AAA和RADIUS协议配置
AAA概述
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
l 哪些用户可以访问网络服务器;
l 具有访问权的用户可以得到哪些服务;
l 如何对正在使用网络资源的用户进行计费;
针对以上问题,AAA必须提供下列服务:
l 认证:验证用户是否可获得访问权。
l 授权:授权用户可使用哪些服务。
l 计费:记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
RADIUS协议概述
如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。
1. 什么是RADIUS
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。RADIUS系统是NAS(Network Access Server)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
2. RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:首先,客户端向RADIUS服务器发送请求报文(该报文中包含用户名和加密口令);然后,客户端会收到RADIUS服务器的响应报文,如ACCEPT报文、REJECT报文等(其中,ACCEPT报文表明用户通过认证;REJECT报文表明用户没有通过认证,需要用户重新输入用户名和口令,否则访问被拒绝)。
AAA和RADIUS协议典型配置举例
组网需求
如下图所示的环境中,现需要通过对交换机的配置实现RADIUS服务器对登录交换机的Telnet用户的远端认证。
其中:由一台RADIUS服务器(其担当认证RADIUS服务器的职责)与交换机相连,服务器IP地址为10.110.91.164,设置交换机与认证RADIUS服务器交互报文时的加密密钥为“expert”,设置交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
2. 组网图
图3-2 配置Telnet用户的远端RADIUS认证
3. 配置步骤
# 添加Telnet用户。
# 配置Telnet用户采用远端认证方式,即scheme方式。
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format without-domain
# 配置domain和RADIUS的关联。
[Quidway-radius-cams] quit
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme ca
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
l 哪些用户可以访问网络服务器;
l 具有访问权的用户可以得到哪些服务;
l 如何对正在使用网络资源的用户进行计费;
针对以上问题,AAA必须提供下列服务:
l 认证:验证用户是否可获得访问权。
l 授权:授权用户可使用哪些服务。
l 计费:记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
RADIUS协议概述
如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。
1. 什么是RADIUS
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。RADIUS系统是NAS(Network Access Server)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
2. RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:首先,客户端向RADIUS服务器发送请求报文(该报文中包含用户名和加密口令);然后,客户端会收到RADIUS服务器的响应报文,如ACCEPT报文、REJECT报文等(其中,ACCEPT报文表明用户通过认证;REJECT报文表明用户没有通过认证,需要用户重新输入用户名和口令,否则访问被拒绝)。
AAA和RADIUS协议典型配置举例
组网需求
如下图所示的环境中,现需要通过对交换机的配置实现RADIUS服务器对登录交换机的Telnet用户的远端认证。
其中:由一台RADIUS服务器(其担当认证RADIUS服务器的职责)与交换机相连,服务器IP地址为10.110.91.164,设置交换机与认证RADIUS服务器交互报文时的加密密钥为“expert”,设置交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
2. 组网图
图3-2 配置Telnet用户的远端RADIUS认证
3. 配置步骤
# 添加Telnet用户。
# 配置Telnet用户采用远端认证方式,即scheme方式。
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format without-domain
# 配置domain和RADIUS的关联。
[Quidway-radius-cams] quit
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme ca
RADIUS是一种分布的
客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,
RADIUS客户端运行在
cisco路由器上上,发送认证请求到
中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。
RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco支持在其 AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。
CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。 RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
在以下安全访问环境需要使用RADIUS:
1 当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。
2 当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS被用在Enigma安全卡来验证用户和准予网络资源使用权限。
3 当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的第一步。
4 当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。
5 当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。
6 当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。
RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco支持在其 AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。
CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。 RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
在以下安全访问环境需要使用RADIUS:
1 当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。
2 当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS被用在Enigma安全卡来验证用户和准予网络资源使用权限。
3 当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的第一步。
4 当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。
5 当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。
6 当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。
RADIUS不适合以下网络安全情形:
1 多协议访问环境,Radius不支持以下协议:
2 AppleTalk Remote Access (ARA)苹果远程访问。
3 NetBIOS Frame Control Protocol (NBFCP)网络基本输出输入系统侦控制协议。
4 NetWare Asynchronous Services Interface (NASI)网件异步服务接口。
5 X.25 PAD connections X.25 PAD连接。
6 路由器到路由器情形.Radius不提供双向认证.Radius能使用在要认证从一个路由器到非cisco路由器,当这个非cisco路由器需要认证的时候.
7 网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.
1 多协议访问环境,Radius不支持以下协议:
2 AppleTalk Remote Access (ARA)苹果远程访问。
3 NetBIOS Frame Control Protocol (NBFCP)网络基本输出输入系统侦控制协议。
4 NetWare Asynchronous Services Interface (NASI)网件异步服务接口。
5 X.25 PAD connections X.25 PAD连接。
6 路由器到路由器情形.Radius不提供双向认证.Radius能使用在要认证从一个路由器到非cisco路由器,当这个非cisco路由器需要认证的时候.
7 网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.
欢迎光临
学网,
收藏本篇文章 [1] [2]
$False$
boardid=116&id=12677">
Radius操作:
当一个用户试图登录并验证到一个使用了Radius的访问服务器,发生了以下步骤:
1.这个用户被允许输入用户名和密码.
2.用户名和加密的密码被发送到网络中的Radius服务器.
a.ACCEPT--该用户通过了认证.
b.REJECT--该用户没有被认证,被允许重新输入用户名和密码,或者访问被拒绝了.
c.CHALLENGE--Radius服务器发出挑战.这个挑战收集这个用户附加信息.
d.CHANGE PASSWORD--这个请求时RADIUS服务器发出的,告诉用户换一个新的密码.
ACCEPT或者REJECT回应包括了用来执行或者网络认证的附加数据,你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:
+用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.
+连接参数,包括主机或者ip地址,访问列表,和用户超时.
当一个用户试图登录并验证到一个使用了Radius的访问服务器,发生了以下步骤:
1.这个用户被允许输入用户名和密码.
2.用户名和加密的密码被发送到网络中的Radius服务器.
a.ACCEPT--该用户通过了认证.
b.REJECT--该用户没有被认证,被允许重新输入用户名和密码,或者访问被拒绝了.
c.CHALLENGE--Radius服务器发出挑战.这个挑战收集这个用户附加信息.
d.CHANGE PASSWORD--这个请求时RADIUS服务器发出的,告诉用户换一个新的密码.
ACCEPT或者REJECT回应包括了用来执行或者网络认证的附加数据,你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:
+用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.
+连接参数,包括主机或者ip地址,访问列表,和用户超时.
RADIUS配置举例
aaa new-model //开启 aaa
radius-server host 123.45.1.2 //指定Radius服务器
radius-server key myRaDiUSpassWoRd //定义访问服务器和 Radius共享秘文
username root password ALongPassword //用户名,密码.
aaa authentication ppp dialins group radius local //定义了认证方式列表"dialins",这个东西指定了radius认证.然后,(如果radius服务器没有响应),本地username将会被用来验证ppp.
aaa authorization network default group radius local//用来给Radius用户绑定一个地址和其它网络参数
aaa accounting network default start-stop group radius//用来跟踪 ppp用法.
aaa authentication login admins local//给登录认证定义了另一个方式列表,"admins",
aaa authorization exec default local
line 1 16
autoselect ppp
autoselect during-login
login authentication admins //应用"admins"方式列表用来登录认证.
modem ri-is-cd
interface group-async 1
encaps ppp
ppp authentication pap dialins //应用"dialins"方式列表到指定的地方.
aaa new-model //开启 aaa
radius-server host 123.45.1.2 //指定Radius服务器
radius-server key myRaDiUSpassWoRd //定义访问服务器和 Radius共享秘文
username root password ALongPassword //用户名,密码.
aaa authentication ppp dialins group radius local //定义了认证方式列表"dialins",这个东西指定了radius认证.然后,(如果radius服务器没有响应),本地username将会被用来验证ppp.
aaa authorization network default group radius local//用来给Radius用户绑定一个地址和其它网络参数
aaa accounting network default start-stop group radius//用来跟踪 ppp用法.
aaa authentication login admins local//给登录认证定义了另一个方式列表,"admins",
aaa authorization exec default local
line 1 16
autoselect ppp
autoselect during-login
login authentication admins //应用"admins"方式列表用来登录认证.
modem ri-is-cd
interface group-async 1
encaps ppp
ppp authentication pap dialins //应用"dialins"方式列表到指定的地方.
转载于:https://blog.51cto.com/lidong/327560
扫一扫
2748
到【灌水乐园】发言
Ctrl+Enter 发布
发布
取消