admin 管理员组文章数量: 887021
2024年3月19日发(作者:nginx拉流有15秒延迟)
AAA服务器解决方案
一、AAA概述
1. 什么是AAA
AAA是Authentication,Authorization and Accounting(认证、授权和计
费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的
一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器?
具有访问权的用户可以得到哪些服务?
如何对正在使用网络资源的用户进行计费?
针对以上问题,AAA必须提供下列服务:
认证:验证用户是否可获得访问权。
授权:授权用户可使用哪些服务。
计费:记录用户使用网络资源的情况。
2. AAA的优点
由于AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务
器上集中存放用户信息,因此,AAA框架具有如下的优点:
具有良好的可扩展性
可以使用标准化的认证方法
容易控制,便于用户信息的集中管理
可以使用多重备用系统来提升整个框架的安全系数
3、 RADIUS协议概述
如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践
中,人们最常使用RADIUS协议来实现AAA。
3.1什么是RADIUS
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号
用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,
1
能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持
远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调
器的大量分散拨号用户)。RADIUS系统是NAS(Network Access Server,网络
接入服务器)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入
服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它
网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把
用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用
户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将
在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的
认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给
NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则
规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。
在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如
密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
3.2 RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认
证功能,通常整个操作步骤如下:
将客户端的用户名和加密口令发送至RADIUS服务器。
用户可从RADIUS服务器收到下述响应报文之一:
ACCEPT:表明用户通过认证。
REJECT:表明用户没有通过认证,提示用户重新输入用户名和口令,否则访
问被拒绝。
3.3 AAA/RADIUS在以太网交换机中的实现
由前面的概述,我们可以明白,在这样一个AAA/RADIUS框架中,S5516以
太网交换机是作为用户接入设备即NAS,相对于RAIDUS服务器来说,S5516以太
网交换机是RADIUS系统的客户端;换句话说,AAA/RADIUS在以太网交换机中实
现的是其客户端部分
2
版权声明:本文标题:aaa服务器解决方案 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1710813982h576685.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论