认证服务协议

AAA
AAA系统的简称:

认证(Authentication):验证用户的身份与可使用的网络服务;

授权(Authorization):依据认证结果开放网络服务给用户;

计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。

AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting

常用的AAA协议是Radius,参见RFC 2865,RFC 2866。
另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端―服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于:

l RADIUS基于UDP协议,而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式

AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。

组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。

当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。

认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。

授权方案与授权模式

AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。

组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。

当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none

授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。

RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。

计费方案与计费模式

AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
----------------------------------------------------------------------
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

目前最新的发展是Diameter协议。

AAA又称"3A","Triple A",悠悠球花式。又综合了"A"和"AA"所创造的新玩法,意思是"双手线上玩法",由于其多变的花式,高超的难度,目前吸引了全玩的选手一齐加入开发。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
RADIUS认证
 
RADIUS是英文(Remote Authentication Dial In User Service)的缩写,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档,如:用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面:认证部分、客户协议以及记费部分,其中:

RADIUS 认证部分一般安装在网络中的某台服务器上,即RADIUS认证服务器;

客户协议运行在远程接入设备上,如:远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器,并按照服务器发回的响应做出行动;

RADIUS记费部分收集统计数据,并可以生成有关与网络建立的拨入会话的报告。
 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
TACACS
 
TACACS(终端访问控制器访问控制系统)对于Unix网络来说是一个比较老的认证协议,它允许远程访问服务器传送用户登陆密码给认证服务器,认证服务器决定该用户是否可以登陆系统。TACACS是一个加密协议,因此它的安全性不及之后的TACACS+和远程身份验证拨入用户服务协议。TACACS之后推出的版本是XTACACS。这两个协议均在RFC(请求注解)中进行了说明。

  TACACS+其实是一个全新的协议。TACACS+和RADIUS在现有网络里已经取代了早期的协议。TACACS+应用传输控制协议(TCP),而RADIUS使用用户数据报协议(UDP)。一些管理员推荐使用TACACS+协议,因为TCP更可靠些。RADIUS从用户角度结合了认证和授权,而TACACS+分离了这两个操作。

  TACACS协议和XTACACS协议至今还应用在许多老系统中。

  终端访问控制器访问控制系统(TACACS)通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS 支持独立的认证(Authentication)、授权(Authorization)和计费(Accounting)功能。

  TACACS 允许客户机拥有自己的用户名和口令,并发送查询指令到 TACACS 认证服务器(又称之为TACACS Daemon 或 TACACSD)。通常情况下,该服务器运行在主机程序上。主机返回一个关于接收/拒绝请求的响应,然后根据响应类型,判断 TIP 是否允许访问。在上述过程中,判断处理采取“公开化(Opened Up)”并且对应的算法和数据取决于 TACACS Daemon 运行的对象。此外 TACACS 扩展协议支持更多类型的认证请求和响应代码。

  当前 TACACS 具有三种版本,其中第三版 TACACS+ 与前两版不兼容。

你可能感兴趣的:(职场,休闲,radius,AAA,TACACS)