Upload
melodie-levine
View
35
Download
1
Embed Size (px)
DESCRIPTION
Autentifik ácia, Autorizácia, Accounting ( Modul č. 3 – Authentication, Authorization, and Accounting ). Doc. Ing. Franti šek Jakab, PhD. Jakab.frantisek @ atl-sl ASC-ITC-CA pri KPI FEI, TUKE. Obsah. Terminológia Centrálna autentifikácia s Cisco ACS Konfigurácia AAA cez CLI a SDM. - PowerPoint PPT Presentation
Citation preview
Autentifikácia, Autorizácia, Accounting
(Modul č. 3 – Authentication, Authorization, and Accounting)
Doc. Ing. František Jakab, PhD.Jakab.frantisek@atl-sl
ASC-ITC-CA pri KPI FEI, TUKE
Obsah
• Terminológia
• Centrálna autentifikácia s Cisco ACS
• Konfigurácia AAA cez CLI a SDM
Terminológia
• Autentifikácia
• Autorizácia
• Accounting
Preverenie identity (kto som, čo som)
Udelenie prístupových práv (čo môžem)
Zaznamenávanie aktivít (čo robím)
Známe vo svete autentifikácií
• Metóda na báze terminálového hesla
• Metóda s lokálnymi používateľskými účtami(lokálna databáza)
Známe vo svete autentifikácií
• Metóda na báze terminálového hesla
• Metóda s lokálnymi používateľskými účtami(lokálna databáza)
• V rozsiahlej sieti je metóda terminálového hesla nebezpečná a metóda lokálnej databázy zase nepohodlná (náročná na aktualizovanie)
Režimy autentifikácie
• Znakový režim (konzola, virtuálny terminál,http/https smerovača)
• Paketový režim (autentifikácia voči nejakej službe)
• Svojim spôsobom sa dá aj na manažment zariadenia pozerať ako na poskytnutú službu.
Lokálna vs. vzdialená autentifikácia
• Lokálna autentifikácia vykonáva autentifikačné operácie lokálne bez pomoci iných zariadení
Lokálna vs. vzdialená autentifikácia
• Vzdialená autentifikácia využíva centrálny autentifikačný server (Radius/Tacacs)
Autorizácia RADIUS serverom
• Radius server poskytuje iba autorizáciu na úrovni privilege levelov.
• Centrálny autentifikačný server ako súčasť autentifikačného procesu vráti hodnotu privilege levelu pre konkrétneho používateľa.
• Autorizáciu príkazov rieši až koncové zariadenie prostredníctvom autorizovaných príkazov pre daný privilege level.
Autorizácia TACACS serverom
• Tacacs server poskytuje možnosti pre autorizáciu príkazov za chodu.
• Každý príkaz sa zasiela autorizačnému serveru, ktorý požiadavku na spustenie príkazu vyhodnotí a akciu buď povolí alebo zakáže.
AAA-newmodel
Aaa authentication
Zabezpečenie autentifikačného procesu
Cisco Secure ACS
Cisco Secure ACS
Cisco Secure ACS for Windows je inštalovateľný na::– Windows 2000 Server with Service Pack 4– Windows 2000 Advanced Server with Service Pack 4– Windows Server 2003 Standard Edition– Windows Server 2003 Enterprise Edition
Cisco Secure ACS Solution Engine – Vysoko škálovateľný ACS systém dodávaný ako 1U
zariadenie– Dodáva sa s predinštalovaným zabezpečeným MS
Windows
Cisco Secure ACS Express 5.0–Najnižšia verzia ACS s obmedzenou funkcionalitou–Podporuje max. 50 AAA zariadení a 350 autentifikovaných
klientov počas 24 hodín.
Cisco Secure ACS
Konfigurácia Cisco Secure ACS
Pridávanie / Odoberanie a modifikácia AAA klientov
Zobrazenia základných konfiguračných nastavení preRADIUS / TACACS
Konfigurácia databázy (overovacieho mechanizmu)
Network/Interface configuration
Databázový back-end
Cisco Secure ACS – správa používateľov
Konfigurácia autentif. voči Radiusu
Router(config)#
Router(config)#
Router(config)#
aaa new-model
aaa authentication login default group radius
radius-server host <IP> auth-port 1812 acct-port 1813 key <KEY>
Konfigurácia autentif. voči TACACSu
AAA a SDM
Configure > Additional Tasks > AAA > AAA Servers and Groups > AAA Servers
Troubleshooting AAA
Autorizácia príkazov centrálnym serverom
Centrálny server (TACACS) vždy na žiadosť obsahujúcupoužívateľa a požadovaný príkaz odpovedá buď Accept alebo Reject
Konfigurácia autorizácie príkazov
Autorizácia a SDM
Configure > Additional Tasks > AAA > Authorization Policies > Exec.
Accounting
Konfigurácia AAA Accountingu
Otázky?