利用acs实现AAA服务器的搭建

AAA服务器：

AAA是验证、受权和记帐（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户能够访问网络服务器，具备访问权的用户能够获得哪些服务，如何对正在使用网络资源的用户进行记帐。AAA服务器（AAA server）是一个可以处理用户访问请求的服务器程序。提供验证受权以及账户服务。AAA服务器一般同网络访问控制、网关服务器、数据库以及用户信息目录等协同工做。同AAA服务器协做的网络链接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。具体为：

一、 验证(Authentication): 验证用户是否能够得到访问权限；

二、 受权(Authorization) : 受权用户可使用哪些服务；

三、 记帐(Accounting) : 记录用户使用网络资源的状况。

RADIUS协议：

RADIUS（Remote Authentication Dial In User Service）协议是在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它一般是一个路由器、交换机或无线访问点。RADIUS服务器一般是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ，计费端口是1813。

RADIUS协议的主要特色

一、 客户/服务模式(Client/Server)

RADIUS是一种C/S结构的协议，它的客户端最初就是网络接入服务器NAS（Network Access Server），如今运行在任何硬件上的RADIUS客户端软件均可以成为RADIUS的客户端。客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。

RADIUS服务器负责接收用户的链接请求，对用户身份进行认证，并为客户端返回全部为用户提供服务所必须的配置信息。

一个RADIUS服务器能够为其余的RADIUS Server或其余种类认证服务器担当代理。

二、 网络安全

客户端和RADIUS服务器之间的交互通过了共享保密字的认证。另外，为了不某些人在不安全的网络上监听获取用户密码的可能性，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。

三、 灵活的认证机制

RADIUS服务器能够采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS服务器能够支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登陆操做（UNIX Login）和其余认证机制。

4． 扩展协议

全部的交互都包括可变长度的属性字段。为知足实际须要，用户能够加入新的属性值。新属性的值能够在不中断已存在协议执行的前提下自行定义新的属性。

RADIUS的工做过程

RADIUS协议旨在简化认证流程。其典型认证受权工做过程是：

一、用户输入用户名、密码等信息到客户端或链接到NAS；

二、客户端或NAS产生一个“接入请求（Access-Request）”报文到RADIUS服务器，其中包括用户名、口

令、客户端（NAS）ID 和用户访问端口的ID。口令通过MD5算法进行加密。

三、RADIUS服务器对用户进行认证；

四、若认证成功，RADIUS服务器向客户端或NAS发送容许接入包（Access-Accept），不然发送拒绝加接

入包（Access-Reject）；

五、若客户端或NAS接收到容许接入包，则为用户创建链接，对用户进行受权和提供服务，并转入6；若

接收到拒绝接入包，则拒绝用户的链接请求，结束协商过程；

六、客户端或NAS发送计费请求包给RADIUS服务器；

七、RADIUS服务器接收到计费请求包后开始计费，并向客户端或NAS回送开始计费响应包；

八、用户断开链接，客户端或NAS发送中止计费包给RADIUS服务器；

九、RADIUS服务器接收到中止计费包后中止计费，并向客户端或NAS回送中止计费响应包，完成该用户的一次计费，记录计费信息。

ACS安全访问控制服务器： 思科安全访问控制服务器（Cisco Secure Access Control Sever）是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS经过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具备更高灵活性和移动性，更为安全且提升用户生产率。Cisco Secure ACS 支持范围普遍的接入链接类型，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合：

◆集中控制用户经过有线或者无线链接登陆网络

◆设置每一个网络用户的权限

◆记录记账信息，包括安全审查或者用户记账

◆设置每一个配置管理员的访问权限和控制指令

◆用于 Aironet 密钥重设置的虚拟 VSA

◆安全的服务器权限和加密

◆经过动态端口分配简化防火墙接入和控制

◆统一的用户AAA服务

 

ACS安装与配置

ACS须要Java虚拟机的支持。首先确保安装了JDK。

而后选择默认值安装。

默认值安装

而后默认值安装就OK了

桌面上会有个ACS admin快捷键。用于每次链接到ACS。每次的端口也不同。

为了进行操，必须配置IE属性。

点击肯定。打开ACS admin对AAA服务器进行配置

因为实验须要与华为设备结合。而华为的属性与ACS 不兼容。咱们须要导入华为私有属性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

打开ACS admin对AAA服务器进行配置

点击提交

可能须要查看谁登录了客户端。咱们就须要日志了

这样咱们的AAA服务器基本上就搭建好了

实现用户的telnet远程管理

 

案例1、与华为交换机的结合实现AAA服务器认证

拓扑图

交换机配置

测试

案例2、与华为路由器的结合实现AAA服务器认证

拓扑图

路由器配置

aaa-enable
aaa authentication-scheme login default radius
# 配置RADIUS 服务器IP 地址

radius server 192.168.10.1
# 配置RADIUS 服务器密钥，计费方式。

radius shared-key my-secret

aaa accounting-scheme optional

配置客户端地址
int eth0

ip add 192.168.10.2 24

quit

测试

不知道什么缘由，在本身机器上作不成功。验证提示已经经过。但是telnet不成功。

案例3、与防火墙的结合实现AAA服务器认证

拓扑图

防火墙配置

测试