AAA验证服务器的工作原理:

AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简

称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实

际上是对网络安全的一种管理。工作模式:c/s的工作模式。

一:认证功能

方式

1:不进行认证,通常不这样使用。

2:本地认证,直接在本地设备上进行认证。优点:速度较快。缺点:受到设备硬件的影响,不能够进行集中的管理

3:远端认证.支持radius协议和hwtacacs协议的远端验证,客户端可以是quidway系列的交换机。

二:授权功能

1:直接授权

2:本地授权

3:radius授权

4:hwtacacs授权

三:计费功能

1:不计费

2:远端计费

RADIUS 客户端(交换机)和RADIUS 服务器之间通过共享密钥来认证交互的消息,

增强了安全性。RADIUS 协议合并了认证和授权过程,即响应报文中携带了授权信

息。用户、交换机、RADIUS 服务器之间的交互流程如图所示。

p_w_picpath

基本交互步骤如下:

(1) 用户输入用户名和口令。

(2) RADIUS 客户端根据获取的用户名和口令,向RADIUS 服务器发送认证请求

包(Access-Request)。

(3) RADIUS 服务器将该用户信息与Users 数据库信息进行对比分析,如果认证成

功,则将用户的权限信息以认证响应包(Access-Accept)发送给 RADIUS 客

户端;如果认证失败,则返回Access-Reject响应包。

(4) RADIUS 客户端根据接收到的认证结果接入/ 拒绝用户。如果可以接入用户,

则RADIUS 客户端向RADIUS 服务器发送计费开始请求包

(Accounting-Request ),Status-Type取值为start 。

(5) RADIUS 服务器返回计费开始响应包(Accounting-Response )。

(6) 用户开始访问资源。

(7) RADIUS 客户端向 RADIUS 服务器发送计费停止请求包

(Accounting-Request ),Status-Type取值为stop 。

(8) RADIUS 服务器返回计费结束响应包(Accounting-Response )。

(9) 用户访问资源结束。

案例一:

使用cisco -ACS-4.20.124 版本 和 jre-6u26-windows-i586的搭建acs的思科认证授权服务器,来实现对华为的交换机进行认证,主要介绍telnet方式登录华为的交换机,此时acs可以看做是一台radius服务器,但是需要制作一个定制的文件h3c.ini,并将其导入到acs服务器上,使其支持对华为交换机的验证,并且赋予telnet用户的权限为管理员。目前的版本只支持telnet的方式登录。

示意图

p_w_picpath

一:安装jre-6u26-windows-i586,一路到底即可。

p_w_picpath

p_w_picpath

p_w_picpath

二:安装ciscosecure -ACS-4.20.124

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

三:导入h3c。ini文件导入ciscosecure -ACS-4.20.124 服务器

1. 编写h3c.ini文件(绿色部分即为文件内容)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

2. 将上面定义的文件导入到ACS中

ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:

(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口。

p_w_picpath

(2) 进入ACS的bin目录,在默认安装的情况下,该目录为

c:\Program Files\CiscoSecure ACS v4.2\bin

p_w_picpath

(3) 执行导入命令:

p_w_picpath

3. 查看是否导入成功
导入完毕,可以通过命令来查看:

p_w_picpath

可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性

4. 如果不慎在导入过程中出现错误时,可以在命令行界面删除添加属性,以便重新添加

p_w_picpath

如上图,删除了添加的UDV 0 属性。

另外可以进入ACS页面来查看:

1:首先在网络配置中进行设置,选择华为的属性

p_w_picpath

p_w_picpath

2: 进入Interface Configuration可以看到如下:

p_w_picpath

3: 点击进入看到如下内容:

p_w_picpath

4: 进入Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius (Huawei)”,可以看到添加的属性值

p_w_picpath

5:在group中增加相应的用户

p_w_picpath

p_w_picpath

四: 配置华为的交换机

<SW12>dis cu

#

sysname SW12

#

radius scheme system

server-type huawei

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

radius scheme abc 定义radius的方案为abc

server-type huawei 服务类型为华为

primary authentication 192.168.100.156 1812 radius服务器的ip地址

accounting optional 计费开关为可选

key authentication 123456 共享的密钥

user-name-format without-domain 客户端在向服务器提交用户名和密码的时候不提交域名

domain system

radius-scheme system

access-limit disable

state active

vlan-assignment-mode integer

idle-cut disable

self-service-url disable

messenger time disable

domain zzu

radius-scheme abc 在zzu的域下实施abc的方案

access-limit enable 10 限制该域的最大连接数为10个用户

state active 域的状态

vlan-assignment-mode integer

idle-cut disable

self-service-url disable

messenger time disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key huawei

local-user user1

password simple 123

service-type telnet level 3

#

vlan 1

#

interface Vlan-interface1

ip address 192.168.100.32 255.255.255.0 该交换机的管理地址

#

interface Aux0/0

#

interface Ethernet0/1

#

interface Ethernet0/2

#

interface Ethernet0/3

#

interface Ethernet0/4

#

interface Ethernet0/5

#

interface Ethernet0/6

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

return

<SW12>

在客户机上进行验证

p_w_picpath

p_w_picpath

p_w_picpath

小结:通过导入华为的私有属性,可以实现用ciscorescue 来实现对华为设备的验证和账户的集中管理。

欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份,就说是51cto的博友)