aaa服务器的配置(服务器a级是什么意思)
如何在华为的网络设备和思科ACS之间部署AAA
AAA是Authentication(验证)、Authorization(授权)和Accounting(审计)的简称。
aaa服务器的配置(服务器a级是什么意思)
AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法,授权用户可以访问哪些服务,并记录用户使用网络资源的情况。
例如,企业总部需要对服务器的资源访问进行控制,只有通过验证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。在这种场景下,可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器,也称为AAA的客户端,负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备,也可以是以软件的形式安装在服务器操作系统上(本文将使用思科的ACS软件来实现AAA服务器),用户的验证、授权和审计服务均由AAA服务器来完成。
【图1-1】
如图1-1所示,当分支站点的用户需要访问总部的服务器资源时,NAS设备会对用户的访问进行控制,用户向NAS设备提交账户信息(用户名和密码)后,NAS设备会将用户信息发送给AAA服务器,由AAA服务器进行账户信息的验证,并对用户进行授权。如果用户验证通过,则分支站点的用户可以访问到特性的服务器资源(可以访问哪些服务器,由授权来决定),同时AAA服务器也会对用户的访问行为进行审计。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)由IETF定义的一种公有协议,是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外,不同的网络设备厂商也提出了各自的私有协议,例如,思科公司提出的TACACS+协议,华为提出的HWTACACS,也可以使用在AAA客户端和AAA服务器之间。(本文将使用RADIUS协议作为AAA的通讯协议)
【图2-1】
Step 1 - 基础IP配置(略)
Step 2 - 配置AAA服务器
在页面的左下角点击Create
配置AAA客户端
Step 3 - 配置AAA客户端
ARG3系列路由设备支持两种缺省域:
进入default-admin域绑定认证模板和radius-server模板(这个default-admin域是专门用来管理用的,所以telnet,ssh等登陆设备时必须使用这个默认的域,自己定义的不行)
Step 4 - 在PC机上进行测试
l2tp aaa服务器怎么分配
有路由器做的,有PC机或服务器做的,
路由器功能有宽带接入路由器、模块路由器,
模块路由器厂家有思科有华为,你用哪个?
接入路由器厂家有思科华为TPLINK、DLINK、NETGEAR,
PC机或服务器有Windows有Linux,
Windows有路由和远程访问有ISA有Winroute有CCPROXY有Wingate,
linux有squid有iptables有squid+iptables,
思科交换机里面aaa里面能配置什么?和华为一样吗?怎么设置?
不一样。华为的一层一层套模板,思科的简单一点,以tacacs+为例:
aaa new-model //启用aaa
aaa authentication login TEST group tacacs+ line //配置登录认证
aaa authorization exec TEST group tacacs+ none //配置认证exec
aaa authorization commands 1 TEST group tacacs+ none //配置授权命令为1级
aaa authorization commands 15 TEST group tacacs+ none //配置授权命令为15级
aaa accounting exec TELNET start-stop group tacacs+ //配置授权exec
aaa accounting commands 1 TELNET start-stop group tacacs+ //配置命令审计为1级
aaa accounting commands 15 TELNET start-stop group tacacs+ //配置命令审计为15级
aaa accounting network TELNET start-stop group tacacs+ //审计网络
aaa accounting connection TELNET start-stop group tacacs+ //审计连接
tacacs-server host 1.1.1.1 //指向aaa服务器
tacacs-server key cisco //配置共享密钥
line vty 0 4
authorization commands 1 TEST
authorization commands 15 TEST
authorization exec TEST
accounting connection TEST
accounting commands 1 TEST
accounting commands 15 TEST
accounting exec TEST
login authentication TEST
//在远程line下调用AAA组,注意前面和后面的TEST都是名称
OK 了,telnet测试就可以了。
AAA服务器上的配置就不多说了,百度一下ACS配置,很多。
F5 BIG-IP Edge Gateway的全面的验证支持和AAA服务器集成
BIG-IP Edge Gateway采用接入策略与验证服务器集成,并在单个易于管理的设备上满足验证要求。一旦验证集成完成后,BIG-IP Edge Gateway与包含用户信息的验证、授权和计费(AAA)服务器交互。大量的验证服务支持—包括Active Directory、LDAP、RADIUS和本地RSA SecurlD—保证了接入策略的有力执行。例如,Active Directory的支持提供了针对查询和嵌套目录的接入策略控制执行能力。
H3C S3600交换机AAA认证配置
1.对于交换机,console不要配置认证,万一出现问题(如人为设置错误等),你console无法进去,配置个本地用户。
2.配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权),tacacs,完全可以对用户、等级(exec)、命令(command)进行授权。
给个配置给你参考(华为),我这配置,对于console口是没有去aaa服务器的。
domain mydepart
scheme hwtacacs-scheme mydepart local
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable
hwtacacs scheme mydepart
primary authentication 192.168.1.2
secondary authentication 192.168.1.3
primary authorization 192.168.1.2
secondary authorization 192.168.1.3
primary accounting 192.168.1.2
secondary accounting 192.168.1.3
key authentication mykey
key authorization mykey
key accounting mykey
user-name-format without-domain
local-user myuser
#super password level 3 cipher sdfsdfgsdfs
#hwtacacs nas-ip 192.168.1.1
user-interface vty 0 4
acl 2000 inbound
authentication-mode scheme command-authorization
user privilege level 3
idle-timeout 5 0
protocol inbound telnet
user-interface con 0
authentication-mode password
set authentication password cipher sdfsdfsdfwer
idle-timeout 5 0
交换机 aaa
aaa服务器是集 验证、授权和记账(Authentication、Authorization、Accounting )于一身。
一般大型公司多见,比如,统一管理交换机 路由器,使用者的密码。动作。都一清二楚
想要玩转,可以装一个ACS5.2
说的简单点一般就是用来创建用户的,例如telnet
vty 0 4里可以选定认证模式,常用的就是password和aaa
相关文章
