13 AAA Principles and Configuration - En.pt

Princípios e configuração de AAA
Page 1 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
Foreword
 O gerenciamento de usuários é um dos requisitos mais básicos de gerenciamento de segurança para
qualquer rede.
 Authentication, authorization, and accounting (AAA) é uma estrutura de gerenciamento que fornece
um mecanismo de segurança para autorizar alguns usuários a acessar recursos especificos e registrar as
operações desses usuários. AAA é amplamente utilizado devido à sua boa escalabilidade e fácil
implementação do gerenciamento centralizado das informações do usuário. O AAA pode ser
implementado por meio de vários protocolos. Em aplicações reais, o protocolo RADIUS (Remote
Authentication Dial-In User Service) é o mais comumente usado para implementar AAA.
 Este curso descreve os conceitos básicos, implementação, configurações básicas e cenários típicos de
aplicação do AAA.
Objectives
 Após a conclusão deste curso, você será capaz de:
▫ Compreender os fundamentos do AAA.
▫ Descrever os cenários de aplicação do AAA.
▫ Compreender os fundamentos do RADIUS.
▫ Familiarizar-se com as configurações básicas do AAA.
Contents
1. Visão geral AAA
2. Configuração AAA
Conceitos básicos de AAA
 A autenticação, autorização e contabilidade (AAA) fornece um mecanismo de gerenciamento para segurança de rede.
Passo 1 Passo 2 Passo 3 Passo 4
Identidade do usuário Autenticação Autorização Contabilidade
Identifica usuários Identifica e autentica Determina se o acesso é Verifica e registra as

através das usuários que tentam autorizado. informações de acesso.
informações como acessar recursos.
conta e senha.
Arquitetura AAA comum
 Uma arquitetura AAA comum inclui o usuário, network access server (NAS) e o servidor AAA.
User
• O NAS coleta e gerencia as solicitações de acesso do
usuário de maneira centralizada.
• Vários domínios são criados no NAS para gerenciar
User 1@Domain 1 usuários. Diferentes domínios podem ser associados a
diferentes esquemas AAA, que incluem o esquema de
Rede IP Rede IP autenticação, esquema de autorização e esquema de
contabilidade.
User 2@Domain 2 NAS Servidor • Ao receber uma solicitação de acesso do usuário, o NAS
AAA determina o domínio ao qual o usuário pertence com
base no nome de usuário e executa o gerenciamento e o
controle do usuário com base nos esquemas AAA
Arquitetura AAA comum
User 3@Domain 3 configurados para o domínio.
Autenticação
 AAA oferece suporte aos seguintes modos de autenticação: non-authentication, local authentication, e remote
authentication.
User 1@Domain 1 Rede IP

Rede IP
Usuário e senha Usuário e senha do User 3
Retornando um resultado de autenticação
User 2@Domain 2 NAS Servidor AAA

n ha
io e se
ár
Usu
User Domain Authentication Mode
User 3@Domain 3 User 1@Domain 1 Domain 1 Non-authentication
User 2@Domain 2 Domain 2 Local authentication
User 3@Domain 3 Domain 3 Remote authentication
Autorização
 AAA oferece suporte aos seguintes modos de autorização: non-authorization, local authorization, e remote
authorization.
 As informações de autorização incluem o grupo de usuários, a VLAN ID e o número da ACL.
User 1@Domain 1 Rede IP

Concede permissões ao usuário 2 após
Rede IP
a autenticação ser bem-sucedida..
User 2@Domain 2 NAS Servidor AAA
User Domínio Modo de Autorização Conteúdo de Autorização

User 1@Domain 1 Domain 1 Non-authorization Nenhum
User 3@Domain 3
User 2@Domain 2 Domain 2 Local authorization O acesso à Internet é permitido.
A autorização é concedida por
User 3@Domain 3 Domain 3 Remote authorization
um servidor remoto.
Contabilidade
 A função de contabilidade monitora o comportamento da rede e a utilização dos recursos da rede de
usuários autorizados.
 AAA oferece suporte a dois modos de contabilidade: non-accounting e remote accounting.
User 1@Domain 1 IP Network

IP Network
Accounting-Start request
Accounting-Start response
User 2@Domain 2 NAS AAA Server
User Domain Accounting Mode
User 1@Domain 1 Domain 1 Non-accounting

User 3@Domain 3
User 2@Domain 2 Domain 2 Non-accounting
User 3@Domain 3 Domain 3 Remote accounting
Implementação do Protocolo AAA - RADIUS
 Dos protocolos usados para implementar AAA, o RADIUS é o mais comumente usado.
User NAS Servidor RADIUS

Usuário insere um nome de usuário e uma senha.
Access-Request
A autenticação é aceite ou rejeitada e o pacote
correspondente é entregue.
Usuário é notificado do resultado da autenticação.
Accounting-Start request
Accounting-Start response
O usuário começa a acessar os recursos da rede.
O usuário pede para ficar offline.

Accounting-Stop request
O usuário é notificado da conclusão do acesso Accounting-Stop response

à rede.
Cenários comuns de aplicacão do AAA
AAA para usuários de acesso à Internet através do RADIUS Autenticação e autorização local para usuários administrativos
Login através de Telnet/SSH
Servidor RADIUS Administrador de rede Router

Usuário de acesso à Internet NAS
(NAS)
• Os esquemas AAA são configurados no NAS para implementar a • Depois que os esquemas AAA locais são configurados no router, o router
interoperação entre o NAS e o servidor RADIUS. compara o nome de usuário e a senha do administrador da rede com o nome
• Depois que o usuário insere um nome de usuário e uma senha no cliente, o de usuário e a senha configurados localmente quando o administrador da
NAS envia o nome de usuário e a senha ao servidor RADIUS para rede faz login no router.
autenticação. • Depois que a autenticação for bem-sucedida, o router concede certas
• Se a autenticação for bem-sucedida, o usuário receberá permissão de acesso permissões de administrador para o administrador da rede.
à Internet.
• O servidor RADIUS pode registrar a utilização dos recursos de rede do
usuário durante o acesso à Internet.
Contents
1. Visão geral AAA
2. Configuração AAA
Configuração AAA (1)
1. Entre na AAA view.
[Huawei] aaa
Saia do system view e entre na AAA view.
2. Crie um esquema de autenticação.
[Huawei-aaa] authentication-scheme authentication-scheme-name
Crie um esquema de autenticação e entre na authentication scheme view.
[Huawei-aaa-authentication-scheme-name] authentication-mode { hwtacacs | local | radius }

Defina o modo de autenticação para autenticação local. Por padrão, o modo de autenticação é a autenticação local.
3. Crie um domínio e vincule um esquema de autenticação ao domínio.
[Huawei-aaa] domain domain-name

Crie um domínio e entre na domain view.
[Huawei-aaa-domain-name] authentication-scheme authentication-scheme-name
Vincule o esquema de autenticação ao domínio.
4. Crie um usuário.
[Huawei-aaa] local-user user-name password cipher password
Crie um usuário local e configure uma senha para o usuário local.

• Se o nome de usuário contiver um delimitador "@", o caractere antes de "@" é o nome de usuário e o caractere depois de
"@" é o nome do domínio.
• Se o valor não contiver "@", toda a cadeia de caracteres representará o nome de usuário e o nome de domínio será o padrão.
5. Configure um tipo de acesso de usuário.
[Huawei-aaa] local-user user-name service-type { { terminal | telnet | ftp | ssh | snmp | http } | ppp | none }
Configure o tipo de acesso do usuário local. Por padrão, todos os tipos de acesso estão desabilitados para um usuário local.
6. Configure um nível de usuário.
[Huawei-aaa] local-user user-name privilege level level
Especifique o nível de permissão do usuário local.
Exemplos de configuração AAA
 Depois que uma senha de usuário e um nível de usuário são configurados em R1, o host A pode usar o
nome de usuário e senha configurados para efetuar login remotamente em R1.
Host A R1
GE 0/0/0
10.1.1.1/24
[R1]aaa
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]local-user huawei privilege level 0
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
Verificação da configuração (1)
 No AAA, cada domínio está associado a um esquema de autenticação, um esquema de autorização e um
esquema de contabilidade. Neste exemplo, o domínio padrão é usado.
[R1]display domain name default_admin

Domain-name: default_admin
Domain-state: Active
Authentication-scheme-name: default
Accounting-scheme-name: default
Authorization-scheme-name: -
Service-scheme-name: -
RADIUS-server-template: -
HWTACACS-server-template: -
User-group: -
Verificação da configuração (2)
 Depois que o usuário efetua login e logout corretamente, você pode visualizar o registro do usuário.
[R1]display aaa offline-record all

-------------------------------------------------------------------
User name: huawei
Domain name: default_admin
User MAC: 00e0-fc12-3456
User access type: telnet
User IP address: 10.1.1.2
User ID: 1
User login time: 2019/12/28 17:59:10
User offline time: 2019/12/28 18:00:04
User offline reason: user request to offline
Quiz
1. Quais modos de autenticação, autorização e contabilidade são suportados pelo AAA?
2. Quando um novo usuário comum é configurado com autenticação local, mas não está associado a um
domínio definido pelo usuário, a qual domínio o usuário pertence?
Summary
 AAA melhora a segurança da rede corporativa e impede que usuários não autorizados façam login em
redes corporativas, autenticando as identidades dos funcionários da empresa e usuários externos,
autorizando recursos acessíveis e monitorando o comportamento de acesso à Internet.
▫ Autenticação: determina quais usuários podem acessar a rede.
▫ Autorização: autoriza usuários a acessar serviços específicos.
▫ Contabilidade: registra a utilização dos recursos da rede.
 A tecnologia AAA pode ser implementada localmente ou por meio de um servidor remoto.
 Dos protocolos usados para implementar AAA, o RADIUS é o mais comumente usado.
Thank You
www.huawei.com

13 AAA Principles and Configuration - En.pt

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

13 AAA Principles and Configuration - En.pt

Enviado por

Direitos autorais:

Formatos disponíveis

Princípios e configuração de AAA

▫ Descrever os cenários de aplicação do AAA.

▫ Compreender os fundamentos do RADIUS.

▫ Familiarizar-se com as configurações básicas do AAA.

Passo 1 Passo 2 Passo 3 Passo 4

Identidade do usuário Autenticação Autorização Contabilidade

Identifica usuários Identifica e autentica Determina se o acesso é Verifica e registra as

User 1@Domain 1 Rede IP

Retornando um resultado de autenticação

User 2@Domain 2 NAS Servidor AAA

User 3@Domain 3 User 1@Domain 1 Domain 1 Non-authentication

User 2@Domain 2 Domain 2 Local authentication

User 3@Domain 3 Domain 3 Remote authentication

User 1@Domain 1 Rede IP

User 2@Domain 2 NAS Servidor AAA

User Domínio Modo de Autorização Conteúdo de Autorização

User 1@Domain 1 IP Network

User Domain Accounting Mode

User 1@Domain 1 Domain 1 Non-accounting

User 3@Domain 3 Domain 3 Remote accounting

User NAS Servidor RADIUS

O usuário começa a acessar os recursos da rede.

O usuário pede para ficar offline.

O usuário é notificado da conclusão do acesso Accounting-Stop response

Login através de Telnet/SSH

Servidor RADIUS Administrador de rede Router

Saia do system view e entre na AAA view.

2. Crie um esquema de autenticação.

[Huawei-aaa] authentication-scheme authentication-scheme-name

Crie um esquema de autenticação e entre na authentication scheme view.

[Huawei-aaa-authentication-scheme-name] authentication-mode { hwtacacs | local | radius }

[Huawei-aaa] domain domain-name

[Huawei-aaa] local-user user-name password cipher password

Crie um usuário local e configure uma senha para o usuário local.

6. Configure um nível de usuário.

[Huawei-aaa] local-user user-name privilege level level

Especifique o nível de permissão do usuário local.

[R1]display domain name default_admin

[R1]display aaa offline-record all

▫ Autorização: autoriza usuários a acessar serviços específicos.

▫ Contabilidade: registra a utilização dos recursos da rede.

Você também pode gostar