如何进行基于服务器的AAA

作者:蜗牛更新于： 2018-04-04 15:47:46

　　其实，我们可以使用基于服务器AAA的特点本地实现的AAA扩展性不好。多数公司环境拥有多台Cico路由器,而且还有多个路由器管理员和成百上干个需要接入公司局域网的用户。

　　因此,在每台Cisco路由器上为这样规模的网络维护木地数据库是不可行的为解决这一挑战,可以使用一台或多台AA服务器(例如Cisco安全ACS)来管理整个公司网络的用户接入和管理性接入需求。

　　Cisco安全ACS能够创建一个用户和管理接入的数据库,网络中所有设备都能访问这个数据库。它也能够与与很多外部数据库一起工作,包括活动目录(ActiveDirectory)和轻量级目录访问协议(LightweightDirectoryAccessProtocol,LDAP)这些数据库存儲用户账号信息和口令,允许对用户账号的集中管理。

　　Cisco安全ACS产品家族支持终端访问控制器访问控制系统增强版(TerminalAccessControlAccessControlServerPlus,TACACS+)和远程认证拨号接入用户服务(RemoteAuthenticationDial-inUserService,RADIUS)协议。

　　我们所知到的是。这是Cico安全设备、路由器和交换机用来实现AAA所使用的两种主要协议。虽然这两种协议都能用于客户端与A服务器间的通信,但TACACS+被认为是更安全的协议。

　　这是因为所有的TACACS+协议交换都被加密;Radius只加密用户口令,它不加密用户名、记账信息或RADIUS消息中携带的任何其他信息32基于服务器AAA通信协议TACACS+和RADIUS都是认证协议,但二者的能力和功能不同。

　　小编结语：其实，我们应该知道的是无论选择TACACS+还是RADIUS都取决于组织的需要。例如,一个大型ISP可能选择RADIUS,因为它支持对用户计费所需的详细记账;具有不同用户组的组织可能选择TACACS+,因为它要求基于每用户或每个组应用选择的授权策略。