认证与授权配置安全防范手册(pdf 29页)
Quidway Eudemon 300/500/1000
配置指南安全防范分册目录
目录
12 认证与授权配置......................................................................................................................12-1
12.1 简介..........................................................................................................................................................12-2
12.1.1 认证与授权简介.............................................................................................................................12-2
12.1.2 RADIUS协议简介..........................................................................................................................12-3
12.1.3 HWTACACS协议简介...................................................................................................................12-3
12.2 配置认证和授权......................................................................................................................................12-4
12.2.1 建立配置任务.................................................................................................................................12-4
12.2.2 配置认证方案.................................................................................................................................12-7
12.2.3 配置授权方案.................................................................................................................................12-7
12.2.4 配置RADIUS.................................................................................................................................12-8
12.2.5 配置HWTACACS.........................................................................................................................12-8
12.2.6 创建本地用户...............................................................................................................................12-10
12.2.7 配置域..........................................................................................................................................12-11
12.2.8 配置PPP用户的IP地址............................................................................................................12-12
12.2.9 检查配置结果...............................................................................................................................12-13
12.3 维护........................................................................................................................................................12-14
12.3.1 调试RADIUS和HWTACACS...................................................................................................12-14
12.3.2 清除HWTACACS服务器统计信息...........................................................................................12-14
12.3.3 管理在线用户...............................................................................................................................12-14
12.4 配置举例................................................................................................................................................12-16
12.4.1 配置对接入用户的认证举例一...................................................................................................12-16
12.4.2 配置对接入用户的认证举例二...................................................................................................12-20
12.4.3 配置对Telnet用户的认证举例...................................................................................................12-22
插图目录Quidway Eudemon 300/500/1000配置指南安全防范分册
插图目录
图12-1 AAA和RADIUS配置组网图.........................................................................................................12-16图12-2 对Telnet用户的认证配置组网图...................................................................................................12-23
配置指南安全防范分册表格目录
表格目录
表12-1 HWTACACS协议与RADIUS协议..................................................................................................12-4表12-2 配置带域名的用户的认证与授权需准备的数据.............................................................................12-5表12-3 检查认证和授权配置结果...............................................................................................................12-13表12-4 调试RADIUS和HWTACACS.......................................................................................................12-14表12-5 清除HWTACACS服务器统计信息...............................................................................................12-14表12-6 查看在线用户信息...........................................................................................................................12-14表12-7 强制用户下线..................................................................................................................................12-15
配置指南安全防范分册 12
认证与授权配置
12 认证与授权配置
关于本章
本章描述内容如下表所示。
标题内容
12.1 简介介绍认证与授权的功能、RADIUS协议、HWTACACS协议。
12.2 配置认证和授权介绍认证与授权的配置方法。
12.3 维护介绍认证与授权的维护方法。
12.4 配置举例介绍认证与授权的组网举例。
12 认证与授权配置Quidway Eudemon 300/500/1000配置指南安全防范分册
12.1 简介
12.1.1 认证与授权简介
认证、授权提供对用户的认证和授权两种安全功能。具体如下:
z认证
认证哪些用户可以访问网络。
z授权
授权用户可以使用哪些服务。
认证与授权一般采用客户/服务器结构。客户端运行于被管理的资源侧,服务器上则集中
存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。
认证功能
认证与授权支持以下认证方式:
z不认证
对用户非常信任,不对其进行合法性检查。一般不采用这种方式。
z本地认证
当用户接入时,根据宽带接入服务器本地配置的用户信息(包括用户名、密码及其
他属性)进行认证。
本地认证的优点是速度快,可以降低运营成本,缺点是存储信息量受设备硬件条件
限制。
z远端认证
支持通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS
协议进行远端认证,由宽带接入服务器作Client端,与RADIUS服务器或
HWTACACS服务器通信。对于RADIUS协议,可以采用标准RADIUS协议或华为
公司的扩展RADIUS协议,与iTELLIN/CAMS等设备配合完成认证。
授权功能
认证与授权支持以下授权方式:
z直接授权
对用户非常信任,直接授权通过。
z本地授权
根据宽带接入服务器上为本地用户账号配置的相关属性进行授权。
z HWTACACS授权
由HWTACACS服务器对用户进行授权。
z if-authenticated授权
如果用户通过了验证,并且使用的验证方法不是none,则对用户授权通过。
Quidway Eudemon 300/500/1000
认证与授权配置
配置指南安全防范分册 12 z RADIUS认证成功后授权
由RADIUS服务器对用户认证通过后,即可授权。这是由于RADIUS协议的认证
和授权是绑定在一起的,不能单独使用RADIUS进行授权。
12.1.2 RADIUS协议简介
认证与授权可以用多种协议来实现,最常用的是RADIUS协议。RADIUS协议最初用来
管理使用串口和调制解调器的大量分散用户,后来广泛应用于网络接入服务器NAS
(Network Access Server)系统。
RADIUS协议的特点
RADIUS协议具有如下特点:
z使用UDP作为传输协议,具有良好的实时性。
z支持重传机制和备用服务器机制,有较好的可靠性。
z实现比较简单,适用于大用户量时服务器端的多线程结构。
上述特点使得RADIUS协议得到了广泛的应用。
RADIUS协议客户端的功能
作为RADIUS协议客户端,NAS能够实现以下功能:
z标准RADIUS协议及扩充属性,包括RFC2865、RFC2866。
z华为扩展的RADIUS+1.1协议。
z对RADIUS服务器状态的主动探测功能。
如果当前服务器的状态为DOWN,宽带接入服务器收到认证消息后,启动服务器
探测处理,将消息转换为探测报文后向当前服务器发送。如果收到RADIUS服务器
的回应,则认为该服务器重新可用。
z计费结束报文的本地缓存重传功能。
计费结束报文在重传发送失败次数超过配置次数后,将计费结束报文保存到计费结
束报文缓存队列。系统定时器周期扫描该队列,如果存在计费结束缓存报文,则取
出报文内容,向指定的服务器发送并启动定时器等待,如果发送失败或在超时时间
内没有收到服务器回应,则重新入缓存队列。
z RADIUS服务器的自动切换功能。
当报文等待定时器超时时,如果当前发送的SERVER的状态为不可发送,或者发送
次数超过当前SERVER的最大重传次数,则需要在配置的服务器组中选择另外的服
务器发送报文。
12.1.3 HWTACACS协议简介
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协
议与RADIUS协议类似,主要是通过Server/Client模式实现多种用户的认证与授权功能,
可用于PPP和VPDN接入用户及login用户的认证、授权和计费。
与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。
HWTACACS协议与RADIUS协议的主要区别如表12-1所示。
12 认证与授权配置Quidway Eudemon 300/500/1000配置指南安全防范分册
表12-1HWTACACS协议与RADIUS协议
HWTACACS RADIUS
使用TCP,网络传输更可靠使用UDP
除标准的HWTACACS报文头,对报
文主体全部进行加密
只是对验证报文中的密码字段进行加密
认证与授权分离认证与授权一起处理
适于进行安全控制适于进行计费
支持对配置命令进行授权使用不支持
利用HWTACACS协议认证与授权分离的特性,可以使用RADIUS进行认证,而使用
HWTACACS进行授权。
12.2 配置认证和授权
12.2.1 建立配置任务
应用环境
网络用户可以分为如下两种:
z default域的用户
z其他域的用户
在防火墙对外提供业务前,可以根据实际需要,配置上述两种用户的认证和授权。
上述两种用户的认证授权绝大部分相同,故下列配置中,在需要处说明该步配置为哪类用户的配
置。如果未指明,则表示所有用户的认证和授权均需要配置。
前置任务
在配置带域名的用户的认证和授权前,需要完成以下配置任务:
z配置防火墙的工作模式(可选)
z配置接口IP地址(可选)
z配置接口加入安全区域
不能配置工作于透明模式下的接口的IP地址。
数据准备
在配置带域名的用户的认证与授权前,需要准备如表12-2所示数据。