AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。后两种可视为“委托认证/授权/计费”方式,因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的,而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。
与后面的NAC方案中的802.1x认证、MAC地址和Portal认证方式基于接入设备接口(仅可在接入设备上部署)进行的认证方式不同,AAA采用基于用户(可以是所有用户,也可以是特定用户组中的用户)进行认证、授权和计费的方案。NAC的各种认证方式中,也是需要借助AAA方案中配置的本地用户信息或远程RADIUS服务器上配置的用户信息进行认证。
AAA基础
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了认证、授权、计费3种安全功能。其中“认证”是用来验证用户是否可以获得网络访问权;“授权”是授权通过认证的用户可以使用哪些服务;“计费”是记录通过认证的用户使用网络资源的情况。在实际网络应用中,可以只使用AAA提供的一种或两种安全服务。
一、AAA的基本构架
AAA是采用“客户端/服务器”(C/S)结构,其中AAA客户端(也称网络接入服务器——NAS)就是使能了AAA功能的网络设备(可以是网络中任意一台设备,不一定是接入设备,而且可以在网络中多个设备上使能),而AAA服务器就是专门用来认证、授权和计费的服务器(可以由服务器主机配置,也可以由提供了对应服务器功能的网络设备上配置)
在设备上使能了AAA功能后,当用户要通过AAA客户端访问某个网络前,需要先从AAA服务器中获得访问该网络的权限。但这个任务通常不是由担当AAA客户端的设备自己来完成的,而是通过设备把用户的认证、授权、计费信息发送给AAA服务器来完成的。当然,如果在担当AAA客户端的设备上同时配置了相应的AAA服务器功能,则此时客户端和服务器端就为一体了,这时实现的是AAA本地认证和授权(本地方式不提供计费功能)了。
1、AAA认证
华为S系列交换机的AAA功能支持以下认证方式:
(1)不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。
(2)本地认证:将用户信息配置在本地设备上。本地认证的优点是速度快,可以为运营商降低成本,缺点是存储信息量受设备硬件条件限制。
(3)远程认证:将用户信息配置在AAA认证服务器上。支持通过RADIUS(Remote Authentication Dial In User Service,远程认证拨入用户服务)协议或HWTACACS(HuaWei Terminal Access Controller Access Control System,华为终端访问控制系统)协议进行远程认证。
2、AAA授权
华为S系列交换机的AAA功能支持5中授权方式:
(1)不授权:不对用户进行授权处理。
(2)本地授权:根据本地设备为本地用户账号配置的相关属性(如允许使用的接入服务类型和FTP访问目录等)进行授权。
(3)HWTACACS授权:由HWTACACS服务器对用户进行远程授权。
(4)if-authenticated授权:如果用户通过了认证,而且使用的认证模式是本地或远程认证,则直接为用户授权。
(5)RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
3、计费
华为S系列交换机的AAA功能支持3种计费方式(不支持本地计费方式):
(1)不计费:不对用户计费。
(2)RADIUS计费:设备将计费报文送往RADIUS服务器,由RADIUS服务器完成对用户的计费。
(3)HWTACACS计费:设备将计费报文送往HWTACACS服务器,由HWTACACS服务器完成对用户的计费。
二、AAA基于域的用户管理
华为S系列交换机通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权和计费方案,以及RADIUS或者HWTACACS服务器模板,相当于对用户进行分类管理。属于域中的用户通过在该域中应用的认证、授权和计费方案进行认证、授权和计费。所以后面的AAA方案配置中,一定要在对应的域下被绑定、应用才能对具体用户生效。
缺省情况下,设备存在配置名为default和default_admin两个域,全局缺省普通域为default,全局缺省管理域为default_admin。两个域均不能删除,只能修改。当无法确认接入用户的域时使用缺省域,default域为接入用户的缺省域,缺省为本地认证;default_admin域为管理员账户(如http、SSH、telnet、terminal和ftp用户)的缺省域,缺省为本地认证。
用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是为“@”、“|”、“%”等符号,如user@huawei就表示属于huawei域。如果用户名中没有带@,就属于系统缺省的default域。
自定义的域可以同时被配置成全局缺省普通域和全局缺省管理域。但域下配置的授权信息较AAA服务器的授权信息优先级低,即优先使用AAA服务器下发的授权属性,在AAA服务器无该项授权或不支持该项授权时域的授权属性才生效。当然通常是两者配置的授权属性一致。
三、RADIUS协议
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样性,RADIUS也适应多种用户接入方式,如以太网接入,ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证(包括授权)、计费端口。
1、RADIUS服务器
RADIUS服务器程序一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS服务器通常要维护以下3个数据库:
(1)Users:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
(2)Clients:用于存储RADIUS客户端的信息(如接入设备的共享秘钥、IP地址等)。
(3)Dictionary:用于存储RADIUS协议中的属性和属性值含义的信息。
2、RADIUS客户端
RADIUS客户端程序一般位于网络接入服务器NAS(Network Access Server)设备上,可以遍布整个网络,负责传输各个接入网络用户信息到指定的RADIUS服务器,然后根据从RADIUS服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
3、安全机制
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享秘钥来对传输数据加密的,但共享秘钥不通过网络来传输,增强了信息交互的安全性。
4、认证和计费消息流程
RADIUS客户端与服务器间的信息交互流程如下图:
(1)用户访问RADIUS客户端设备时,会按照提示输入用户名和密码,发送给客户设备。
(2)客户端设备在收到用户发来的用户名和密码信息向RADIUS服务器发送认证请求。
(3)RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给接入设备;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端设备。
RADIUS计费的信息交互流程和认证/授权的信息交互流程类似。
四、HWTACACS协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,也是采用C/S模式实现NAS与HWTACACS服务器之间的通信。
HWTACACS协议主要用于点对点协议PPP和VPDN(VirtualPrivate Dial-up Network,虚拟私有拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权和计费。同样,这时的设备是作为HWTACACS的客户端,负责将用户名和密码发给HWTACACS服务器进行验证。
HWTACACS协议与RADIUS协议都实现了认证、授权、计费功能,它们有很多相似点:结构上都采用C/S模式,都使用公共秘钥对传输的用户信息进行加密。与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。
五、AAA特性的产品支持
华为S系列交换机除了支持通过RADIUS协议或HWTACACS协议进行认证、授权、计费外,还支持本地认证和授权。且理论上,设备支持本地、RADIUS、HWTACACS三种协议间的认证、授权、计费的随意组合,比如本地认证、本地授权和RADIUS计费。实际中,常见的是三种协议的单独应用。
1、本地认证、授权
如果需要对用户进行认证或授权,但是在网络中没有部署RADIUS服务器和HWTACACS服务器,那么可以采用本地方式进行认证和授权。本地方式进行认证和授权的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。通常仅对管理员用户采用本地方式进行认证和授权。
2、RADIUS认证、计费
因为RADIUS服务器不是位于设备上,而是位于远程主机上,且设备与RADIUS服务器之间的通信是加密的,所以采用RADIUS方式进行认证、计费可以防止非法用户对网络的攻击,常应用在既要求较高安全性又要求控制远程用户访问权限的网络环境中。但RADIUS服务器不支持单独授权功能,必须与认证功能一起,只要使能它的认证功能,就同时使能了它的授权功能。
3、HWTACACS认证、授权、计费
与RADIUS服务器一样,采用HWTACACS方式进行认证、授权、计费也可以防止非法用户对网络的攻击,还支持为用户进行具体的命令行授权。且与RADIUS相比,HWTACACS的认证、授权和计费是单独进行的,可以单独配置和使能,在一些大的网络中,更加方便部署多台用途不同的HWTACACS服务器。
此外,设备还支持一个方案中使用多种协议模式,比如本地认证还常用于RADIUS认证和HWTACACS认证的备份认证方案,本地授权作为HWTACACS授权的备份授权方案。
本地方式认证和授权配置
本地方式就是把S系列交换机同时配置为AAA客户端和AAA认证、授权服务器(不能另外配置计费功能,总是采用不计费方案),认证和授权信息是在本地设备上配置的,无需另外配置专门的认证服务器。配置采用本地方式进行认证和授权后,设备根据本地的用户信息对接入用户进行认证和授权。本地方式进行认证和授权的优点是速度快,可以降低运营成本,缺点是存储信息量受设备硬件条件的限制。
本地认证、授权配置流程为配置AAA方案——>配置本地用户——>配置业务方案——>配置域的AAA方案。其中第三步的“配置业务方案”是可选项,通常采用缺省配置,仅当需要特定的IP业务调用本地认证、授权方案时才需要配置,其余三项是必选的,但前面两项配置任务没有严格先后顺序,都是为最后一项配置任务“配置域的AAA方案”而服务的。
一、配置AAA方案
配置AAA方案就是配置AAA中的认证、授权和计费方案,用于“域的AAA方案”中绑定这些方案使用(所配置的各种方案只有在域中绑定后才能得到应用)。在本地方式中仅支持认证和授权方案,所以仅需要在认证方案中配置认证模式为本地认证,在授权方案中配置授权模式为本地授权,其他均为可选的。
二、配置本地用户
当采用本地方式进行认证和授权时,需要在本地设备上配置用户的认证和授权信息,如用于认证的用户名和密码,用于授权的用户优先级、用户组、允许接入的服务类型、可建立的连接数和FTP访问目录等。这些均需要在AAA视图下进行配置。
三、(可选)配置业务方案
“业务方案”其实是一种授权方案,它是专门针对一些IP业务(如管理员权限、DHCP服务、DNS服务和策略路由等)所进行的授权,所以也可以称为“业务授权方案”。可通过配置业务方案管理用户的业务授权信息,但在业务方案下通常只需要使用admin-user privilege level命令配置管理员用户的用户级别,其余命令在业务方案被其他特性(比如IPSec特性)调用时才需要配置。
四、配置域的AAA方案
在前面创建的认证和授权方案和配置的业务方案只有在“域的AAA方案”中绑定后才能得到应用(在本地认证、授权方案中无需配置RADIUS、HWCACS服务器模板)。不同的域可以绑定不同的以上认证、授权、业务方案,以便实现灵活的用户接入控制。
