概述

  AAA是Authentication(认证)Authorization(授权)和 Accounting(计费)的简称,它提供了 认证、授权、计费 三种安全功能。AAA可以通过多种协议来实现,目前华为设备支持基于RADIUS(Remote Authentication Dial-In User Service)协议 或 HWTACACS(Huawei Terminal Access Controller Access Control System)协议 来实现AAA。

应用场景

  

AAA协议 java AAA协议有什么功能_用户名

 

 

 

例如,企业总部需要对服务器的资源访问进行控制,只有通过认证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。

  • NAS为网络接入服务器,负责集中收集和管理用户的访问请求。
  • AAA服务器表示远端的Radius 或 HWTACACS服务器,负责制定认证、授权和计费方案。

认证方式

AAA有三种认证方式:

  • 不认证:完全信任用户,不对用户身份进行合法性检查。
  • 本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上。缺省为本地认证。
  • 远端认证:将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。

    注:如果一个认证方案采用多种认证方式,这些认证方式按配置顺序生效。

授权方式

AAA支持以下三种授权方式:

  • 不授权:不对用户进行授权处理。
  • 本地授权:根据NAS上配置的本地用户账号的相关属性进行授权。
  • 远端授权: 
  1. HWTACACS授权,使用TACACS服务器对用户授权。
  2. RADIUS授权,对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。

计费方式

AAA支持以下两种计费方式:

  • 不计费:为用户提供免费上网服务,不产生相关活动日志。
  • 远端计费:通过RADIUS服务器或HWTACACS服务器进行远端计费。

 AAA域

  

AAA协议 java AAA协议有什么功能_服务器_02

 

 

  设备基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如,如果用户名是user@huawei,则用户属于huawei域。如果用户名后不带有@,则用户属于系统缺省域default。
  ARG3系列路由设备支持两种缺省域:

  1.   default域普通用户的缺省域。
  2.   default_admin域 为管理用户的缺省域。

  用户可以修改但不能删除这两个缺省域。默认情况下,设备最多支持32个域,包括两个缺省域。

AAA配置

  

AAA协议 java AAA协议有什么功能_用户名_03

 

 

[RTA]aaa                             // 进入aaa视图
[RTA-aaa]authentication-scheme auth1            // 创建认证方案
[RTA-aaa-authen-auth1]authentication-mode local     // 配置认证模式 
[RTA-aaa-authen-auth1]quit
[RTA-aaa]authorization-scheme auth2            // 不同的认证方案    
[RTA-aaa-author-auth2]authorization-mode local 
[RTA-aaa-author-auth2]quit
[RTA-aaa]domain huawei                    // 创建认证域
[RTA-aaa-domain-huawei]authentication-scheme auth1 
[RTA-aaa-domain-huawei]authorization-scheme auth2
[RTA-aaa-domain-huawei]quit
[RTA-aaa]local-user huawei@huawei password cipher huawei123    // 接口绑定认证域
[RTA-aaa]local-user huawei@huawei service-type telnet 
[RTA-aaa]local-user huawei@huawei privilege level 0
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa
[RTA]display domain name huawei
  Domain-name                     : huawei         
  Domain-state                    : Active
  Authentication-scheme-name      : auth1
  Accounting-scheme-name          : default
  Authorization-scheme-name       : auth2
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group                      : -

 

<Huawei>telnet 101.1.1.1
  Press CTRL_] to quit telnet mode
  Trying 101.1.1.1 ...
  Connected to 101.1.1.1 ...
Login authentication
Username:huawei@huawei          // 客户端 telnet 也要加@符号
Password: