AAA – Authentication, Authorization and Accounting, функция, которая представляет собой комплексную структуру организации доступа пользователя в сеть. За ней, собственно, кроются такие базовые процессы, как:
- Аутентификация , где система предлагает пользователю ввести свое имя и пароль, прежде чем позволить ему совершать дальнейшие действия.
- Авторизация . Успешно пройдя аутентификацию, система авторизует пользователя в сети, наделяя его теми полномочиями, которые соотносятся с его учетной записью (именем и паролем).
- Учет . Отвечает за сбор информации об учетной записи пользователя и отправке ее на сервер, хороший тому пример - биллинг интернет-провайдера.
Для активации AAA, в режиме глобальной конфигурации достаточно набрать aaa new-model .
Будьте осторожны, если вы не успели создать на оборудовании хотя бы одного пользователя User с паролем, то при попытке зайти на устройство, система запросит имя и пароль, даже если его еще не существует.
Зададим инструкцию командой aaa authentication login default local , которая позволит использовать локальную базу данных для аутентификации .
Теперь нам необходимо уточнить, где именно применять данное действие. Для этого мы пропишем команду login authentication default в режиме конфигурации интерфейса console и VTY .
Посредством обращения к локальной базе данных, авторизация осуществляется аналогичным методом, командой aaa authorization exec default local и прописывается командой authorization exec default в console и VTY . Чтобы авторизация возымела действие на консоли, в режиме глобальной конфигурации необходимо добавить команду aaa authorization console .
Пример:
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
line console 0
login authentication default
authorization exec default
line vty 0 15
login authentication default
authorization exec default
AAA (от англ. Authentication, Authorization, Accounting ) — семейство протоколов, используется для описания процесса предоставления доступа и контроля над ним.
- Authentication ( аутентификация ) — сопоставление персоны (запроса) существующей учётной записи в системе безопасности. Осуществляется по логину , паролю , сертификату , смарт-карте и т. д.
- Authorization ( авторизация , проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). В общем случае авторизация может быть «негативной» (пользователю А запрещён доступ к серверам компании).
- Accounting (учёт) — слежение за потреблением ресурсов (преимущественно сетевых) пользователем. В accounting включается также и запись фактов получения доступа к системе ( англ. access logs ).