Setup→Install ACS Certificate 进入如
下图片,填写申请的“TSGNET” 证书,再Submit.
按提示重.ACS 服务,出现如下图片即OK:
C. 配置ACS 所信任的CA:
选择System Configuration → ACS Certificate Setup → Install ACS
Certificate→Edit Certificate Trust List”,选择AD Server 上的根证书做为
信任证书,如下图所示:
D. 重启ACS 服务并进行PEAP 设置:
选择“System Configuration → Global Authentication Setup”, 勾选
“Allow EAP-MSCHAPv2” 及“Allow EAP-GTC” 选项, 同时勾选
“Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Versi
on 2 Authentication”选项,如下图所示:
E. 配置AAA Client:
选择“Network Configuration→ Add Entry”, 在“AAA Client”处输入交
换机的主机名,“AAA Client IP Address”处输入C3750 的管理IP 位
址,在“Key”处输入RADIUS 认证密钥tsgacs,“Authenticate Using”处
选择“RADIUS(IETF)”,再Submit+Restart, 如下图所示:
F. 配置外部用户数据库:
选择“External User Databases→Database Configuration→
Windows Database→Create New Configuration”,建一个Database 的名
称PCEBGIT.COM,Submit, 如下图:
再选择“External User Databases→Database Configuration→
Windows Database→Configure”,在Configure Domain List 处将
ACS Server 所在的域名称移动到“Domain List”中.要注意一点
ACS Server 应加入到域中.如下图所示:
同时“Windows EAP Settings”的“Machine Authentication”下勾选
“Enable PEAP machine authentication”和“Enable
EAP-TLS machine authentication.EAP-TLS and PEAP machine
anthentication name prefix.” 选项,其中默认的“host/”不用改动,如下图所
示:
再选择“External User Databases→Unknown User Policy→
Check the following external user databases”,将“External Databases”移动
到右边的Selected Databases 窗口中,完成后再重启服务,如下图所示:
G. 配置ACS Group Mapping:
由于使用AD 的用户名作为认证,用ACS 作为用户访问的授权,因此须将
此ACS 中的Group 与AD 的Group 映射.
External User Database→Database Group Mappings→PCEBGIT.COM→
New Configure”,在Detected Domains 中选择PCEBGIT, 如下图:
再Submit, 确定后出现另一画面,选择PCEBGIT, 如下图所示:
选择PCEBGIT→Add Mapping, 如下图,把NT Groups 中的Group 添加到
Selected 中,以DBAGroup 为例,这里的DBAGroup 就是PCEBGIT 域中
的DBAGroup, 添加后,再在CiscoSecure group 中选择ACS 的
GROUP(ACS 中的GROUP 默认名称是Group 1…,这个名称可以更改,
为便于管理给他改名为DBA), 再Submit 即可.
由于使用AD 的用户名作为认证,用ACS 作为用户访问的授权,因此须将
此ACS 中的Group 与AD 的Group 映射.
External User Database→Database Group Mappings→PCEBGIT.COM→
New Configure”,在Detected Domains 中选择PCEBGIT, 如下图:
再Submit, 确定后出现另一画面,选择PCEBGIT, 如下图所示:
选择PCEBGIT→Add Mapping, 如下图,把NT Groups 中的Group 添加到
Selected 中,以DBAGroup 为例,这里的DBAGroup 就是PCEBGIT 域中
的DBAGroup, 添加后,再在CiscoSecure group 中选择ACS 的
GROUP(ACS 中的GROUP 默认名称是Group 1…,这个名称可以更改,
为便于管理给他改名为DBA), 再Submit 即可.
H. 配置Group 的授权:
通过ACS 的Group 来配置用户访问的权限,比如访问网络中哪一个
VLAN 及什么时间可以访问网络等.现以不同的用户访问不同的VLAN
为例.首先要在Interface Configuration→RADIUS (IETF) 下勾选
Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID. 如下图所
示:
再选择Group Setup→Group:DBA→Edit Settings, 勾选Tunnel-Type;
Tunnel-Medium-Type; Tunnel-Private-Group-ID. 其中Tunnel-Type 设为
VLAN; Tunnel-Medium-Type 设为802; Tunnel-Private-Group-ID 设此
Group 用户所要访问的VLAN 号,现以68 为例.如下图所示:
点Submit+Restart 即可.到此ACS 的配置就完成了!
通过ACS 的Group 来配置用户访问的权限,比如访问网络中哪一个
VLAN 及什么时间可以访问网络等.现以不同的用户访问不同的VLAN
为例.首先要在Interface Configuration→RADIUS (IETF) 下勾选
Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID. 如下图所
示:
再选择Group Setup→Group:DBA→Edit Settings, 勾选Tunnel-Type;
Tunnel-Medium-Type; Tunnel-Private-Group-ID. 其中Tunnel-Type 设为
VLAN; Tunnel-Medium-Type 设为802; Tunnel-Private-Group-ID 设此
Group 用户所要访问的VLAN 号,现以68 为例.如下图所示:
点Submit+Restart 即可.到此ACS 的配置就完成了!
五. AAA Client 的配置(以架构图上3750 为例介绍):
1. 配置一个交换机本地的用户名/口令,用于交换机本地认证,同时可以让交换
机在ACS 认证失败后能登入.
TSG_LAB_02#conf t
TSG_LAB_02(config)# username cisco password *****
2. 配置ACS 认证:
TSG_LAB_02 (config)#aaa new-model
TSG_LAB_02 (config)# aaa authentication login default local
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
3. 配置ACS 授权:
TSG_LAB_02 (config)# aaa authorization network default group radius
4. 指定ACS Server 地址和key, 他是和ACS 服务器交换的密钥.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
5. 应用到VTY 上(下面是VTY 采用本地认证):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
6. 802.1X 配置:
TSG_LAB_02 (config)# dot1x system-auth-control
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config-if) # switchport mode access
TSG_LAB_02 (config-if) # dot1x port-control auto
六. 配置接入设备PC( 在OA 装机时完成的动作):
1. 将终端设备加入域.
2. 在终端设备上手动安装根证书
登录域后在浏览器上键入 http://192.168.68.19/certs... 进入证书WEB 申请
页面,登录用户采用域管理用户账号.选择
“Retrieve the CA certificate or certificate revocation list→
Download CA certificate→Install Certificate→
Automatically select the certificate store based on the type of the certificate”,
按下一步结束证书安装.
1. 配置一个交换机本地的用户名/口令,用于交换机本地认证,同时可以让交换
机在ACS 认证失败后能登入.
TSG_LAB_02#conf t
TSG_LAB_02(config)# username cisco password *****
2. 配置ACS 认证:
TSG_LAB_02 (config)#aaa new-model
TSG_LAB_02 (config)# aaa authentication login default local
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
3. 配置ACS 授权:
TSG_LAB_02 (config)# aaa authorization network default group radius
4. 指定ACS Server 地址和key, 他是和ACS 服务器交换的密钥.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
5. 应用到VTY 上(下面是VTY 采用本地认证):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
6. 802.1X 配置:
TSG_LAB_02 (config)# dot1x system-auth-control
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config-if) # switchport mode access
TSG_LAB_02 (config-if) # dot1x port-control auto
六. 配置接入设备PC( 在OA 装机时完成的动作):
1. 将终端设备加入域.
2. 在终端设备上手动安装根证书
登录域后在浏览器上键入 http://192.168.68.19/certs... 进入证书WEB 申请
页面,登录用户采用域管理用户账号.选择
“Retrieve the CA certificate or certificate revocation list→
Download CA certificate→Install Certificate→
Automatically select the certificate store based on the type of the certificate”,
按下一步结束证书安装.
3. 进行PC 上的802.1x 认证设置:
在网卡的连接属性中选择“验证→为此网络启用IEEE 802.1x 验
证”,EAP 类型选为“受保护的(PEAP)”,勾选“当计算机信息可用时验证为电
脑”,然后再点“内容”,在EAP 属性窗口中选择“确认服务器认证”,同时在
“在受信任的目录授权认证单位”窗口中选择对应的ROOT CA, 这里为
ACSTEST, 认证方法选成“EAP-MSCHAP v2”.再点“设定”按钮勾选选项即
可,如下图所示:
备注:
对于WINXP 和WIN2003 OS 它自带802.1X 认证.如果是WIN2000 OS 须要在“开
始” →“设定” →“控制台” →“系统管理工具” →“服务”中把Wireless
Configuration 服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即
可.这样的话在网卡内容中才会有“验证”选项!
在网卡的连接属性中选择“验证→为此网络启用IEEE 802.1x 验
证”,EAP 类型选为“受保护的(PEAP)”,勾选“当计算机信息可用时验证为电
脑”,然后再点“内容”,在EAP 属性窗口中选择“确认服务器认证”,同时在
“在受信任的目录授权认证单位”窗口中选择对应的ROOT CA, 这里为
ACSTEST, 认证方法选成“EAP-MSCHAP v2”.再点“设定”按钮勾选选项即
可,如下图所示:
备注:
对于WINXP 和WIN2003 OS 它自带802.1X 认证.如果是WIN2000 OS 须要在“开
始” →“设定” →“控制台” →“系统管理工具” →“服务”中把Wireless
Configuration 服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即
可.这样的话在网卡内容中才会有“验证”选项!
转载于:https://blog.51cto.com/brucexu/169054
148
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
