08-安全配置 第2章 RADIUS配置 本章介绍 RADIUS( Remote authentication dia- n User service)安全系统。定义其操 作,说明适宜使用 RADIUS技术和不适宜使用 RADIUS技术的网络环境。“ RADIUS配置 步骤”一节介绍如何使用认证、授权和记录(AAA)命令集配置RAD|US。本章最后一节 “ RADIUS配置示例”提供了两个实例。 2.1概述 2.1.1RAD|US概述 RADIUS是分布式客户机/服务器系统,它保护网络不受未经授权的访问的干扰。 RADIUS 客户机运行于路由器上,并向中央 RADIUS服务器发出认证请求,这里的中央服务器包 含了所有的用户认证和网络访问服务信息。在路由器上我们利用AAA安全模式支持 RADIUS, RADIUS已经在既要求高级别安全性、又要求维持远程用户访问的各种网络 环境中得以应用。 可以在具有下述访问安全要求的网络环境中使用 RADIUS: 拥有多厂商访问服务器的网络环境,并且每个服务器都支持 RADIUS。例如,几家 厂商提供的访问服务器可以使用单一的基于服务器的 RADIUS安全数据库。在使 用多厂商提供的访问服务器的基于|P的网络中,拨号用户通过 RADIUS服务器进 行认证。 在用户必须只访问单一服务的网络中。使用 RADIUS,能够控制用户访问单一主机、 单一实用程序(如 Telnet)或单一协议(如点对点协议PPP)。例如,当用户登录 时,RAD|US规定并限制这个用户使用P地址10234来运行PPP,并启动定义 的访问列表。 要求资源记录的网络。可以使用与 RADIUS认证或授权无关的 RADIUS记录 RADIUS记录允许在服务的开始和结束发送数据,以指示会话期间使用的资源数量 (如时间、字节等等) RADIUS不适合应用于下述网络安全情况中: RADIUS不支持下述协议: Apple Talk远程访问(ARA, Apple Talk Remote Access)协议 NeB|os帧控制协议( NBFCP,NeB| OS Frame Control protocol) NetWare异步服务接口(NAsl, NetWare Asynchronous Serviceslnterface) ●X.25PAD连接
08-安全配置 第2章 RADIUS 配置 本章介绍 RADIUS(Remote Authentication Dial-In User Service)安全系统。定义其操 作,说明适宜使用 RADIUS 技术和不适宜使用 RADIUS 技术的网络环境。“RADIUS 配置 步骤”一节介绍如何使用认证、授权和记录(AAA)命令集配置 RADIUS。本章最后一节 “RADIUS 配置示例”提供了两个实例。 2.1 概述 2.1.1 RADIUS 概述 RADIUS 是分布式客户机/服务器系统,它保护网络不受未经授权的访问的干扰。RADIUS 客户机运行于路由器上,并向中央 RADIUS 服务器发出认证请求,这里的中央服务器包 含了所有的用户认证和网络访问服务信息。在路由器上我们利用 AAA 安全模式支持 RADIUS ,RADIUS 已经在既要求高级别安全性、又要求维持远程用户访问的各种网络 环境中得以应用。 可以在具有下述访问安全要求的网络环境中使用 RADIUS: z 拥有多厂商访问服务器的网络环境,并且每个服务器都支持 RADIUS。例如,几家 厂商提供的访问服务器可以使用单一的基于服务器的 RADIUS 安全数据库。在使 用多厂商提供的访问服务器的基于 IP 的网络中,拨号用户通过 RADIUS 服务器进 行认证。 z 在用户必须只访问单一服务的网络中。使用 RADIUS,能够控制用户访问单一主机、 单一实用程序(如 Telnet)或单一协议(如点对点协议 PPP)。例如,当用户登录 时,RADIUS 规定并限制这个用户使用 IP 地址 10.2.3.4 来运行 PPP,并启动定义 的访问列表。 z 要求资源记录的网络。可以使用与 RADIUS 认证或授权无关的 RADIUS 记录。 RADIUS 记录允许在服务的开始和结束发送数据,以指示会话期间使用的资源数量 (如时间、字节等等)。 RADIUS 不适合应用于下述网络安全情况中: z RADIUS 不支持下述协议: AppleTalk 远程访问(ARA,AppleTalk Remote Access)协议 NetBIOS 帧控制协议(NBFCP,NetBIOS Frame Control Protocol) z NetWare 异步服务接口(NASI,NetWare Asynchronous ServicesInterface) z X.25 PAD 连接。 - 12 -
08-安全配置 路由器到路由器的情况。 RADIUS不提供双向认证。在路由器上运行 RADIUS,只 能完成呼入认证,对于呼出认证(即本地路由器要登录到远端路由器时需要通过远 端路由器的认证)是无法完成的。 使用多种服务的网络。 RADIUS通常把用户捆绑到一个服务模型上。 2.1.2 RADIUS协议操作 当用户使用 RADIUS进行登录认证时,发生下述步骤 提示用户输入用户名和口令 用户名和加密的口令通过网络发送到 RADIUS服务 用户从 RADIUS服务器收到下述响应之 ACCEPT:用户通过认证 REJECT:用户没有通过认证,提示用户重新输入用户名和口令,否则访问被拒绝 CHALLENGE:服务器发出 Challenge请求。该请求从用户那里收集附加数据。 ACCEPT和 REJECT响应与附加授权信息一起返回,用于EXEC或 NETWORK 授权。在使用RAD|Us授权之前,必须首先完成 RADIUS认证。 ACCEPT和 REJECT包中包括的附加数据由下述内容组成 用户能够访问的服务,包括 Telnet、 rlogin、PPP、SLP或EXEC服务 连接参数,包括主机或客户机的|P地址、访问列表和用户超时设定等。 2.2RAD|US配置步骤 为了在路由器或访问服务器上配置 RADIUS,必须执行下述任务: (1)使用 aaa authentication全局配置命令定义使用 RADIUS认证发式的方法列表。有 关使用 aaa authentication命令的更多信息,请参见“认证配置” 2)使用ine和 interface命令来引用已定义的方法列表。要了解更多的信息,请参见“认 证配置”。 下述配置任务可根据需要进行选择: 如有必要,使用 aaa authorization全局命令对用户的服务请求进行授权。有关使用 aaa authorization命令的更多信息,请参见“授权配置” 如有必要,使用 aaa accounting全局命令对用户的服务过程进行记录。有关使用 aaa accounting命令的更多信息,请参见“记录配置”。 23 RADIUS配置任务列表 配置路由器与 RADIUS服务器的通信
08-安全配置 z 路由器到路由器的情况。RADIUS 不提供双向认证。在路由器上运行 RADIUS,只 能完成呼入认证,对于呼出认证(即本地路由器要登录到远端路由器时需要通过远 端路由器的认证)是无法完成的。 z 使用多种服务的网络。RADIUS 通常把用户捆绑到一个服务模型上。 2.1.2 RADIUS 协议操作 当用户使用 RADIUS 进行登录认证时,发生下述步骤: z 提示用户输入用户名和口令。 z 用户名和加密的口令通过网络发送到 RADIUS 服务器。 z 用户从 RADIUS 服务器收到下述响应之一: ACCEPT:用户通过认证。 REJECT:用户没有通过认证,提示用户重新输入用户名和口令,否则访问被拒绝。 CHALLENGE:服务器发出 Challenge 请求。该请求从用户那里收集附加数据。 ACCEPT 和 REJECT 响应与附加授权信息一起返回,用于 EXEC 或 NETWORK 授权。在使用 RADIUS 授权之前,必须首先完成 RADIUS 认证。ACCEPT 和 REJECT 包中包括的附加数据由下述内容组成: z 用户能够访问的服务,包括 Telnet、rlogin、PPP、SLIP 或 EXEC 服务。 z 连接参数,包括主机或客户机的 IP 地址、访问列表和用户超时设定等。 2.2 RADIUS配置步骤 为了在路由器或访问服务器上配置 RADIUS ,必须执行下述任务: (1) 使用 aaa authentication 全局配置命令定义使用 RADIUS 认证发式的方法列表。有 关使用 aaa authentication 命令的更多信息,请参见“认证配置”。 (2) 使用 line 和 interface 命令来引用已定义的方法列表。要了解更多的信息,请参见“认 证配置”。 下述配置任务可根据需要进行选择: z 如有必要,使用 aaa authorization 全局命令对用户的服务请求进行授权。有关使用 aaa authorization 命令的更多信息,请参见“授权配置”。 z 如有必要,使用 aaa accounting 全局命令对用户的服务过程进行记录。有关使用 aaa accounting 命令的更多信息,请参见“记录配置”。 2.3 RADIUS配置任务列表 z 配置路由器与 RADIUS 服务器的通信 - 13 -