一文搞懂企業(yè)AAA認(rèn)證、授權(quán)、計費服務(wù)和配置
大家好,我是IT售前工程師Bernie.
如果企業(yè)的某個分支機(jī)構(gòu)要訪問總部網(wǎng)絡(luò),總部網(wǎng)絡(luò)肯定不是任何人都能訪問的,只有通過認(rèn)證的才可以訪問。比如訪問OA系統(tǒng)、報賬系統(tǒng)、ERP系統(tǒng)等等。
這個時候AAA認(rèn)證、授權(quán)服務(wù)就派上用場了。
AAA是一種提供認(rèn)證(Authentication )、授權(quán)(Authorization)和計費(Accounting )的安全服務(wù)。它可以用于驗證某個用戶賬號是否合法、是否被授權(quán)訪問服務(wù),并且記錄訪問網(wǎng)絡(luò)資源的情況。
關(guān)于認(rèn)證
認(rèn)證就是說:驗證用戶是否具備某個網(wǎng)絡(luò)的訪問權(quán)限。
AAA中的認(rèn)證方式可以分為:不認(rèn)證、本地認(rèn)證和遠(yuǎn)端認(rèn)證三種情況。
不認(rèn)證
很簡單,就是指服務(wù)器端完全信任用戶,不對訪問的用戶做任何身份檢查。實際上絕大多數(shù)網(wǎng)絡(luò)不會采用不認(rèn)證的方式,因為太簡單粗暴了,不安全。
本地認(rèn)證
就是將用戶的本地信息作為參數(shù)配置在NAS存儲上。本地認(rèn)證處理速度快、認(rèn)證成本低。但是,由于認(rèn)證信息是存儲在本地的,所以往往存儲的數(shù)據(jù)量比較少。
遠(yuǎn)端認(rèn)證
這種方式高大上一點,它是將認(rèn)證信息配置在遠(yuǎn)端的服務(wù)器上,通過認(rèn)證服務(wù)器來配合輔助認(rèn)證。
這里需要特別說明一點,如果一個認(rèn)證方案采用的是復(fù)合的認(rèn)證方式,即多種認(rèn)證方式并存。比如:先配置了本地認(rèn)證,再配置了遠(yuǎn)端認(rèn)證。那么,在本地認(rèn)證失敗或者無響應(yīng)的時候,就會轉(zhuǎn)入遠(yuǎn)端認(rèn)證。
關(guān)于授權(quán)
授權(quán)是指規(guī)定用戶被授權(quán)可以訪問網(wǎng)絡(luò)上的哪幾項服務(wù)。AAA的授權(quán)方式支持:不授權(quán)、本地授權(quán)和遠(yuǎn)端授權(quán)。
不授權(quán)
就是不對用戶進(jìn)行任何的授權(quán)處理。用戶訪問沒有限制,想訪問哪項服務(wù)就能訪問到。
本地授權(quán)
根據(jù)NAS存儲上配置的相關(guān)授權(quán)屬性進(jìn)行授權(quán)。
遠(yuǎn)端授權(quán)
根據(jù)遠(yuǎn)端服務(wù)器配置授權(quán)信息,配置授權(quán)級別等等。
特別說明:如果一個授權(quán)方案采用了多種的授權(quán)方式,也是跟認(rèn)證一樣,按照配置順序生效的。比如:先配置遠(yuǎn)端授權(quán),再配置本地授權(quán),那么如果遠(yuǎn)端授權(quán)方式有問題就會轉(zhuǎn)為請求本地授權(quán)。
關(guān)于計費
計費,就是記錄某個用戶使用某項服務(wù)的情況,或者訪問某項資源的情況。跟認(rèn)證和授權(quán)有所不同,計費沒有本地計費方式。只有:不計費和遠(yuǎn)端計費。
不計費
上網(wǎng)全免費,服務(wù)全免費,比如某個企業(yè)的門戶、政府門戶等等。
遠(yuǎn)端計費
通過遠(yuǎn)端的服務(wù)器記錄用戶的上網(wǎng)時長或者服務(wù)時長,以計算服務(wù)所產(chǎn)生的費用情況。比如我們可以記錄某臺主機(jī)的主機(jī)名、開始上線時間、服務(wù)時長,以及服務(wù)期間的上下行流量等。這樣我們就可以計算流量的費用或者服務(wù)的費用了。
AAA域
說完了認(rèn)證、授權(quán)和計費,接下來我們進(jìn)一步了解下AAA域的概念。實際上,AAA是根據(jù)域來管理用戶的,即:不同的域可以關(guān)聯(lián)不同的認(rèn)證、授權(quán)和計費方案。
在計算機(jī)網(wǎng)絡(luò)中,每臺主機(jī)屬于自己的域。如下圖,PC1屬于areaA,PC2則屬于areaB。如果不配置設(shè)備所在域,則默認(rèn)缺省域default。
總結(jié)
以上是關(guān)于AAA認(rèn)證的全部分享,具體的認(rèn)證配置,可以先配置域的認(rèn)證方案,然后再配置域的授權(quán)方案和授權(quán)方式。如下圖
文章出自:??IT一指禪??,如有轉(zhuǎn)載本文請聯(lián)系【IT一指禪】今日頭條號。
