Сети и телекоммуникации (заочное обучение, бакалавриат)

•Аутентификация, авторизация и учет (Authentication, Authorization, Accounting, AAA) – это технология безопасности, которая при совершении пользователем какого-либо действия в сети отслеживает, кто инициирует это действие (authentication), и имеет ли пользователь право на выполнение этого действия (authorization), а также записывает в журнал все действия пользователей сетевых ресурсов (аccounting). VRP поддерживает локальные службы аутентификации и авторизации AAA на маршрутизаторах серии ARG3, которые называются серверами сетевого доступа (Network Access Server, NAS), однако службы учета, как правило, реализуются через внешний сервер учета AAA. В приведенном здесь примере показано как пользователи, которые считаются частью домена Huawei, могут получить доступ к ресурсам сети назначения. Сервер сетевого доступа (NAS) работает как шлюзовое устройство, которое может выполнять аутентификацию и авторизацию пользователей или поддерживать аутентификацию и авторизацию пользователей на сервере AAA. Те пользователи, которые прошли аутентификацию и авторизацию для доступа к сети назначения на сервере AAA, могут также инициировать учет на сервере AAA во время активного сеанса.

•AAA поддерживает три режима аутентификации: без аутентификации, локальная аутентификация и удаленная аутентификация. В режиме без аутентификации пользователям предоставляется доступ без выполнения проверки их подлинности. Данный режим используется редко по очевидным причинам возникновения рисков безопасности. В режиме локальной аутентификации на сервере сетевого доступа (NAS) выполняется конфигурирование пользовательской информации, включая имена, пароли и параметры локальных пользователей. Преимуществами локальной аутентификации является быстрая обработка и низкие эксплуатационные расходы. Недостатком локальной аутентификации является ограниченный объем хранения данных из-за ограниченности аппаратных средств. В режиме удаленной аутентификации на сервере аутентификации выполняется конфигурирование пользовательской информации, включая имена, пароли и параметры пользователей. AAA может выполнять удаленную аутентификацию пользователей с помощью протокола RADIUS или HWTACACS компании Huawei. В качестве клиента NAS взаимодействует с сервером RADIUS или HWTACACS.

•Если в схеме аутентификации используется несколько режимов аутентификации, то эти режимы вступают в силу в той последовательности, в которой они были сконфигурированы. Если удаленная аутентификация была сконфигурирована раньше локальной аутентификации, а учетная запись пользователя для входа, созданная на локальном устройстве, недоступна на удаленном сервере, то AR2200 считает, что пользователь этой учетной записи не прошел удаленную аутентификацию, и поэтому локальная аутентификация не выполняется. Локальная аутентификация будет выполняться только, если сервер удаленной аутентификации не отвечает. При использовании режима без аутентификации его необходимо конфигурировать в последнюю очередь.

•Функция авторизации AAA, поддерживающая различные режимы, используется для определения разрешений пользователей на получение доступа к определенным сетям или устройствам. В режиме без авторизации проверка прав пользователей на доступ не выполняется. В режиме локальной авторизации предоставление пользователям определенных прав выполняется на основании соответствующих атрибутов учетных записей, сконфигурированных в NAS. В качестве альтернативы для авторизации пользователей на сервере TACACS может использоваться протокол TACACS.

•В режиме авторизации на основании аутентификации пользователи считаются авторизованными, если они проходят проверку подлинности в режиме локальной или удаленной аутентификации. Авторизация RADIUS используется для предоставления пользователю определенных прав после их аутентификации на сервере RADIUS. Алгоритмы аутентификации и авторизации протокола RADIUS связаны друг с другом, поэтому RADIUS не может использоваться только для выполнения авторизации. Если в схеме авторизации используется несколько режимов, то авторизация выполняется в той последовательности, в которой они были сконфигурированы. Так как вступление режимов в силу происходит в порядке их конфигурирования, то рекомендуется конфигурирование режима без авторизации выполнять в последнюю очередь.

•Процесс учета используется для мониторинга активности и используемых ресурсов авторизованными пользователями, которые получили доступ к сетевым ресурсам. Учет AAA поддерживает два режима. В режиме без учета пользователям предоставляются бесплатные услуги без каких-либо записей в журнал активности.

•В режиме удаленного учета активность пользователей регистрируется на сервере RADIUS или TACACS. Эти серверы используются для поддержки процесса учета, так как для хранения информации журналов доступа и активности каждого авторизованного пользователя необходима дополнительная память. В данном примере показана стандартная информация, которая записывается в журналы учета пользователей.