aaa-ACS培训讲义

©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-1介绍AAA©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-2AAA的构成•Authentication（认证）–“你是谁?”–我是张三，我能证明我自己。•Authorization（授权）–我能做什么?我能访问什么?–“给你一张权限表，那上边写着你能做的事情和能访问的资源”。•Accounting（统计）–你做过什么？做了多长时间?–比如：我访问了一台FTP服务器，并且使用了15分钟的时间，那么统计服务器将对你实行记录，并根据时间收费。©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-3实施AAA•管理访问—控制台,远程登陆和辅助端口访问•远程用户网络访问—拨号或者VPN访问•公司内部身份认证和授权（如：配合IEEE802.1X技术的实施）Windows版CSACSAAA软件远程用户PPPNAS（网络访问服务器）公司文件服务器Console远程用户VPN边界路由器CSACS专用引擎InternetPSTN/ISDN©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-4使用本地数据库进行身份认证1.客户和路由器建立连接。2.路由器提示用户输入用户名/密码。3.路由器使用本地数据库认证这个用户，并根据本地数据库实施对内部资源访问的授权。213边界路由器远程用户©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-5使用外部服务器实施认证和授权1.远程用户和路由器建立连接.2.路由器提示用户输入用户名/密码.3.路由器把用户名/密码信息送往CSACS服务器或专用引擎.4.CSACS服务器认证这个用户；从而用户能实施管理访问或者根据CSACS数据库中的授权实现有限制的到达内网的访问。213边界路由器远程用户安装了CSACS软件的服务器CSACS专用引擎4©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-6TACACS+andRADIUSAAA协议•TACACS+和RADIUS是目前市面上经常使用的两大AAA协议，TACACS+是CISCO开发的；而RADIUS是IETF业界标准，得到广泛的使用。•CSACS实现了把这两大协议集于一身的能力：–TACACS+比RADIUS安全，但只限于CISCO设备，所以应用面窄。–RADIUS拥有强大的应用编程接口和计帐能力，适用面非常广。CiscoSecureACS防火墙路由器接入服务器TACACS+RADIUS安全服务器©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-7介绍CiscoSecureACS©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-8CiscoSecureACSforWin描述•为路由器、访问服务器、PIX防火墙、VPN3000集中器等CISCO网络设备提供AAA服务。•除了实施路由器和交换机访问管理之外，还能有助于进行集中的访问控制和记帐管理。•有了CSACS，网络管理员就能迅速管理帐号，并作用到相应的功能组中，从而实现为整个用户组提供的服务级别的更改。•可以和很多外部的验证数据库相连接，实现验证的中继代理的功能。•使用TACACS+和RADIUS协议确保与客户端之间通信的安全。©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-9CiscoSecureACSforWindows—一般特征网络访问服务器CiscoSecureACSforWindowsServerTACACS+RADIUSPAPCHAPMS-CHAP•CSACS和网络访问服务器之间使用TACACS+或者RADIUS协议进行通信，确保客户端和验证服务器之间的通信安全。•验证所使用的数据库可以是WIN2000用户数据库或其他的外部数据库，但CISCO鼓励使用CSACS本身的数据库。•支持网络访问服务器上的PAP,CHAP和MS-CHAP的认证请求。©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-10CiscoSecureACSforWindowsServer—AAA服务•TACACS+协议支持:–访问控制列表ACL(命名方式或编号方式)–可以控制用户访问的时间（每日或每周的访问限制）–能够启用特权支持级别•RADIUS支持:–IETFRADIUS–CiscoRADIUSAV-pair（属性-值对）–私有的RADIUS扩展（Lucent:朗讯）•同一个CSACS数据库可以同时支持TACACS+和RADIUS。NASCiscoSecureACSforWindowsServerTACACS+orRADIUS©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-11CiscoSecureACSforWindowsServer—管理特性•全部实现WEB浏览器的管理方式。•具有输入工具，可以快速输入众多用户；并根据用户的特征作用放置到相应的功能组中，以组的形式对用户进行管理。•创建分开的TACACS+和RADIUSCSV（值之间用逗号分隔）记帐文件。©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-12CiscoSecureACSforWindowsServer—分布式系统特性•认证转发，ACS能够自动地将一个认证请求从本身转发给另外一个ACS。•失败连接的回退。可以配置一个服务器序列，如果到主ACS失败，就查找下一个，直到有一个能认证的为止。•远程和集中记帐。ACS能够配置成指向一个集中的用作记帐服务器的CSACS，作为发送记帐日志的集中存储库。访问服务器CiscoSecureACSforWindowsServerCiscoSecureACSforWindowsServerCiscoSecureACSforWindowsServer©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-13CiscoSecureACSforWindowsServerVersion3.2—系统要求目前最新的版本是V4.0。要求是WIN2000服务器版，SP4以上。浏览器如果是IE的话，需要6.0版本及以上。要求JAVA虚拟机必须安装在系统中，否则不能正常运行。©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-14CiscoSecureACSforWindowsServer—系统结构•可以同时为多个NAS提供服务。•包含7个模块，与WIN2000的系统服务紧密集成；每个模块都能单独地启动或停止。认证与授权服务模块日志服务RADIUS服务TACACS+服务管理服务模块同步服务监控服务NAS1NAS2NAS3©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-15CiscoSecureACSforWindowsServer—ACS用户数据库NAS1NAS2NAS3ACSuserdatabase©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-16CiscoSecureACSforWindowsServer—外部用户数据库NAS1NAS2NAS3ACSuserdatabaseExternaluserdatabase©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-17CiscoSecureACSforWindowsServer—主视窗界面©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-18TACACS+概述和配置©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-19TACACS+概述•使用TCP保证可靠传输•支持链路加密:IP包(TCP包)的数据净荷是经过加密的,在远程安全数据库中以加密形式存储,从而实现了LAN和WAN访问的安全.•支持SLIP,PPP,ARAP和NASI远程协议.•支持PAP,CHAP,andMS-CHAP认证•支持Autocommand(自动命令)•支持反向回拨•在授权阶段,可以为单个用户或组分配访问列表.PSTN/ISDN公司网络TACACS+客户TACACS+安全服务器网络访问服务器远程用户©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-20全局启动AAACiscoSecureACSforWindowsServer网络访问服务器10.1.2.4aaanew-modelrouter(config)#router(config)#aaanew-model©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-21tacacs-server命令tacacs-serverkeykeystringrouter(config)#router(config)#tacacs-serverkey2bor!2b@?tacacs-serverhostipaddressrouter(config)#router(config)#tacacs-serverhost10.1.2.4tacacs-serverhostipaddresskeykeystringrouter(config)#router(config)#tacacs-serverhost10.1.2.4key2bor!2b@?可以使用两条命令或者可以使用单条命令©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-22AAA配置命令aaaauthentication{login|enabledefault|arap|ppp|nasi}{default|list-name}method1[method2[method3[method4]]]aaaaccounting{system|network|exec|connection|commandslevel}{default|list-name}{start-stop|wait-start|stop-only|none}[method1[method2]]aaaauthorization{network|exec|commandslevel|reverse-access}{default|list-name}{if-authenticated|local|none|radius|tacacs+|krb5-instance}router(config)#router(config)#router(config)#©2004,CiscoSystems,Inc.Allrightsreserved.SECUR1.1—4-23NASAAA配置举例aaanew-modelaaaauthenticationlogindefaulttacacs+enableaaaauthenticationpppdefaulttacacs+aaaauthorizationexectacacs+aaaauthorizationnetworktacacs+aaaaccountingexecstart-stoptacacs+aaaaccountingnetworkstar