AAA认证功能介绍

北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 1 19 OLT AAA 认证功能介绍认证功能介绍 VESION 1 0 2011 年年 7 月月 7 日日 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 2 19 AAA 认证功能介绍认证功能介绍 1 一 一 相关知识点介绍相关知识点介绍 3 1 1 AAA 简介简介 3 1 1 1 认证功能认证功能 3 1 1 2 1 1 2 授权功能授权功能 3 1 1 3 1 1 3 计费功能计费功能 3 1 2 ISP Domain 简介简介 4 1 3 Radius 协议简介协议简介 4 1 3 1 RADIUS 服务的服务的 3 3 个部分个部分 4 1 3 2 1 3 2 RADIUSRADIUS 的基本消息交互流程的基本消息交互流程 4 1 4 TACACS TACACS 协议简介协议简介 5 1 5 RADIUSRADIUS 和和 TACACS TACACS 实现的区别实现的区别 7 1 5 1 RADIUS1 5 1 RADIUS 使用使用 UDPUDP 而而 TACACS TACACS 使用使用 TCPTCP 7 1 5 2 1 5 2 加密方式加密方式 7 二 二 OLT 上的上的 AAA 功能特点功能特点 8 三 三 AAA 认证命令行配置认证命令行配置 8 3 1 AAA 配置配置 8 3 2 配置配置 ISP 域域 9 3 3 配置配置 RADIUS 协议协议 10 3 4 3 4 配置配置 TACACS TACACS 协议协议 11 四 四 AAA 认证认证 server 简介简介 12 4 1 安装环境介绍 安装环境介绍 12 4 2 安装和简要配置安装和简要配置 12 五 五 配置案例配置案例 13 5 1 Telnet 用户通过用户通过 RADIUS 服务器认证的应用配置服务器认证的应用配置 13 5 2 Telnet 用户通过用户通过 TACACS 服务器认证的应用配置服务器认证的应用配置 15 5 3 Telnet 用户通过双服务器实现主备冗余的用户通过双服务器实现主备冗余的 radius 认证认证 17 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 3 19 一 一 相关知识点介绍相关知识点介绍 1 1 AAA 简介简介 AAA 是Authentication Authorization and Accounting 认证 授权和计费 的简 称 它提供了一个对认证 授权和计费这三种安全功能进行配置的一致性框架 实际上 是对网络安全的一种管理 这里的网络安全主要是指访问控制 包括 哪些用户可以访问网络服务器 具有访问权的用户可以得到哪些服务 如何对正在使用网络资源的用户进行计费 针对以上问题 AAA 必须提供认证功能 授权功能和计费功能 1 1 1 认证功能认证功能 AAA 支持以下认证方式 不认证 对用户非常信任 不对其进行合法检查 一般情况下不采用这种方式 本地认证 将用户信息 包括本地用户的用户名 密码和各种属性 配置在设备 上 本地认证的优点是速度快 可以降低运营成本 缺点是存储信息量受设 备硬件条件限制 远端认证 支持通过 RADIUS 协议或TACACS 协议进行远端认证 设备作为客户 端 与RADIUS 服务器或TACACS 服务器通信 对于RADIUS 协议 可以采用标准或扩 展的RADIUS 协议 1 1 2 1 1 2 授权功能授权功能 AAA 支持以下授权方式 直接授权 对用户非常信任 直接授权通过 本地授权 根据设备上为本地用户帐号配置的相关属性进行授权 RADIUS 认证成功后授权 RADIUS 协议的认证和授权是绑定在一起的 不能单独 使用RADIUS 进行授权 TACACS 授权 由TACACS 服务器对用户进行授权 1 1 3 1 1 3 计费功能计费功能 AAA 支持以下计费方式 不计费 不对用户计费 远端计费 支持通过 RADIUS 服务器或TACACS 服务器进行远端计费 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 4 19 AAA 一般采用客户端 服务器结构 客户端运行于被管理的资源侧 服务器上集中 存放用户信息 因此 AAA 框架具有良好的可扩展性 并且容易实现用户信息的 集中管理 1 2 ISP Domain 简介简介 ISP 域即ISP 用户群 一个ISP 域是由属于同一个ISP 的用户构成的用户群 在 userid isp name 形式的用户名中 后的 isp name 即为ISP 域的 域名 接入设备将 userid 作为用于身份认证的用户名 将 isp name 作为域名 在多 ISP 的应用环境中 同一个接入设备接入的有可能是不同ISP 的用户 由于 各ISP 用户的用户属性 例如用户名及密码构成 服务类型 权限等 有可能各不相同 因此有必要通过设置ISP 域的方法把它们区别开 在 ISP 域视图下 可以为每个ISP 域配置包括使用的AAA 策略 使用的RADIUS 方案等 在内的一整套单独的 ISP 域属性 1 3 Radius 协议简介协议简介 RADIUS Remote Authentication Dial In User Service 远程认证拨号用户服务 是一种分布式的 客户端 服务器结构的信息交互协议 能保护网络不受未授权访问 的干扰 常被应用在既要求较高安全性 又要求维持远程用户访问的各种网络环境 中 1 3 1 RADIUS 服务的服务的3 3个部分个部分 协议 RFC 2865 和RFC 2866 基于UDP IP 层定义了RADIUS 帧格式及其消 息传输机制 并定义了1812 作为认证端口 1813 作为计费端口 服务器 RADIUS 服务器运行在中心计算机或工作站上 包含了相关的用户认 证和网络服务访问信息 客户端 位于拨号访问服务器设备侧 可以遍布整个网络 1 3 2 1 3 2 RADIUSRADIUS 的基本消息交互流程的基本消息交互流程 RADIUS 客户端 交换机 和RADIUS 服务器之间通过共享密钥来认证交互的消息 增强了安全性 RADIUS 协议合并了认证和授权过程 即响应报文中携带了授权信息 用 户 交换机 RADIUS 服务器之间的交互流程如下图所示 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 5 19 1 4 TACACS 协议简介协议简介 在计算机网络中 TACACS Terminal Access Controller Access Control System Plus 是一种为路由器 网络访问服务器和其他互联计算设备通过一个或多个集中的服务器 提供访问控制的协议 TACACS 提供了独立的认证 授权和记账服务 尽管RADIUS在用户配置文件中集成了认证和授权 TACACS 分离了这两种操作 另外 的不同在于TACACS 使用传输控制协议 TCP 而RADIUS使用用户报文协议 UDP 多数管理员 建议使用TACACS 因为TCP被认为是更可靠的协议 TACACS 协议的扩展为最初的协议规范提供了更多的认证请求类型和更多的响应代码 TACACS 使用TCP端口49 包括三种独立的协议 如果需要 能够在独立的服务器上 实现 TACACS 服务器的典型部署场景如下图 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 6 19 TACACS 认证因为是基于 tcp 的认证 其报文交互性要求实时 其具体过程如下图所 示 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 7 19 1 5 RADIUSRADIUS 和和 TACACS TACACS 实现的区别实现的区别 1 5 1 RADIUS1 5 1 RADIUS 使用使用 UDPUDP 而而 TACACS TACACS 使用使用 TCPTCP TCP 提供比 UDP 更多的高级特性 TCP 是面向连接的可靠传输服务 但 UDP 只提供 最优的传输 因而 RADIUS 需要额外的代码来实现例如重传 超时等机制 所有这些在 TCP 中已是固有的特性 1 5 2 1 5 2 加密方式加密方式 RADIUS 仅对密码本身进行加密 对报文的其他部分并未加密是明文传输的 这些 信息可能通过第三方软件捕获 TACACS 对整个数据包进行加密 仅留下 TACACS 的数据 包头 在数据包头中有一个标识位表示该数据包是加密的还是未加密的 未加密的数据 包做调试用 而一般应用中的则是加密的 因而 TACACS 对整个数据包加密保证了客户 端与服务器之间通信的安全性 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 8 19 二 二 OLT 上的上的 AAA 功能特点功能特点 OLT 上的 AAA 认证功能设计也是按照 AAA 框架配置 域相关配置 radius 服务器 相关配置 tacacs 服务器相关配置 4 个模块设计相关的功能 命令集 OLT 开发 AAA 认证的主要目的是实现 OLT 登录用户的集中管理 集中部署 避免 在每台 OLT 上添加 删除用户带来麻烦 对此 OLT 上的 AAA 认证功能和理论上的 AAA 认证以及 OLT 本地认证功能的差别 进行了简单整理 主要如下 序号序号OLTOLT 本地认证本地认证 我们我们 OLTOLT 上的上的 AAAAAA 认证实现的认证实现的 功能功能 理论上的理论上的 AAAAAA 认证实认证实 现的功能现的功能 1NO 部分支持 利用 radius 认证实现网络管 理员对 OLT 登录操作的集中管 理 哪些用户可以访问网 络服务器 2NO 部分支持 不同域没有区分服务等级的作 用 具有访问权的用户可 以得到哪些服务 3NONO 如何对正在使用网络 资源的用户进行计费 4 启用远端认证后 本地认 证配置的用户名 密码将失 效 OLT 超级管理员用户不受 AAA 认证约束 5 config login authentication enable 依然生效 只要通过 AAA 认证的都是管理 员权限 不再细分 三 三 AAA 认证命令行配置认证命令行配置 3 1 AAA 配置配置 命令说明 GFA6900 config config login auth aaa auth GFA6900 config config login auth local 配置 AAA 认证为本地认证或者远 端认证 缺省为本地认证 本地认证时本 地用户名 密码配置有效 GFA6900 config config aaa authentication enable GFA6900 config config aaa authentication disable 配置 AAA 认证启用或者禁用 缺省是禁用 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 9 19 GFA6900 config config login aaa time 配置 AAA 认证时 client 端提交用 户名密码后等待时间 缺省时间是 30 秒 3 2 配置配置 ISP 域域 ISP 域即 ISP 用户群 一个 ISP 域属于同一个 ISP 的用户构成 在 user name isp name 形式的用户名中 后的 isp name 即为 ISP 域的域名 接 入设备将 user name 作为用户身份认证的用户名 将 isp name 作为域名 命令说明 GFA6900 config create isp domain GFA6900 config delete isp domain 创建 删除一个 ISP 域 Default 域不能被删除 域名规则 首字符只能为大小写 字母 domain 不能包含除 a z A Z 0 9 以外的字符 domain 的长度不能超过 20 个字 节 GFA6900 config show isp domain GFA6900 config show isp domain 查看当前存在的 ISP 域 OLT 上同时最多可以包含 5 个 ISP 域 包含缺省的 default 域 GFA6900 config config isp domain default username complete GFA6900 config config isp domain default username incomplete 配置用户输入时是否要输入带域 名的用户名 缺省是 complete 要输入的 不带域名的用户名系统认为是 default 域的用户 GFA6900 config config isp domain default aaa protocol radius GFA6900 config config isp domain default aaa protocol tacacs 配置在 default 域中使用 radius 协议或者使用 tacacs 协议 在所有域中缺省使用 radius 协议 GFA6900 config config isp domain default authentication mode independent GFA6900 config config isp domain default authentication mode primary backup 配置在 default 域中认证模式是 independent 或者 primary backup Independent 只有第一个服务器 有效 Primary backup 主备模式认证 当地一个 primary 的服务器不响 应时会向 backup 的服务器发起请 求 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 10 19 默认是 independent 方式的认证 GFA6900 config config isp domain default authentication add server id 0 GFA6900 config config isp domain default authentication delete server id 0 将配置好的 radius server 0 在 default 域中启用 从 default 域中删除 radisu server 0 添加 server 时先添加 id 小的 删除 server 时先删除 id 大的 GFA6900 config config isp domain default tacc authentication add server id 0 GFA6900 config config isp domain default tacc authentication delete server id 0 将配置好的 tacacs server 0 在 default 域中启用 从 default 域中删除 tacacs server 0 添加 server 时先添加 id 小的 删除 server 时先删除 id 大的 GFA6900 config config isp domain default authentication config server id 0 type primary GFA6900 config config isp domain default tacc authenticate config server id 0 type primary 手工设置在 default 域中 id 为 0 的服务器为主服务器 缺省情况下被添加的第一个 server 为主服务器 3 3 配置配置 RADIUS 协议协议 命令说明 GFA6900 config radius authentication enable GFA6900 config radius authentication disable 启用 禁用 radius 协议 默认是禁用 这里的设置是全局生效 影响所 有的域 GFA6900 config radius authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 udp port 1234 Server id 添加服务器的编号 范围是 0 4 先从小的 id 开始 用 Server ip 指定 radius server 的 ip 地址 Client ip OLT 的 ip 地址 Udp port radius server 使用 的认证端口号 默认是 1812 GFA6900 config radius authentication delete server id 0 删除 id 为 0 的 radius server 服 务器 删除时应该按照 id 从大到小的顺 序来 GFA6900 config radius authentication server switch enable GFA6900 config radius authentication server switch disable 配置 radius server 切换开关打 开 关闭 默认是关闭 Radius server 切换开关也是全 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 11 19 局生效 配置后会影响所有域 GFA6900 config radius authentication config server id 0 status active 配置 id 为 0 的 radius server 的 状态是 active 的 缺省情况下新加的服务器都是 active 的 本命令主要是在特定情况下人工 干预状态使用 GFA6900 config radius authentication config server id 0 shared secret greenway 配置和 id 为 0 的 radius server 通信时的共享密钥是 greenway1 缺省的共享密钥是 greenway Client 和 server 正常通行的前 提是共享密钥必须一致 GFA6900 config radius authentication config server id 0 max retransmit count 5 GFA6900 config radius authentication config server id 0 retransmit interval 5 配置 radius 协议的重传间隔 重 传次数分别是 5 缺省配置时重传间隔 次数都是 3 3 4 3 4 配置配置 TACACS TACACS 协议协议 命令说明 GFA6900 config tacc authentication enable GFA6900 config tacc authentication disable 启用 禁用 tacacs 协议 默认是禁用 这里的设置是全局生效 影响所 有的域 GFA6900 config tacc authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 share key greenway1 Server id 添加服务器的编号 范围是 0 4 先从小的 id 开始 用 Server ip 指定 tacacs server 的 ip 地址 Client ip OLT 的 ip 地址 Share key 共享密钥缺省是 greenway OLT 和 tacacs server 端配置一致 认证端口 默认的 tacacs server 认证端口使用 tcp 49 GFA6900 config tacc authentication delete server id 0 删除 id 为 0 的 tacacs server 服务器 删除时应该按照 id 从大到小的顺 序来 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 12 19 GFA6900 config tacc authentication server switch enable GFA6900 config tacc authentication server switch disable 配置 tacacs server 切换开关打 开 关闭 默认是关闭 Tacacs server 切换开关也是全 局生效 配置后会影响所有域 GFA6900 config tacc authentication config server id 0 status active GFA6900 config tacc authentication config server id 0 status inactive 配置 id 为 0 的 radius server 的 状态是 active 的 缺省情况下新加的服务器都是 active 的 本命令主要是在特定情况下人工 干预状态使用 GFA6900 config tacc authentication config server id 0 share key greenway1 配置和 id 为 0 的 tacacs server 通信时的共享密钥是 greenway1 缺省的共享密钥是 greenway Client 和 server 正常通行的前 提是共享密钥必须一致 GFA6900 config config tacc re transmit period 5 GFA6900 config config tacc re transmit max num 5 配置 tacacs 协议的重传间隔 重 传次数分别是 5 缺省配置时重传间隔 次数都是 3 四 四 AAA 认证认证 server 简介简介 AAA 认证 server 也有多种软件 这里只推荐一种适合在现网部署的服务器软件 Cisco Secure ACS v4 2 该软件的功能比较强大 稳定 我们只需简单配置就能满足我 们使用的需求 4 1 安装环境介绍 安装环境介绍 Windows 2003 server sp1 版本 部分 windows 2000server 版也可以 推荐 2003 1G 以上内存 1 8 GHz 或更高 CPU NTFS 文件系统 已经安装 Java 虚拟接 1 5 0 windows i586 exe 更多注意事项请参考文档安装手册 这里只列举了特别需要注意的项目 4 2 安装和简要配置安装和简要配置 ACS 的安装步骤只需要在具备以上环境的工作站上一路点 next 直至安装完 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 13 19 毕 所以详细的步骤这里不再介绍 ACS 安装完成后会在桌面上自动生成一个 ACS admin 的管理页面 单击该管 理页面进行 ACS 的配置 注 这一步骤中如果ACS的管理页面无法打开 请在IE 属性 安全 菜单里 将这个页面设置为受信任的站点即可 ACS 页面打开后的菜单如下图 标红的部分是必须要做初始配置的 3 个选项卡 我们只做普通的认证服务器来用的话 这三个菜单里的配置就够 不涉及其他菜单 配置 User Setup 在该菜单里完成用户名 密码的添加 修改 Network Configuration 在该菜单里完成客户端的设置 共享密钥的设置 Adminstration Control 在该菜单里设置 ACS server 的超级管理员 用于远程登 录 添加 修改 server 上的各个配置信息 这里对 ACS 的各个子菜单不做详细介绍 单进去后看各个菜单的提示设置就可以的 对于 ACS 详细的安装 配置专门有一个文档 讲的很详细 有兴趣请参看 ACS 安装 配 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 14 19 置手册 doc 已经放到共享服务器上 五 五 配置案例配置案例 以下提供 3 个分别通过 radius 和 tacacs 实现的具体配置案例 5 1 Telnet 用户通过用户通过 RADIUS 服务器认证的应用配置服务器认证的应用配置 该案例是按照在 default 域中实现 radius 认证的配置 步骤命令说明 步骤 1 GFA6900 config config login authentication enable 配置 AAA 认证使 能 步骤 2 GFA6900 config config login auth aaa auth 配置 AAA 认证模 式是远端认证模 式 步骤 3 GFA6900 config radius authentication enable 配置 radius 认证 功能使能 步骤 4 GFA6900 config radius authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 配置 radius server radius client ip 地址 本步骤中忽略配 置 udp port 即使 用 1812 默认端口 要确保 server 端 使用该端口 步骤 5 GFA6900 config radius authentication config server id 0 shared secret greenway1 配置 client 和 server 通信时的 共享密钥 Server 端要保证 和 client 配置一 直才能验证成功 步骤 6 GFA6900 config config isp domain default authentication add server id 0 在 default 域中 启用 server id 0 的配置项 步骤 7 GFA6900 config config isp domain default aaa protocol radius 在 default 域中 启用 radius 认证 步骤 8 GFA6900 config show radius RADIUS AUTH Enable 查看 radisu 相关 配置 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 15 19 ID STATE SERVER IP SERVER PORT CLIENT IP SECRET 0 ACTIVE 192 168 2 244 1812 192 168 2 130 greenway1 ID RETRANSMIT INTERVAL MAX RETRANSMIT COUNT 0 3 3 GFA6900 config 步骤 9 GFA6900 config show isp domain default Domain Id 0 AAA Protocol RADIUS Domain Name default Authenticate Mode independent Radius Authentication Enabled User Name complete Tacc Authentication Disabled Radius Auth Server Info ID TYPE STATE SERVER IP SERVER PORT CLIENT IP SECRET 0 PRIMARY ACTIVE 192 168 2 244 1812 192 168 2 130 greenway1 TACACS Auth Server Info ID TYPE STATE SERVER IP SERVER PORT SECRET GFA6900 config 查看 defaut 域相 关配置 5 2 Telnet 用户通过用户通过 TACACS 服务器认证的应用配置服务器认证的应用配置 该案例是按照在 default 域中实现 tacacs 认证的配置 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 16 19 步骤命令说明 步骤 1 GFA6900 config config login authentication enable 配置 AAA 认证使 能 步骤 2 GFA6900 config config login auth aaa auth 配置 AAA 认证模 式是远端认证模 式 步骤 3 GFA6900 config tacc authentication enable 配置 tacacs 认 证功能使能 步骤 4 GFA6900 config tacc authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 配置 tacacs server tacacs client ip 地址 步骤 5 GFA6900 config tacc authentication config server id 0 shared secret greenway1 配置 client 和 server 通信时的 共享密钥 Server 端要保证 和 client 配置一 直才能验证成功 步骤 6 GFA6900 config config isp domain default tacc authentication add server id 0 在 default 域中 启用 server id 0 的配置项 步骤 7 GFA6900 config config isp domain default aaa protocol tacacs 在 default 域中 启用 tacacs 认 证 步骤 8 GFA6900 config show tacc TACC authentication enabled id server status server ip client ip tcp port share key 0 Active 192 168 2 244 192 168 2 130 49 greenway1 查看 tacacs 相 关配置 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 17 19 TACC re transmit configuration max retransmit number 3 retransmit period 3 seconds GFA6900 config 步骤 9 GFA6900 config show isp domain default Domain Id 0 AAA Protocol tacacs Domain Name default Authenticate Mode independent Radius Authentication disabled User Name complete Tacc Authentication Enabled Radius Auth Server Info ID TYPE STATE SERVER IP SERVER PORT CLIENT IP SECRET TACACS Auth Server Info ID TYPE STATE SERVER IP SERVER PORT SECRET 0 PRIMARY ACTIVE 192 168 2 244 49 greenway1 GFA6900 config 查看 defaut 域相 关配置 5 3 Telnet 用户通过双服务器实现主备冗余的用户通过双服务器实现主备冗余的 radius 认证认证 该案例是按照在 default 域中实现主备冗余的 radius 认证 步骤命令说明 北京格林伟迪科技有限公司 AAA 认证功能介绍 北京格林伟迪科技有限公司 18 19 步骤 1 GFA6900 config config login authentication enable 配置 AAA 认证使 能 步骤 2 GFA6900 config config login auth aaa auth 配置 AAA 认证模 式是远端认证模 式 步骤 3 GFA6900 config radius authentication enable 配置 radius 认证 功能使能 步骤 4 GFA6900 config radius authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 GFA6900 config radius authentication add server id 1 server ip 192 168 2 99 client ip 192 168 2 130 配置 tacacs server tac