18. H3C交换机AAA安全访问控制与管理
影像处理18.1 H3C交换机AAA基础
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,是对网络访问控制的一种管理模式。它提供了一个对认证、授权和计费这三种功能进行统一配置的框架;“认证”确定哪些用户可以访问网络服务器;“授权”确定具有访问权限的用户最终可以获得哪些服务;“计费”确定如何对正在使用网络资源的用户进行计费。 导电布双面胶18.1.1 AAA简介
AAA一般采用C/S(客户端/服务器)结构:客户端运行于被管理的资源侧(这里指网络设备,如接入交换机),服务器上几种存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
1. AAA认证
AAA支持以下认证方式:
⏹ 不认证:对接入用户信任,不进行合法性检查。这是默认认证方式。
⏹ 本地认证:采用本地存储的用户信息对用户进行认证。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件(如闪存大小)限制。
⏹ 远程认证:在H3C以太网交换机中,远程认证是指通过RADIUS服务器或HWTACACS(Cisco IOS交换机中采用的是TACACS+协议)服务器对接入用户进行的认证。此时,H3C交换机作为RADIUS或者HWTACACS客户端,与RADIUS服务器或TACACS服务器通信。远程认证的有点是便于集中管理,并且提供丰富的业务特性;缺点是必须提供专门的RADIUS或者HWTACACS服务器,并进行正确的服务器配置。
2. AAA授权
AAA支持以下授权方式:
⏹ 直接授权:对用户信任,直接授权通过。
⏹ 本地授权:根据交换机上为本地用户账号配置的相关属性进行授权。
⏹ RADIUS认证成功后远程授权:由RADIUS服务器对用户进行远程授权。要注意:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS服务器进行授权。
⏹ HWTACACS远程授权:由HWTACACS服务器对用户进行远程授权(HWTACACS服务器的授权是独立于认证进行的)。
3. AAA计费
AAA支持以下计费方式:
⏹ 不计费:不对用户计费。
⏹ 本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
⏹ 远程计费:支持通过RADIUS服务器或HWTACACS服务器进行远程计费。
18.1.2 ISP域简介
ISP域即ISP用户,通常是把经过同一个ISP接入的用户划分到同一个ISP域中。这主要
是应用于存在多个ISP的应用环境中,因为同一个接入设备接入的有可能是不同ISP的用户。如果只有一个ISP,则可以直接使用系统默认域system。
在ISP域视图下,可以为每个ISP域配置包括使用AAA策略在内的一整套单独的ISP域属性。用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、授权、计费方案实现的。这个用户所属的ISP域,由其登录时提供的用户名决定:
⏹ 如果用户登录时输入“userid@domain-name”形式的用户名,则其所属的ISP域为“domain-name”域。
⏹ 如果用户登录时输入“userid”形式的用户名,则其所属的ISP域为接入设备上配置的默认域system。
为便于对不同接入方式的用户进行区分管理,AAA还可以将域用户划分为以下两个类型:
⏹ lan-access用户(局域网访问用户):通过LAN接入的用户,如直接接入LAN中,然后通过IEEE 802.1x认证、MAC地址认证的用户。
⏹ login用户:通过远程网络登录的用户,如SSH、Telnet、FTP、终端接入用户。
18.1.3 HWTACACS简介
HWTACACS(华为终端访问控制器访问控制系统)是在TACACS协议基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,交换机设备也是用来担当客户端的,也是通过C/S模式与HWTACACS服务器通信来实现多种用户的AAA功能,可用于PPP和VPDN接入用户及终端用户的认证、授权和计费。但是RADIUS服务器的认证和授权是捆绑在一起进行的,而TACACS和HWTACACS的认证好授权是独立进行的。
TACACS/HWTACACS主要用于远程登录用户(非直接LAN访问用户)的访问控制和计费,交换机作为TACACS/HWTACACS的客户端,充当中间代理的作用,将请求认证的用户的用户名和密码发送给TACACS/HWTACACS服务器进行验证,验证通过并得到授权之后,用户才可以登录到交换机上进行操作。
18.1.4 H3C交换机配置AAA配置任务
在H3C以太网交换机AAA方案中,又可以区分ISP域是采用认证、授权、计费捆绑方式,还是采用认证、授权、计费分离方式。如果采用捆方式,则在配置ISP域的AAA方案
时支持在同一个ISP域视图下,针对不同的用户接入方式配置不同的AAA方案;如果采用分离方式,则在配置ISP域的AAA方案时用户可以分别指定认证、授权、计费方案。如果采用RADIUS、HWTACACS认证方案,需要提前完成RADIUS或HWTACACS相关配置。
在作为AAA客户端的接入设备(如H3C以太网交换机)上,AAA的基本配置思路如下:
(1) 配置AAA方案:根据需要配置本地或远程认证方案。
⏹ 本地认证:需要配置本地用户,即local user的相关属性,包括手动添加认证的用户名和密码等。
强力胶配方
⏹ 远程认证:需要配置RADIUS或HWTACACS方案,并在服务器上配置相应的胡勇属性。
(2) 配置实现AAA的方法:在用户所属的ISP域中分别指定实现认证、授权、计费的方法,都可以选择none(不)、local(本地)和scheme(远程)方法。
18.2 H3C交换机本地用户配置与管理
当选择使用本地(local)认证方法对用户进行认证时,应在交换机上创建本地用户并配置相关属性。所谓本地用户,是指在本地交换机上设置的一组以用户名为唯一标识的用户。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。
18.2.1 本地用户属性
在H3C以太网交换机上课配置的本地用户属性包括:
⏹ 服务类型
用户接入设备时可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可使用的服务类型,则该用户无法接入设备。H3C以太网交换机可支持的服务类型包括:FTP、lan-access、Portal(Web认证)、SSH、Telnet、Terminal。
⏹ 用户状态
用户指示是否允许该用户请求网络服务器,包括active(活跃)和block(阻塞)两种状态。active表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。
⏹ 最大用户数
指使用当前用户名接入设备的最大用户数目。如果当前该用户名的接入用户数已达到最大值,则使用该用户名的新用户将被禁止接入。
⏹ 有效期
指用户账户的有效的戒指日期。用户进行本地认证时,接入设备检查当前系统时间是否在用户的有效期内,如果在有效期内则允许该用户登录,否则拒绝。
⏹ 所属的用户组
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性),相当于Window系统的工作组。
⏹ 密码管理属性
指用户密码的安全属性,可根据设置的密码策略对认证秘密吗进行管理和控制。可设置的密码策略包括:密码老化时间、密码最小长度、密码组合策略。
本地用户的密码管理属性在系统视图(具有全局性)、用户组视图和本地用户视图下都可以配置,其生效的优先级顺序由高到低依次为本地用户、用户组、全局。全局配置对所有本地用户生效,用户组的配置对组内所有本地用户生效。
⏹ 绑定属性
指定用户认证时需要检测的属性,用于限制接入用户的范围。如果用户的实际属性与设置的绑定属性不匹配,则不能通过认证。可绑定的属性包括:ISDN用户的主叫号码、用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。
⏹ 用户授权属性
本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户试图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。
18.2.2 本地用户属性配置
表18-3 本地用户属性配置步骤
步骤 | 命令 | 说明 |
1 | sysname-view 例如:<Sysname>system-view | 进入系统视图 |
2 | local-user password-display- mode { auto | cipher-force } 例如:[Sysname]local-user password-display-mode auto | (可选)设置本地用户密码的显示方式。二选一选项cipher-force表示强制cipher方式,即所有本地用户的密码显示方式必须采用密文方式;auto为自动方式,即本地用户的密码显示方式可以由用户自己通过password命令来设置。 |
3 | local-user user-siv-011name 例如:[Sysname]语音调度系统local-user winda | 添加本地用户,并进入本地用户视图 |
4 | password { cipher | simple } password 例如:[Sysname-luser-winda] password cipher 123456 | (可选)设置本地用户的密码,命令中的参数和选项说明如下: ⏹ simple:表示密码为明文 ⏹ cipher:表示密码为密文 ⏹ password:指定密码 |
一体化机芯5 | state { active | block } 例如:[Sysname-luser-winda] state active | (可选)设置本地用户的状态。active用来指定当前本地用户处于活动状态;block用来指定当前本地用户处于“挂起”状态,即系统不允许当前本地用户请求网络服务 |
6 | access-limit max-user-number 例如:[Sysname-luser-winda] access-limit 10 | (可选)设置当前用户名可容纳的最大本地接入用户数 默认情况下,不限制当前本地用户名可容纳的接入用户数。 |
7 | service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal } 例如:[Sysname-luser-winda] service type ftp lan-access portal | 设置本地用户可以使用的服务类型,对应不同的用户类型。 ⏹ lan-access:可多选选项,指定用户可以使用lan-access服务,主要指以太网接入用户,比如802.1x用户 ⏹ terminal:可多选选项,指定用户可以使用terminal服务(即从Console口、AUX口登录) |
8 | bind-attribute { call-number call-number [ : subcall-num ber ] | ip ip-address | location port slot-namber subslot-number port-number | mac mac-address | vlan vlan-id } | (可选)设置本地用户的绑定属性。当对本地用户进行认证时,如果配置了绑定属性,则会检查用户的实际属性与配置的绑定属性是否一致,如果不一致则认证失败。 ⏹ location:设置用户的端口绑定属性。该绑定属性仅适用于lan-access类型的用户 |
8 | authorization-attribute { acl acl-number | callback- number callback-number | idle cut minute | level level | user- profile profile-name | user-role security-audit | vlan vlan-id | work-directory derectory- name } 例如:[Sysname-luser-winda] authorization-attribute level 3 vlan 10 | (可选)设置本地用户的授权属性。 ⏹ level level:指定本地用户的级别,取值范围为0~3。其中0为访问级,1位监控级,2位系统级,3位管理级,数值越小,用户的级别越低。 ⏹ vlan vlan-id:指定本地用户的授权VLAN,取值范围为1 ~ 4094。 ⏹ idle-cut minute:启用本地用户的闲置切断功能,取值范围为1 ~ 120,单位为分钟。 |
9 | expiration-date time 例如:[Sysname-luser-winda] date 10:21:12-2018-7-22 | (可选)设置本地用户的有效期。有用户临时需要接入网络时,可以建立来宾账户来管理用户的临时访问,并通过该命令对用户账户的有效期进行控制。 |
| | |
18.3 H3C交换机RADIUS方案配置与管理