大家好,又见面了,我是你们的朋友全栈君。
AAA是authentication(认证)、aurhorization(授权)和accounting(计费)的简称。主要是给网络接入服务器(NAS)提供一个访问控制的管理框架。
定义:AAA作为网络安全的一种管理机制,以模块化的方式提供认证、授权、计费服务。其中:
认证:确认访问用户的身份,判断访问者是否为合法的网络用户。
授权:对不同的用户赋予不同的权限,同时限制用户可以使用的服务。
计费:记录用户在网络中的所有活动,包括使用的服务类型、起始时间、数据流量等,用于收集用户对网络资源的使用情况,并且可以实现针对时间、流量的计费需求,也对网络起到监视作用。
目的:提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
基本架构:AAA采用客户端/服务端结构,AAA客户端运行在接入设备上,通常被称为NAS设备,负责验证用户身份与管理用户接入;AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。
AAA认证方案有三种:
不认证:对用户非常信任,不对用户进行合法性检查,一般情况下不采用这种方法,太不安全啦。
本地认证:让网络接入服务器设备作为认证服务器,将用户信息配置在该设备上。本地认证的优点是速度快,成本低。缺点是存储信息量受设备硬件条件限制。
远端认证:将用户信息配置在远端认证服务器上。有radius服务器和hwtacacs服务器可以作为远端认证服务器。
AAA授权方案有五种:
不授权:不对用户进行授权处理。
本地授权:在网络接入服务器上,根据设备上的用户信息进行授权。
if-authenticated授权:用户通过本地或远端认证,则授权通过,否则授权不通过。
HWTACACS授权:由HWTACACS服务器对用户进行授权。
radius授权:radius认证成功后授权,radius协议的认证与授权是绑定在一起的,不能单独使用。
授权方法的生效顺序:授权方案中可以指定一种或者多种授权方法。指定多种授权方法时,配置顺序决定了每种授权方法生效的顺序,配置在前的授权方法优先生效。当前面的授权方法无响应时,后面的授权方法才会启用。如果前面的授权方法回应授权失败,表示AAA服务器拒绝为用户提供服务。此时,授权结束,后面的授权方法不会被启用。
AAA计费方案:
不计费:不对用户进行计费。
远端计费:由认证服务器对用户进行计费。支持通过radius服务器或hwtacsca服务器进行远端计费。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/138740.html原文链接:https://javaforall.net
