安全配置指南.doc

AAA
用户管理概述
AAA 是Authentication(认证)、Authorization(授权)ounting(计费)的简称。
它提供对用户进行认证、授权和计费三种功能。
认证:验证用户是否可以获得访问权。
授权:授权用户可以使用哪些服务。
计费:记录用户使用网络资源的情况。
AAA 一般采用“客户端—服务器”结构。这种结构既具有良好的可扩展性,又便于用
户信息的集中管理。
S7700 支持的认证方案包括:
无需认证(None 认证方式):当对用户非常信任时,不对其进行合法性检查,其
他情况下一般不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在S7700
上,并使用这些用户信息对本地用户进行认证。本地认证的优点是速度快;缺点是
存储信息量受设备硬件条件限制。
远端认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服
务器上。S7700 作为客户端,与认证服务器通信,通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS (HUAWEI Terminal Access Controller Access Control System)协议进行远端认证。
S7700 支持的授权方案包括:
无需授权:对用户非常信任,直接授权通过。
本地授权:根据S7700 上为本地用户帐号配置的相关属性进行授权。
远端授权:S7700 作为客户端,与授权服务器通信,通过HWTACACS 协议进行远
端授权。
If Authenticated 授权:如果用户通过了认证,并且使用了本地认证或远端认证模
式,则用户授权通过。
S7700 支持的计费方案包括:
不计费:不对用户进行计费。
RADIUS 计费:S7700 将计费报文送往RADIUS 服务器,由RADIUS 服务器完成对
用户的计费。
HWTACACS 计费:S7700 将计费报文送往HWTACACS 服务器,由HWTACACS服务器完成对用户的计费。
在RADIUS/HWTACACS 计费模式中,正常情况下S7700 在用户上线和下线时各生成一
份计费报文传送给服务器,服务器根据计费报文中的信息(上下线时间)对用户进行计
费。
S7700 支持实时计费功能。实时计费功能是指用户在线过程中,S7700 定时生成计费报
文传送给服务器。通过实时计费功能,S7700 可以在其和服务器通信中断时,最大程度
的减少计费异常的时间。
本地用户管理
本地用户管理是指在本地S7700 上建立本地用户数据库,维护用户信息,并对用户进行
管理。
基于域的用户管理
S7700 通过域来进行用户管理,域下可以配置认证、授权和计费方案。属于该域的用户通过指定的方案进行认证和授权。
S7700 的所有用户都属于某个域。用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是“@”、“|”、“%”等符号,比如:用户名“******@huawei”,就属于huawei 域。如果用户名中没有带@,就属于系统缺省的default 域。
缺省情况下,S7700 存在配置名为default 和default_admin 两个域,全局默认普通域为default,全局默认管理域为default_admin。两个域均不能删除,只能修改。当无法确认接入用户的域时使用缺省域。
default 用于接入用户(如NAC)的缺省域,缺省为本地认证。default_admin 用于管理员(如http,SSH,,terminal,ftp)的缺省域,缺省为本地认证。
S7700 总共可以配置128 个域,包括缺省的两个域。域下配置的授权信息较AAA 服务器的授权信息优先级低,即,优先使用AAA 服务器下发的授权属性,在AAA 服务器无该项授权或不支持该项授权时,域的授权属性生效。这样处理可以凭借域管理灵活增加业务,而不必受限于AAA 服务器提供的属性。
如果认证方案或授权方案指定通过RADIUS 协议或HWTACACS 协议与服务器通信,则需要在域下配置RADIUS 或HWTACACS 模板。
RADIUS 模板中,可以指定认证和计费服务器的IP 地址、端口号、密钥等属性。
HWTACACS 模板中,可以指定认证服务器的IP 地址、计费服务器的IP 地址、授权服务器的IP 地址、端口号、密钥等属性。
说明:
RADIUS 协议的认证和授权是绑定在一起的,不能使用RADIUS 单独进行授权。
配置AAA方案
认证方案
aaa
authentication-scheme authentication-scheme-na