资料
AAA配置与管理
一、基础
1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费也称为审计、记账,记录通过认证用户的网络资源使用情况。不支持本地认证和授权方式。)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)Windows和linux都支持服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而
也称为审计、记账,记录通过认证用户的网络资源使用情况。不支持本地认证和授权方式。
Windows和linux都支持
在实际应用中,可以使用AAA的一种或两种服务。
2、AAA基本架构:
C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)
3、AAA基于域的用户管理:
通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理
缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号, HY