AAA技术原理
认证方式
不认证:
对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。
本地认证:
将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。
本地认证的优点是速度快,可以为运营降低成本;
缺点是存储信息量受设备硬件条件限制。
服务器认证:
将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。
AAA支持通过RADIUS协议或HWTACACS 协议进行远端认证。
RADIUS协议
AAA可以用多种协议来实现,最常用的是RADIUS协议。
RADIUS使用UDP作为传输协议,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。
RADIUS应用场景
HWTACACS协议
华为终端访问控制器控制系统协议
HWTACACS是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似,采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。
HWTACACS的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证。用户验证通过并得到授权之后可以登录到设备上进行操作。
HWTACACS协议应用场景
HWTACACS和RADIUS比较
LDAP协议
轻量级目录访问协议
特点:
- 目录方式组织数据
- 对外提供一个统一的访问点
- 支持数据的分布式数据存储
- 优化查询,读取数据较快
在LDAP中,信息以树状方式组织,基本数据单元是条目,而每个条目由属性构成,属性由类型(Type)和一个或多个值(Value)组成。
目录信息树DIT(Directory Information Tree):
目录条目的集合构成目录信息树。
条目Entry:
目录信息树中的一个节点,是目录信息中最基本的单位,由一系列属性构成。
属性Attribute:
属性描述对象的特征,一个属性有属性类型和一个或多个属性值构成。
相对标识名RDN(Relative Distinguished Name):
条目的名字,唯一标识同一父条目的子条目。
唯一标识名DN(Distinguished Name):
在一个目录信息树种唯一标识一个条目的名字。
LDAP认证流程
用户认证分类
AAA技术为用户认证提供手段。
用户认证分类有:
- 本地认证
- 服务器认证
- 单点登录(第三方认证)
- 短信认证
用户组织架构
- 认证域
- 用户组/用户
- 安全组
用户分类
管理员
管理员用户指通过Telnet、SSH、web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。
上网用户
内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过防火墙访问网络资源。
接入用户
外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到防火墙,然后才能访问企业总部的网络资源。
认证流程
单点认证
AD单点登录是用户希望经过AD服务器的认证后,就会自动通过FW的认证,然后可以访问所有的网络资源。AD单点登录主要有三种登录实现方式:
- 接受PC消息模式
- 查询AD服务器安全日志模式
- 防火墙监控AD认证报文
上网用户Portal认证
Portal认证是指由防火墙或第三方服务器提供Portal认证页面对用户进行认证。
防火墙内置Portal认证的触发方式包括:
- 会话认证: 会话认证是用户不主动进行身份认证,先进行HTTP业务访问,在访问过程中进行认证。认证通过后,再进行业务访问。
- 事前认证:
事前认证是指访问者在访问网络资源之前,先主动进行身份认证,认证通过后,再访问网络资源。
总结
AAA技术
用户认证
持续更新…