AAA认证原理

AAA代表Authentication ，authorization，accounting 意为认证，授权，记账，其主要目的是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用的用户进行记账

1 认证

2 授权

3 记账

 

ACS访问原理

 

ACS Access Control Sever是一种高度可扩展的高性能访问控制服务，可作为中央radius或是tacacs+服务系统使用，能够对通过网络访问公司资源的用户进行身份，授权和审计方面的控制。

通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。

 

适用场合：

集中控制用户通过有线或者无线连接登录网络

设置每个网络用户的权限

记录记帐信息，包括安全审查或者用户记帐

设置每个配置管理员的访问权限和控制指令

用于 Aironet 密钥重设置的虚拟 VSA

安全的服务器权限和加密

通过动态端口分配简化防火墙接入和控制

统一的用户AAA服务

 

Acs的安装

案例

 

实现ACS的搭建

 

 

1安装ACS

配置jdk环境 配置默认环境

 

 

 

 

 

2 安装ACS

 

 

满足这些条件

 

 

 

 

安装完成

 

 

 

把浏览器级别调低一点

 

 

4 导入华为的私有属性，这样才能去管理华为的交换机和华为兼容

 

将以下代码保存为h3c.ini。

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access //各种权限

1=Monitor

2=Manager

3=Administrator

然后进入到ACS的安装目录(默认位于C:\Program Files\CiscoSecure ACS v4.0\bin），执行以下操作

 

 

导入私有属性

进入命了模式下 CSUtil.exe –addUDU 0 c:\h3c.ini

 

 

 

5 配置AAA

添加客户端

 

 

 

配置服务器

 

 

应用私有属性

 

编辑组并选择属性

 

 

选择服务

 

 

添加用户设置密码

 

 

 

 

6  配置交换机 （客户端）

system-view

radius scheme xxx

primary authentication 192.168.10.1 主验证服务器

server-type standard 服务器类型

key authentication 123456 沟通验证密钥

user-name-format without-domain 发送账号信息去掉域名

建设域

domain tec 域名

radius-scheme xxx 引用方案名称

accounting optional 验证可选

access-limit enable 10 限制10个用户

domain default enable 把域设置成默认域

交换机设置口令验证

 

 

 

 

 

 

 

telnet

登录成功

 

 

 

 

管理员权限

 

 

 

 

端口验证

进入dot1x

dot1x

int e1/0/4

dot1x

设置口令

 

 

Ssh

 

 

 

设置服务器类型

 

 

 

登录成功

 

 

调整权限