Ubuntu14下搭建各種服務器之AAA認證2
1.搭建Tacacs+服務器
TACACS+(Terminal Access Controller Access Control System,終端訪問控制器控制系統協議)
是在TACACS協議的基礎上進行了功能增強的安全協議。該協議與RADIUS協議的功能類似,采用客戶端/服務器模式實現NAS與TACACS+服務器之間的通信
(1)TACACS+的用途
TACACS+協議主要用於PPP和VPDN(Virtual Private Dial-up Network,虛擬私有撥號網絡)接入用戶及終端用戶的AAA。
AAA是Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機制,提供了認證、授權、計費三種安全功能。
認證:確認訪問網絡的遠程用戶的身份,判斷訪問者是否為合法的網絡用戶。
授權:對不同用戶賦予不同的權限,限制用戶可以使用的服務。例如用戶成功登錄服務器後,管理員可以授權用戶對服務器中的文件進行訪問和打印操作。
計費:記錄用戶使用網絡服務中的所有操作,包括使用的服務類型、起始時間、數據流量等,它不僅是一種計費手段,也對網絡安全起到了監視作用。
AAA一般采用客戶機/服務器結構,客戶端運行於NAS(Network Access Server,網絡接入服務器)上,服務器上則集中管理用戶信息。
NAS對於用戶來講是服務器端,對於服務器來說是客戶端。AAA的基本組網結構如下圖
(2)通信過程:
當用戶想要通過某網絡與NAS建立連接,從而獲得訪問其它網絡的權利或取得某些網絡資源的權利時,NAS起到了驗證用戶的作用。
NAS負責把用戶的認證、授權、計費信息透傳給服務器(RADIUS服務器或HWTACACS服務器),RADIUS協議或HWTACACS協議規定了NAS與服務器之間如何傳遞用戶信息。
TACACS+的典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為TACACS+的客戶端,將用戶名和密碼發給TACACS+服務器進行驗證。用戶驗證通過並得到授權之後可以登錄到設備上進行操作。
(3)Tacacs 和Radius相比較:
2.開始搭建過程:
sudo apt-get install tacacs+
(1)編輯配置文件
sudo vi /etc/tacacs+/tac_plus.conf
testing123是tacacs+服務器和tacacs+客戶端(即我們的ursalink router)交互的密碼。
chunyu則是訪問ursalink router的用戶名,123456則是密碼。
(2)重啟
sudo /etc/init.d/tacacs_plus restart
重啟失敗:
解決問題:
(3)配置Ursalink 路由器
(4)tacacs+服務器上查看log
sudo vi /var/log/syslog
認證失敗?問題在於key!修改路由器配置:
(5)重新查看日誌:
sudo vi /var/log/syslog
認證成功!
Ubuntu14下搭建各種服務器之AAA認證2