在现实的网络环境中,如果我们遇到以下问题会怎样呢?
- 如果公司仅仅想让员工在访问某些特定资源的时候进行身份认证,该怎样实现?
- 如果公司让员工在访问某些特定资源的时候权限的设定,该怎样实现?
- 若希望对员工使用网络的情况进行记录,该怎样实现?
此时一个很好的解决办法就是使用AAA的机制,也就是Authentication(认证)、 Authorization(授权)和Accounting(计费)的机制,是网络安全的一种管理机制。
为了实现对用户进行认证、授权和审计的功能,防止非法用户登录,增加安全性。AAA 功能的实现,可以通过多种协议方式实现,目前主要是基于RADIUS协议或TACACS协议来实现AAA.
AAA 可采用一下几种方式进行认证:
1.对非常信任的用户,可以不对其进行合法性检查。
2.为减少成本、实现快速认证,可以采取将用户信息配置在设备上的本地认证方式,缺点是存储信息量受设备硬件条件限制。
3.为避免本地认证的缺点,可采取远端认证方式。将用户信息配置在认证服务器上,也就是我们提到的RADIUS或者TACACS的方式。
AAA的授权方式也可以采取相应的三种方式:
1.不进行授权处理
2.进行本地授权方式
3.进行远端授权方式
AAA的审计方式也可以采取不审计以及远端审计的方式两种
部分内容来源于
Ielab 李强伟
