Autentifikácia, Autorizácia, Accounting

(Modul č. 3 – Authentication, Authorization, and Accounting)

Doc. Ing. František Jakab, PhD.Jakab.frantisek@atl-sl

ASC-ITC-CA pri KPI FEI, TUKE

Obsah

• Terminológia

• Centrálna autentifikácia s Cisco ACS

• Konfigurácia AAA cez CLI a SDM

Terminológia

• Autentifikácia

• Autorizácia

• Accounting

Preverenie identity (kto som, čo som)

Udelenie prístupových práv (čo môžem)

Zaznamenávanie aktivít (čo robím)

Známe vo svete autentifikácií

• Metóda na báze terminálového hesla

• Metóda s lokálnymi používateľskými účtami(lokálna databáza)

Známe vo svete autentifikácií

• Metóda na báze terminálového hesla

• Metóda s lokálnymi používateľskými účtami(lokálna databáza)

• V rozsiahlej sieti je metóda terminálového hesla nebezpečná a metóda lokálnej databázy zase nepohodlná (náročná na aktualizovanie)

Režimy autentifikácie

• Znakový režim (konzola, virtuálny terminál,http/https smerovača)

• Paketový režim (autentifikácia voči nejakej službe)

• Svojim spôsobom sa dá aj na manažment zariadenia pozerať ako na poskytnutú službu.

Lokálna vs. vzdialená autentifikácia

• Lokálna autentifikácia vykonáva autentifikačné operácie lokálne bez pomoci iných zariadení

Lokálna vs. vzdialená autentifikácia

• Vzdialená autentifikácia využíva centrálny autentifikačný server (Radius/Tacacs)

Autorizácia RADIUS serverom

• Radius server poskytuje iba autorizáciu na úrovni privilege levelov.

• Centrálny autentifikačný server ako súčasť autentifikačného procesu vráti hodnotu privilege levelu pre konkrétneho používateľa.

• Autorizáciu príkazov rieši až koncové zariadenie prostredníctvom autorizovaných príkazov pre daný privilege level.

Autorizácia TACACS serverom

• Tacacs server poskytuje možnosti pre autorizáciu príkazov za chodu.

• Každý príkaz sa zasiela autorizačnému serveru, ktorý požiadavku na spustenie príkazu vyhodnotí a akciu buď povolí alebo zakáže.

AAA-newmodel

Aaa authentication

Zabezpečenie autentifikačného procesu

Cisco Secure ACS

Cisco Secure ACS

Cisco Secure ACS for Windows je inštalovateľný na::– Windows 2000 Server with Service Pack 4– Windows 2000 Advanced Server with Service Pack 4– Windows Server 2003 Standard Edition– Windows Server 2003 Enterprise Edition

Cisco Secure ACS Solution Engine – Vysoko škálovateľný ACS systém dodávaný ako 1U

zariadenie– Dodáva sa s predinštalovaným zabezpečeným MS

Windows

Cisco Secure ACS Express 5.0–Najnižšia verzia ACS s obmedzenou funkcionalitou–Podporuje max. 50 AAA zariadení a 350 autentifikovaných

klientov počas 24 hodín.

Cisco Secure ACS

Konfigurácia Cisco Secure ACS

Pridávanie / Odoberanie a modifikácia AAA klientov

Zobrazenia základných konfiguračných nastavení preRADIUS / TACACS

Konfigurácia databázy (overovacieho mechanizmu)

Network/Interface configuration

Databázový back-end

Cisco Secure ACS – správa používateľov

Konfigurácia autentif. voči Radiusu

Router(config)#

Router(config)#

Router(config)#

aaa new-model

aaa authentication login default group radius

radius-server host <IP> auth-port 1812 acct-port 1813 key <KEY>

Konfigurácia autentif. voči TACACSu

AAA a SDM

Configure > Additional Tasks > AAA > AAA Servers and Groups > AAA Servers

Troubleshooting AAA

Autorizácia príkazov centrálnym serverom

Centrálny server (TACACS) vždy na žiadosť obsahujúcupoužívateľa a požadovaný príkaz odpovedá buď Accept alebo Reject

Konfigurácia autorizácie príkazov

Autorizácia a SDM

Configure > Additional Tasks > AAA > Authorization Policies > Exec.

Accounting

Konfigurácia AAA Accountingu

Otázky?