AAA原理与配置
定义
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作用如下:
•认证:验证用户是否可以获得网络访问权。
•授权:授权用户可以使用哪些服务。
•计费:记录用户使用网络资源的情况。
AAA服务器目前有RADIUS(Remote Authentication Dial In User Service)服务器、HWTACACS(Huawei Terminal Access Controller Access Control System)服务器。
认证
AAA支持以下认证方式:
•不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。
•本地认证:将用户信息配置在设备上。本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。
•远端认证:将用户信息配置在认证服务器上。支持通过远程认证拨号用户服务协议RADIUS协议、华为终端访问控制器控制系统协议HWTACACS协议。
授权
AAA支持以下授权方式:
•不授权:不对用户进行授权处理。
•本地授权:根据设备为本地用户账号配置的相关属性进行授权。
•HWTACACS授权:由HWTACACS服务器对用户进行授权。
•RADIUS授权:由RADIUS服务器对用户进行授权。
•if-authenticated授权:适用于用户必须认证且认证过程与授权过程可分离的场景。
计费
AAA支持以下计费方式:
•不计费:不对用户计费。
•远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。
RADIUS概述
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
•RADIUS服务器:一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS服务器通常要维护三个数据库:
•Users:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
•Clients:用于存储RADIUS客户端的信息(如接入设备的共享密钥、IP地址等)。
•Dictionary:用于存储RADIUS协议中的属性和属性值含义的信息。
•网络安全
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,RADIUS协议利用共享密钥对RADIUS报文中的密码进行了加密。
RADIUS报文格式
各字段的解释如下:•Code:长度为1个字节,用来说明RADIUS报文的类型。不同RADIUS报文的Code值不相同。例如,Code为1时表示Access-Request报文,Code为2时表示Access-Accept报文。
•Identifier:长度为1个字节,用来匹配请求报文和响应报文,以及检测在一段时间内重发的请求报文。客户端发送请求报文后,服务器返回的响应报文中的Identifier值应与请求报文中的Identifier值相同。
•Length:长度为2个字节,用来指定RADIUS报文的长度。超过Length取值的字节将作为填充字符而忽略。如果接收到的报文的实际长度小于Length的取值,则该报文会被丢弃。
•Authenticator:长度为16个字节,用来验证RADIUS服务器的响应报文,同时还用于用户密码的加密。
•Attribute:不定长度,为报文的内容主体,用来携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可以包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示,具体请参见RADIUS属性。
•类型(Type),1个字节,取值为1~255,用于表示属性的类型。
•长度(Length),表示该属性(包括类型、长度和属性)的长度,单位为字节。
•属性值(Value),表示该属性的信息,其格式和内容有类型和长度决定,最大长度为253字节。
RADIUS报文示例
下面我们一起来解析一个Access-Request报文,以便更好的理解RADIUS报文各字段的含义。
包头部分(包括Code、Identifier、Length和Authenticator字段):
Code=01,表示该RADIUS报文为Access-Request(认证请求报文)。
Identifier=34,表示该请求报文的标识,对应的回应报文的标识应该和请求报文一致。
Length=00 89,表示该报文的长度为137字节。
Authenticator报文验证字,即为Length字段后的16个字节。
属性部分(包括Type、Length和Value字段):
第一个属性表示User-name(用户名)为MSI-000009291626104。
Type=01,表示该属性为User-name。
Length=16,表示该属性长度为22字节。
Value=MSI-000009291626104,即为Length字段后的20个字节。
依此类推,第二个属性表示加密后的User-Password(用户密码)。该报文总共携带了8组属性。
RADIUS报文类型
目前RADIUS定义了十六种报文类型。
RADIUS认证报文:
| 报文名称 | 说明 |
|---|---|
| Access-Request | 认证请求报文,是RADIUS报文交互过程中的第一个报文,用来携带用户的认证信息(例如:用户名、密码等)。认证请求报文由RADIUS客户端发送给RADIUS服务器,RADIUS服务器根据该报文中携带的用户信息判断是否允许接入。 |
| Access-Accept | 认证接受报文,是服务器对客户端发送的Access-Request报文的接受响应报文。如果Access-Request报文中的所有属性都可以接受(即认证通过),则发送该类型报文。客户端收到此报文后,认证用户才能认证通过并被赋予相应的权限。 |
| Access-Reject | 认证拒绝报文,是服务器对客户端的Access-Request报文的拒绝响应报文。如果Access-Request报文中的任何一个属性不可接受(即认证失败),则RADIUS服务器返回Access-Reject报文,用户认证失败。 |
| Access-Challenge | 认证挑战报文。EAP认证时,RADIUS服务器接收到Access-Request报文中携带的用户名信息后,会随机生成一个MD5挑战字,同时将此挑战字通过Access-Challenge报文发送给客户端。客户端使用该挑战字对用户密码进行加密处理后,将新的用户密码信息通过Access-Request报文发送给RADIUS服务器。RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则该用户为合法用户。 |
RADIUS计费报文:
| 报文名称 | 说明 |
|---|---|
| Accounting-Request(Start) | 计费开始请求报文。如果客户端使用RADIUS模式进行计费,客户端会在用户开始访问网络资源时,向服务器发送计费开始请求报文。 |
| Accounting-Response(Start) | 计费开始响应报文。服务器接收并成功记录计费开始请求报文后,需要回应一个计费开始响应报文。 |
| Accounting-Request(Interim-update) | 实时计费请求报文。为避免计费服务器无法收到计费停止请求报文而继续对该用户计费,可以在客户端上配置实时计费功能。客户端定时向服务器发送实时计费报文,减少计费误差。 |
| Accounting-Response(Interim-update) | 实时计费响应报文。服务器接收并成功记录实时计费请求报文后,需要回应一个实时计费响应报文。 |
| Accounting-Request(Stop) | 计费结束请求报文。当用户断开连接时(连接也可以由接入服务器断开),客户端向服务器发送计费结束请求报文,其中包括用户上网所使用的网络资源的统计信息(上网时长、进/出的字节数等),请求服务器停止计费。 |
| Accounting-Response(Stop) | 计费结束响应报文。服务器接收计费停止请求报文后,需要回应一个计费停止响应报文。 |
RADIUS授权报文:
| 报文名称 | 说明 |
|---|---|
| CoA-Request | 动态授权请求报文。当管理员需要更改某个在线用户的权限时(例如,管理员不希望用户访问某个网站),可以通过服务器发送一个动态授权请求报文给客户端,使客户端修改在线用户的权限。 |
| CoA-ACK | 动态授权请求接受报文。如果客户端成功更改了用户的权限,则客户端回应动态授权请求接受报文给服务器。 |
| CoA-NAK | 动态授权请求拒绝报文。如果客户端未成功更改用户的权限,则客户端回应动态授权请求拒绝报文给服务器。 |
| DM-Request | 用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过服务器发送一个用户离线请求报文给客户端,使客户端终结用户的连接。 |
| DM-ACK | 用户离线请求接受报文。如果客户端已经切断了用户的连接,则客户端回应用户离线请求接受报文给服务器。 |
| DM-NAK | 用户离线请求拒绝报文。如果客户端无法切断用户的连接,则客户端回应用户离线请求拒绝报文给服务器。 |
- CoA:(Change of Authorization)是指用户认证成功后,管理员可以通过RADIUS协议来修改在线用户的权限。
- DM:(Disconnect Message)是指用户离线报文,即由RADIUS服务器端主动发起的强迫用户下线的报文。
RADIUS认证、授权和计费
接入设备作为RADIUS客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如下图所示。
CoA
CoA(Change of Authorization)是指用户认证成功后,管理员可以通过RADIUS协议来修改在线用户的权限。例如,通过CoA为用户下发VLAN,可以保证某一部分的员工无论从哪个设备端口接入网络,均属于同一个VLAN。CoA的报文交互流程如下图所示。
DM(Disconnect Message)是指用户离线报文,即由RADIUS服务器端主动发起的强迫用户下线的报文。DM的报文交互流程如下图所示。
HWTACACS概述
华为终端访问控制器控制系统协议HWTACACS是在TACACS(RFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。
HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能,它们有很多相似点:
•结构上都采用客户端/服务器模式。
•都使用公共密钥对传输的用户信息进行加密。
•都有较好的灵活性和可扩展性。
与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。HWTACACS协议与RADIUS协议的主要区别如下表所示。
TACACS、TACACS+和HWTACACS的关系
终端访问控制器控制系统TACACS(Terminal Access Controller Access-Control System),是一种起源于二十世纪八十年代的AAA(认证、授权、计费)协议,用于与UNIX网络中的身份验证服务器进行通信、决定用户是否有权限访问网络。在之后的发展中,各厂商在TACACS协议的基础上进行了扩展,例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议,在发展过程中逐步替代了原来的TACACS协议,并且不再兼容TACACS协议。
对比HWTACACS和TACACS+HWTACACS协议可以兼容TACACS+协议,S系列交换机作为接入设备可以与TACACS+服务器对接实现AAA功能。
HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致。两种协议的主要区别在于授权和计费报文中携带的属性含义或类型不完全一致。例如,华为S系列交换机对接TACACS+服务器对Telnet用户认证时,基本的认证功能、授权用户级别功能、命令行授权功能等都能正常实现,如有其它额外需求,可分别查询HWTACACS属性信息和TACACS+属性信息,两者都支持时,需求就能正常实现。
HWTACACS报文介绍
HWTACACS报文与RADIUS报文的格式不同。所有RADIUS报文均采用相同的报文格式,而HWTACACS的报文除了具有相同的报文头之外,认证、授权和计费报文的格式均不同。
报文介绍:https://support.huawei.com/enterprise/zh/doc/EDOC1000178159/1f37e1fe
HWTACACS认证、授权、计费流程
下面以Telnet用户为例,说明使用HWTACACS对用户进行认证、授权和计费的过程。基本消息交互流程图如下图所示。
配置
配置基于默认域的用户管理示例
组网需求:
企业用户通过Switch接入网络,用户名不带任何域名。
企业希望普通用户需要经过RADIUS认证后才能接入网络,并获取对应权限,管理用户需要经过Switch的本地认证后才能登录设备进行管理。
Switch的配置文件
#
sysname Switch
#
vlan batch 10 to 11
#
telnet server enable
#
authentication-profile name p1
dot1x-access-profile d1
authentication mode multi-authen max-user 100
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
radius-server accounting 192.168.2.30 1813 weight 80
radius-server retransmit 2
#
aaa
authentication-scheme abc
authentication-mode radius
authentication-scheme auth
authorization-scheme autho
accounting-scheme abc
accounting-mode radius
domain default
authentication-scheme abc
accounting-scheme abc
radius-server rd1
domain default_admin
authentication-scheme auth
authorization-scheme autho
local-user test password irreversible-cipher $1a$|^<)!}4$IN$9BrKBRY#L:pEc{P#HQ=OI#p["6tY%94gGg2#@FzP$
local-user test privilege level 3
local-user test service-type telnet
#
interface Vlanif11
ip address 192.168.2.29 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication-profile p1
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 11
#
user-interface vty 0 14
authentication-mode aaa
protocol inbound telnet
#
dot1x-access-profile name d1
#
return