5-5. سرویس AAA – مستندات ژرف پویان

AAA مخفف Authentication, Authorization and Accounting می باشد که سه محور اصلی در کنترل دسترسی هستند.

Authentication به معنای احراز هویت و درست یابی عناصر شناسایی ارائه شده از سوی کاربر ، تجهیزات یا نرم افزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند . عناصر شناسایی یا همان Credential ها، در ابتدایی و معمول ترین حالت شامل نام کاربری و رمز عبور می باشند.

پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم عناصر شناسایی را بانک اطلاعاتی مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر می کند.

در شبکه هایی با حجم و پیچیدگی نسبتأ بالا ، عمومأ با توجه به پردازش بالای مختص عمل احراز هویت ، سروری به صورت مستقل و مجزا به این امر اختصاص می یابد . در این روش از استاندارد ها و پروتکل های مختلفی همچون RADIUS و TACACS استفاده می گردد.

RADIUS و TACACS دو پروتکل رایج در احراز هویت هستند که به طور عمده در شبکه های کامپیوتری مورد استفاده قرار می گیرند.

1-5-5- معرفی ویژگی های TACACS

TACACS از پروتکل TCPبا شماره پورت 49 استفاده میکند
کل بسته را رمزنگاری میکند و امنیت بالایی دارد
عملیات احراز هویت و سطح دسترسی دادن را از هم مجزا میکند

2-5-5- معرفی ویژگی های RADIUS

RADIUS در قیاس با TACACS منابع CPU و RAM کمتری اشغال می کنند.
RADUS از پروتکل UDP با شماره پورت های 1812 و 1645 برای عملیات احراز هویت و شماره پورت های 1813 و 1646 برای عملیات حسابرسی، استفاده میکند
تنها قسمت مربوط به رمزهای عبور را در بسته رمزنگاری میکند
عملیات احراز هویت و سطح دسترسی دادن را به صورت ترکیبی و ادغام شده باهم انجام میدهد
برخی از پروتکل ها نظیر ARP , X.25 PDA را پشتیبانی نمی کند.

1-2-5-5- مراحل پیکربندی AAA در مسیریاب ژرف

در صورتی که نیاز به استفاده از سرور های AAA خارجی مانند RADIUS یا TACACS ، ابتدا باید این سرورها برای مسیریاب پیکربندی و معرفی شوند

پیکربندی و معرفی سرور TACACS

Zharf (config)# tacacs-server host ip-address [ port  { port-number | default } ]  key { 0 | 7 } password
Zharf (config)# no tacacs-server host ip-address

1 2	Zharf (config)# tacacs-server host ip-address [ port { port-number \| default } ] key { 0 \| 7 } password Zharf (config)# no tacacs-server host ip-address

در این دستور آدرس سرور TACACS درج میشود. توجه داشته باشید که بین مسیریاب محلی و این سرور باید دسترسی برقرار باشد. در ادامه دستور میتوان شماره پورت TCP که سرور از آن استفاده میکند را مشخص کرد که میتواند عددی بین 1 تا 65535 باشد و یا میتوان با استفاده از سوییچ default از شماره پورت پیشفرض TACACS استفاده کرد.

در ادامه رمز عبور یا همان کلید مشترک بین مسیریاب محلی و سرور TACACS در دستور درج میشود. اگر مقدار رمز عبوری که وارد میکنید، یک متن ساده است از سوییچ 0 و اگر رمز عبور را به صورت متن رمز شده در دستور درج میکنید از سوییچ 7 استفاده کنید.

توجه داشته باشید که مقدار این رمزعبور باید بین مسیریاب محلی و سرور TACACS یکسان باشد.

برای حذف دستور از شکل no آن استفاده میشود

2. پیکربندی و معرفی سرور RADIUS

Zharf (config)# radius-server host ip-address port  { port-number | default } key { 0 | 7 } password
Zharf (config)# no radius-server host ip-address port  { port-number | default } key { 0 | 7 } password

1 2	Zharf (config)# radius-server host ip-address port { port-number \| default } key { 0 \| 7 } password Zharf (config)# no radius-server host ip-address port { port-number \| default } key { 0 \| 7 } password

در این دستور آدرس سرور RADIUS درج میشود. توجه داشته باشید که بین مسیریاب محلی و این سرور باید دسترسی برقرار باشد. در ادامه دستور شماره پورت UDP که سرور از آن استفاده میکند، مشخص میشود که میتواند عددی بین 0 تا 65535 باشد و یا میتوان با استفاده از سوییچ default از شماره پورت پیشفرض RADIUS استفاده کرد.

در ادامه رمز عبور یا همان کلید مشترک بین مسیریاب محلی و سرور RADIUS در دستور درج میشود. اگر مقدار رمز عبوری که وارد میکنید، یک متن ساده است از سوییچ 0 و اگر رمز عبور را به صورت متن رمز شده در دستور درج میکنید از سوییچ 7 استفاده کنید.

توجه داشته باشید که مقدار این رمزعبور باید بین مسیریاب محلی و سرور RADIUS یکسان باشد.

برای حذف دستور از شکل no آن استفاده میشود

3. تعریف لیست روش ها برای احراز هویت

Zharf (config)# aaa authentication login list-name { group { radius | tacacs+ }  | local } {method -2} {method -3} …

1	Zharf (config)# aaa authentication login list-name { group { radius \| tacacs+ } \| local } {method -2} {method -3} …

به کمک این دستور لیستی از روش ها برای احراز هویت عملیات login به تجهیز را مشخص میکنیم. پارامتر list-name مشخص کننده نام لیست روش های احراز هویت است که نامی محلی است و برای فراخوانی و فعال سازی این لیست مورد استفاده قرار میگیرد.

برای پیکربندی روش ارحزا هویت به صورت محلی، یعنی با استفاده از پایگاه داده محلی مسیریاب از سوییج local در دستور استفاده میشود.

برای استفاده از پایگاه داده های خارجی، مانند سرورهای RADIUS یا TACACS از سوییچ group به همراه نام مربوط به سرور مورد نظر در دستور استفاده میشود

نکته:

در این دستور میتوان تا سه روش احراز هویت را برای هر لیست تعریف کرد. در صورتی که روش اول پاسخگو نباشد، مسیریاب از روش احراز هویت دومی که در دستور تعیین شده است استفاده خواهد کرد.

برای مثال:

Zharf (config)# aaa authentication login list1 group radius group tacacs+ local

1	Zharf (config)# aaa authentication login list1 group radius group tacacs+ local

در این نمونه اگر روش اول، یعنی سرور RADIUS پاسخگو نباشد، مسیریاب از روش دومی که در دستور مشخص شده است، یعنی سرور TACACS استفاده خواهد کرد و در نهایت اگر این روش هم پاسخگو نباشد مسیریاب از روش local برای احراز هویت استفاده خواهد کرد.

4. اعمال لیست احراز هویت

Zharf(config-line)# login authentication list-name

1	Zharf(config-line)# login authentication list-name

این دستور بر روی line های VTY و Console اعمال میشود ( سطح پیکربندی line)

پارامتر list-name تعیین کننده نام لیست احراز هویتی است که قبلا پیکربندی و تعریف شده است و اکنون بر روی line فعال میشود

توجه داشته باشید که برای فعال سازی این نام باید با نام تعیین شده در دستور aaa authentication یکسان باشد.