赞
踩
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
运维的朋友应该对AAA协议不陌生吧,认证(Authentication)、授权(Authorization)和计费(Accounting),是网络安全中进行访问控制的一种安全管理机制,其中Radius认证是一种应用最广泛的AAA协议,借用网上的描述:
Radius是一种C/S结构的协议,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端,RADIUS协议认证机制灵活,简单明确,可扩充,可以采用PAP、CHAP或者Unix登录认证等多种方式。
图中NAS(网络接入服务器)作为RADIUS客户端,向远程接入用户提供接入及与RADIUS服务器交互的服务。RADIUS服务器上则存储用户的身份信息、授权信息以及访问记录,对用户进行认证、授权和计费服务。
1、用户输入用户名和口令;
2、Radius客户端根据获取的用户名和口令,向Radius服务器发送认证请求包(access-request)。
3、 Radius服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给Radius客户端;如果认证失败,则返回access-reject 响应包。
4、Radius客户端根据接收到的认证结果接入/拒绝用户。
5、如果可以接入用户,则Radius客户端向Radius服务器发送计费开始请求包(accounting-request),status-type 取值为start;
6、Radius服务器返回计费开始响应包(accounting-response);
7、Radius客户端向Radius服务器发送计费停止请求包(accounting-request),status-type 取值为stop;
8、Radius服务器返回计费结束响应包(accounting-response);
1、Radius客户端和Radius服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作,UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力,也更安全;
2、Radius支持代理功能,就是一台服务器可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包,可以实现多台Radius服务器互相配合;
3、客户端与RADIUS服务器之间的用户密码交互是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播以减少在不安全的网络中用户密码被侦听到的可能性;
4、Radius支持重传机制,如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传,由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证;
5、RADIUS是一种可扩展的协议,所有的交互报文由多个不同长度的ALV(Attribute-Length-Value)三元组组成,新增加属性和属性值不会破坏到协议的原有实现。因此RADIUS协议也支持设备厂商扩充厂家专有属性;
6、RADIUS协议认证机制灵活,支持多种认证用户的方式。如果用户提供了用户名和用户密码的明文,RADIUS协议能够支持PAP、CHAP、UNIX login等多种认证方式。
RADIUS协议简单明确、扩展性强,因此得到了广泛应用,现如今,在双因素认证领域中,更是独占鳌头!
首先是网络设备
如路由器、交换机、AC等,主流设备都支持标准的Radius协议aaa认证,客户端基本配置思路如下:
[Switch] radius-server template ckey
[Switch-radius-ckey] radius-server authentication 10.1.6.6 1812 //指定RADIUS认证服务器的IP地址和端口号,
[Switch-radius-ckey] radius-server shared-key cipher ckey@1234 //指定RADIUS认证服务器的共享密钥,需要与RADIUS服务器上配置一致
[Switch-radius-ckey] undo radius-server user-name domain-included //设备向RADIUS服务器发送的报文中的用户名不包含域名
[Switch-radius-ckey] quit
[Switch] aaa
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
[Switch-aaa-authen-sch1] quit
[Switch-aaa] domain default_admin
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] radius-server ckey
[Switch-aaa-domain-huawei.com] service-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。