华为AAA和RADIUS协议配置
AAA概述 AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。这里的网络安全主要是指访问控制,包括:
l 哪些用户可以访问网络服务器;
l 具有访问权的用户可以得到哪些服务;
l 如何对正在使用网络资源的用户进行计费;
针对以上问题,AAA必须提供下列服务:
l 认证:验证用户是否可获得访问权。
l 授权:授权用户可使用哪些服务。
l 计费:记录用户使用网络资源的情况。
AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
RADIUS协议概述
如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。
1. 什么是RADIUS
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。RADIUS系统是NAS(Network Access Server)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
2. RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:首先,客户端向RADIUS服务器发送请求报文(该报文中包含用户名和加密口令);然后,客户端会收到RADIUS服务器的响应报文,如ACCEPT报文、REJECT报文等(其中,ACCEPT报文表明用户通过认证;REJECT报文表明用户没有通过认证,需要用户重新输入用户名和口令,否则访问被拒绝)。
AAA和RADIUS协议典型配置举例
组网需求
如下图所示的环境中,现需要通过对交换机的配置实现RADIUS服务器对登录交换机的Telnet用户的远端认证。
其中:由一台RADIUS服务器(其担当认证RADIUS服务器的职责)与交换机相连,服务器IP地址为10.110.91.164,设置交换机与认证RADIUS服务器交互报文时的加密密钥为“expert”,设置交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
2. 组网图
图3-2 配置Telnet用户的远端RADIUS认证
3. 配置步骤
# 添加Telnet用户。
# 配置Telnet用户采用远端认证方式,即scheme方式。
authentication-mode scheme
# 配置domain。
domain cams
quit
# 配置RADIUS方案。
radius scheme cams
primary authentication 10.110.91.164 1812
key authentication expert
server-type Huawei
user-name-format without-domain
# 配置domain和RADIUS的关联。
quit
domain cams
scheme radius-scheme ca
页:
[1]