aaa-ACS培训讲义(共28张).pptx

1、 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-1介绍介绍AAA 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-2AAA 的构成的构成 Authentication（认证）（认证）“你是谁你是谁?”我是张三，我能证明我自己。我是张三，我能证明我自己。Authorization（授权）（授权）我能做什么我能做什么?我能访问什么我能访问什么?“给你一张权限表，那上边写着你能做的事情和能访问的资给你一张权限表，那上边写着你能做的事情和能访问的资源源”。Accounting（统计

2、）（统计）你做过什么？做了多长时间你做过什么？做了多长时间?比如：我访问了一台比如：我访问了一台FTP服务器，并且使用了服务器，并且使用了15分钟的时间分钟的时间，那么统计服务器将对你实行记录，并根据时间收费。，那么统计服务器将对你实行记录，并根据时间收费。2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-3实施实施AAA 管理访问管理访问控制台控制台,远程登陆和辅助端口访问远程登陆和辅助端口访问 远程用户网络访问远程用户网络访问拨号或者拨号或者VPN访问访问 公司内部身份认证和授权（如：配合公司内部身份认证和授权（如：配合IEEE80

3、2.1X技术的实施）技术的实施）Windows版版CSACS AAA软件软件远程用户远程用户PPP NAS（网络访问服务器）（网络访问服务器）公司文件服务器公司文件服务器Console远程用户远程用户VPN边界路由器边界路由器CSACS 专用引擎专用引擎InternetPSTN/ISDN 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-4使用本地数据库进行身份认证使用本地数据库进行身份认证1.客户和路由器建立连接。客户和路由器建立连接。2.路由器提示用户输入用户名路由器提示用户输入用户名/密码。密码。3.路由器使用本地数据库认证这个用

4、户，并根据路由器使用本地数据库认证这个用户，并根据本地数据库实施对内部资源访问的授权。本地数据库实施对内部资源访问的授权。边界路由器边界路由器远程用户远程用户 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-5使用外部服务器实施认证和授权使用外部服务器实施认证和授权1.远程用户和路由器建立连接远程用户和路由器建立连接.2.路由器提示用户输入用户名路由器提示用户输入用户名/密码密码.3.路由器把路由器把用户名用户名/密码密码信息送往信息送往CSACS服务器或专用引擎服务器或专用引擎.4.CSACS服务器认证这个用户；从而用户能实施服务器

5、认证这个用户；从而用户能实施管理访问管理访问 或者根据或者根据CSACS数据库中的授权实现有限制的到达内网的访问。数据库中的授权实现有限制的到达内网的访问。边界路由器边界路由器远程用户远程用户安装了安装了CSACS软软件的服务器件的服务器CSACS专用引擎专用引擎 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-6TACACS+and RADIUS AAA 协议协议 TACACS+和和RADIUS是目前市面上是目前市面上经常使用的两大经常使用的两大AAA协议，协议，TACACS+是是CISCO开发的；而开发的；而RADIUS是是IET

6、F业界标准，得到广业界标准，得到广泛的使用。泛的使用。CSACS实现了把这两大协议集于一实现了把这两大协议集于一身的能力：身的能力：TACACS+比比RADIUS安全，但安全，但只限于只限于CISCO设备，所以应用面设备，所以应用面窄。窄。RADIUS 拥有强大的应用编程接拥有强大的应用编程接口和计帐能力，适用面非常广。口和计帐能力，适用面非常广。Cisco Secure ACS防火墙防火墙路由器路由器接入服务器接入服务器TACACS+RADIUS安全服务器安全服务器 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-7介绍介绍 Cis

7、co Secure ACS 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-8Cisco Secure ACS for Win描述描述 为路由器、访问服务器、为路由器、访问服务器、PIX防火墙、防火墙、VPN3000集中集中器等器等CISCO网络设备提供网络设备提供AAA服务。服务。除了实施路由器和交换机访问管理之外，还能有助于除了实施路由器和交换机访问管理之外，还能有助于进行集中的访问控制和记帐管理。进行集中的访问控制和记帐管理。有了有了CSACS，网络管理员就能迅速管理帐号，并作用，网络管理员就能迅速管理帐号，并作用到相应的功能组

8、中，从而实现为整个用户组提供的服到相应的功能组中，从而实现为整个用户组提供的服务级别的更改。务级别的更改。可以和很多外部的验证数据库相连接，实现验证的中可以和很多外部的验证数据库相连接，实现验证的中继代理的功能。继代理的功能。使用使用TACACS+和和RADIUS协议确保与客户端之间通协议确保与客户端之间通信的安全。信的安全。2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-9Cisco Secure ACS for Windows 一般一般特征特征网络访问网络访问服务器服务器Cisco Secure ACS for Windows S

9、erverTACACS+RADIUSPAPCHAPMS-CHAP CSACS和网络访问服务器之间使用和网络访问服务器之间使用TACACS+或者或者RADIUS协议协议 进行通信，确保客户端和验证服务器之间的通信安全。进行通信，确保客户端和验证服务器之间的通信安全。验证所使用的数据库可以是验证所使用的数据库可以是WIN2000用户数据库或其他的外部数用户数据库或其他的外部数据库，但据库，但CISCO鼓励使用鼓励使用CSACS本身的数据库。本身的数据库。支持网络访问服务器上的支持网络访问服务器上的PAP,CHAP和和 MS-CHAP的认证请求。的认证请求。2004,Cisco Systems,In

10、c.All rights reserved.SECUR 1.14-10Cisco Secure ACS for Windows ServerAAA 服务服务 TACACS+协议支持协议支持:访问控制列表访问控制列表ACL(命名方式或编号方式命名方式或编号方式)可以控制用户访问的时间（每日或每周的访问限制）可以控制用户访问的时间（每日或每周的访问限制）能够启用特权支持级别能够启用特权支持级别 RADIUS 支持支持:IETF RADIUS Cisco RADIUS AV-pair（属性（属性-值对）值对）私有的私有的RADIUS 扩展（扩展（Lucent:朗讯）朗讯）同一个同一个CSACS数据库

11、可以同时支持数据库可以同时支持TACACS+和和RADIUS。NASCisco SecureACS for Windows ServerTACACS+or RADIUS 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-11Cisco Secure ACS for Windows Server管理特性管理特性 全部实现全部实现WEB浏览器的管理方式。浏览器的管理方式。具有输入工具，可以快速输入众多用户；并根据用户具有输入工具，可以快速输入众多用户；并根据用户的特征作用放置到相应的功能组中，以组的形式对用的特征作用放置到相应的功能组中，以

12、组的形式对用户进行管理。户进行管理。创建分开的创建分开的TACACS+和和RADIUS CSV（值之间用逗（值之间用逗号分隔）号分隔）记帐文件。记帐文件。2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-12Cisco Secure ACS for Windows Server分布式系统特性分布式系统特性 认证转发，认证转发，ACS能够自动地能够自动地将一个认证请求从本身转发将一个认证请求从本身转发给另外一个给另外一个ACS。失败连接的回退。可以配置失败连接的回退。可以配置一个服务器序列，如果到主一个服务器序列，如果到主ACS失败，就查

13、找下一个，失败，就查找下一个，直到有一个能认证的为止。直到有一个能认证的为止。远程和集中记帐。远程和集中记帐。ACS能够能够配置成指向一个集中的用作配置成指向一个集中的用作记帐服务器的记帐服务器的CSACS，作为，作为发送记帐日志的集中存储库发送记帐日志的集中存储库。访问服务访问服务器器Cisco Secure ACS for Windows ServerCisco Secure ACS for Windows ServerCisco Secure ACS for Windows Server 2004,Cisco Systems,Inc.All rights reserved.SECUR 1

14、.14-13Cisco Secure ACS for Windows Server Version 3.2系统要求系统要求目前最新的版本是目前最新的版本是V4.0。要求是要求是WIN2000服务器版，服务器版，SP4以上。以上。浏览器如果是浏览器如果是IE的话，需要的话，需要6.0版本及以上。版本及以上。要求要求JAVA虚拟机必须安装在系统中，否则不能正常运行。虚拟机必须安装在系统中，否则不能正常运行。2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-14Cisco Secure ACS for Windows Server系统结构系统

15、结构 可以同时为多个可以同时为多个NAS提供服务。提供服务。包含包含7个模块，与个模块，与WIN2000的系统的系统服务紧密集成；每个模块都能单服务紧密集成；每个模块都能单独地启动或停止。独地启动或停止。认证与授权服务模块认证与授权服务模块日志服务日志服务RADIUS 服务服务TACACS+服务服务管理服务模块管理服务模块同步服务同步服务监控服务监控服务NAS 1NAS 2NAS 3 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-15Cisco Secure ACS for Windows ServerACS 用户数据库用户数据库N

16、AS 1NAS 2NAS 3ACS userdatabase 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-16Cisco Secure ACS for Windows Server外部用户数据库外部用户数据库NAS 1NAS 2NAS 3ACS userdatabaseExternaluserdatabase 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-17Cisco Secure ACS for Windows Server主视窗界面主视窗界面 2004,Cisco

17、 Systems,Inc.All rights reserved.SECUR 1.14-18TACACS+概述和配置概述和配置 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-19TACACS+概述概述 使用使用TCP保证可靠传输保证可靠传输 支持链路加密支持链路加密:IP包包(TCP包包)的数据净荷的数据净荷是经过加密的是经过加密的,在远程安全数据库中以加在远程安全数据库中以加密形式存储密形式存储,从而实现了从而实现了LAN和和WAN访问访问的安全的安全.支持支持SLIP,PPP,ARAP和和NASI远程协议远程协议.支持支持PAP

18、,CHAP,and MS-CHAP认证认证 支持支持Autocommand(自动命令自动命令)支持反向回拨支持反向回拨 在授权阶段在授权阶段,可以为单个用户或组可以为单个用户或组分配访问列表分配访问列表.PSTN/ISDN公司网络公司网络TACACS+客户客户TACACS+安全服务器安全服务器网络访问服务器网络访问服务器远程用户远程用户 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-20全局启动全局启动AAACisco SecureACS for Windows Server网络访问网络访问服务器服务器10.1.2.4aaa new

19、-modelrouter(config)#router(config)#aaa new-model 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-21tacacs-server 命令命令tacacs-server key keystringrouter(config)#router(config)#tacacs-server key 2bor!2b?tacacs-server host ipaddressrouter(config)#router(config)#tacacs-server host 10.1.2.4tacacs-s

20、erver host ipaddress key keystringrouter(config)#router(config)#tacacs-server host 10.1.2.4 key 2bor!2b?可以使用两条可以使用两条命令命令或者或者可以使用单条可以使用单条命令命令 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-22AAA 配置命令配置命令aaa authentication login|enable default|arap|ppp|nasi default|list-name method1 method2 met

21、hod3 method4 aaa accounting system|network|exec|connection|commands leveldefault|list-name start-stop|wait-start|stop-only|none method1 method2aaa authorization network|exec|commands level|reverse-access default|list-nameif-authenticated|local|none|radius|tacacs+|krb5-instancerouter(config)#router(c

22、onfig)#router(config)#2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-23NAS AAA 配置举例配置举例aaa new-modelaaa authentication login default tacacs+enableaaa authentication ppp default tacacs+aaa authorization exec tacacs+aaa authorization network tacacs+aaa accounting exec start-stop tacacs+aaa acco

23、unting network start-stop tacacs+enable secret 5$1$x1EE$33AXd2VTVvhbWL0A37tQ3.enable password 7 15141905172924!username admin password 7 094E4F0A1201181D19!interface Serial2 ppp authentication pap!tacacs-server host 10.1.1.4tacacs-server key ciscosecure!line con 0 login authentication no_tacacs 2004

24、,Cisco Systems,Inc.All rights reserved.SECUR 1.14-24RADIUS 配置概述配置概述 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-25RADIUS 背景背景RADIUS 由由利文斯敦公司开发的利文斯敦公司开发的AAA协议协议,现在现在已经被朗讯收购已经被朗讯收购,CISCO将将RADIUS客户端集成客户端集成在了在了IOS中中,它由三个部分组成它由三个部分组成:分组使用分组使用UDP来传递来传递,效率高效率高 服务器服务器 客户端客户端 2004,Cisco Systems,Inc

25、.All rights reserved.SECUR 1.14-26RADIUS 服务器命令服务器命令radius-server key keystringrouter(config)#router(config)#radius-server key 2bor!2b?radius-server host host-name|ipaddressrouter(config)#router(config)#radius-server host 10.1.2.4radius-server host ipaddress key keystringrouter(config)#router(config)

26、#radius-server host 10.1.2.4 key 2bor!2b?你可以使用你可以使用两条命令两条命令或者或者你可以使用你可以使用单条命令单条命令 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-27TACACS+/RADIUS 比较比较CampusTACACS+服务器服务器DialTACACS+客户客户RADIUS 客户客户RADIUS 服务器服务器TACACS+RADIUS传输协议传输协议TCPUDP功能性功能性CHAP(挑战握手挑战握手认证协议认证协议)双向双向单向单向机密性机密性整个分组被保护整个分组被保护密码被保护密码被保护支持多协议支持多协议不支持不支持ARA,和和NetBEUI AAA的功能可以的功能可以分离实施分离实施认证和授权不能分离认证和授权不能分离实施实施协议支持的广泛协议支持的广泛性性记帐能力记帐能力有限有限扩展性好扩展性好 2004,Cisco Systems,Inc.All rights reserved.SECUR 1.14-28演讲完毕，谢谢观看！