Vue d'ensemble de D.C.A.

Share

|

La D.C.A. combine trois fonctions indépendantes de sécurité d'une mode modulaire qui vous permet de configurer le contrôle d'accès à vos dispositifs de réseau, tels que des couteaux et des commutateurs. Les trois modules que vous serez concerné par en cet article sont comme suit :

• L'authentification fournit les méthodes que vous emploierez pour identifier vos utilisateurs avant de leur permettre l'accès à vos services de réseau. Ces méthodes incluent le défi et le dialogue de réponse, d'ouverture et de mot de passe, le chiffrage, et l'appui de transmission de messages.

• L'autorisation fournit les méthodes que vous emploierez pour le contrôle d'accès à distance, tel que la liste et le profil de compte d'par-utilisateur, l'appui de l'IP et le telnet, l'autorisation jetable ou l'autorisation pour chaque service, et l'appui de groupe d'utilisateur.

• La comptabilité fournit la méthode que vous emploierez pour rassembler et envoyer l'information de serveur de sécurité. Vous pouvez employer cette information pour apurer, afficher, ou rapporter.

Ces modules sont discutés plus loin dans les sections suivantes.

Authentification

L'authentification est la méthode employée pour identifier votre utilisateur avant que lui ou elle soit permis l'accès à votre réseau et à ses services. Une manière simple de regarder configurante l'authentification de D.C.A. définit une liste appelée comprenant les méthodes d'authentification que vous voulez et alors appliquant votre liste définie à votre interface(s) identifié. Vous employez la liste de méthode pour définir les types d'authentification que vous voulez être exécuté et l'ordre dans lequel vous voulez qu'ils soient exécutés. À une exception, la liste de méthode a appelé le "défaut," vous doit appliquer la liste de méthode à une interface spécifique avant que n'importe laquelle de vos méthodes définies d'authentification soit employé. La liste de méthode de défaut est automatiquement appliquée à n'importe quelle interface que vous le démuni a appliqué une liste de méthode à. Vous devez définir toutes les méthodes d'authentification, excepté des gens du pays, ligne mot de passe, et permettez l'authentification, par la D.C.A.. Quand vous choisissez de mettre en application l'autorisation, vos utilisateurs doivent être authentifiés avant que n'importe quelle autorisation puisse avoir lieu.

Autorisation

L'autorisation est conçue de travailler en assemblant un ensemble d'attributs que vous définissez pour déterminer si un utilisateur est autorisé à exécuter un certain chargent. Vos attributs définis sont comparés à l'information stockée dans la base de données pour un utilisateur donné. Le résultat (les possibilités et les restrictions de l'utilisateur) est retourné à la D.C.A.. Vous pouvez définir la base de données localement sur le dispositif de réseau ou l'accueillir à distance serveur sur de RAYON ou de TACACS+ sécurité, tel que le serveur bloqué de contrôle d'accès de Cisco (ACS). Les serveurs de sécurité de TACACS+ et de RAYON autorisent vos utilisateurs pour leurs droites spécifiques en employant les paires de l'attribuer-valeur (poids du commerce), qui associent leurs droites à l'utilisateur approprié. Toutes les méthodes d'autorisation doivent être définies par la D.C.A.. Juste comme l'authentification, vous configurez l'autorisation de D.C.A. par l'utilisation d'une liste appelée de méthodes d'autorisation et puis appliquez votre liste définie à votre interface(s) spécifique.

Comptabilité

La comptabilité vous laisse dépister les services que vos utilisateurs accèdent, comme la quantité de ressources de réseau ils consomment. La comptabilité de D.C.A. accomplit ceci en rapportant l'activité de votre utilisateur serveur de RAYON ou de TACACS+ à sécurité sous forme d'enregistrements statistiques. Ces enregistrements statistiques sont composés des paires de poids du commerce de comptabilité. Ils sont stockés sur l'ACS pour la future analyse de la gestion de réseau, de la facturation de client, et/ou d'apurer. Vous devez définir toutes les méthodes comptables par la D.C.A.. Tout comme les modules précédents de D.C.A., vous configurez la comptabilité de D.C.A. par l'utilisation des listes appelées définissant vos méthodes comptables et puis appliquez cette liste à votre interface(s) indiqué.

Protocoles de D.C.A.

La D.C.A. emploie le serveur principal protocolsTACACS+ de la sécurité deux et le RAYON. Vous pouvez employer l'un ou l'autre de ces protocoles pour authentifier un grand nombre de vos utilisateurs, parce que chacun crée une base de données des usernames et des mots de passe. Les deux protocoles partagent beaucoup de dispositifs, parce que le Cisco Systems a modelé l'architecture de TACACS+ après la norme existante de RAYON. Vous pouvez mettre en application un serveur de TACACS+ ou de RAYON sur une plateforme d'UNIX ou la plateforme de Windows.

Le RAYON est couvert dans le RFCs suivant :

• RFC 2138, Cadran À distance D'Authentification Dans Le Service D'Utilisateur (RAYON)

• RFC 2139, Comptabilité de RAYON

• RFC 2865, Cadran À distance D'Authentification Dans Le Service D'Utilisateur (RAYON)

• RFC 2866, Comptabilité de RAYON

• RFC 2867, modifications de comptabilité de RAYON pour l'appui de protocole de tunnel

• RFC 2868, attributs de RAYON pour l'appui de protocole de tunnel

• RFC 2869, Prolongements de RAYON

TACACS+ est couvert par l'ébauche d'Internet et le RFC suivants :

• La Version 1.78 (draft-grant-tacacs-02.txt) De Protocole de TACACS+

• RFC 1492, Un Protocole De Contrôle d'accès, Parfois Appelé TACACS

Protocoles De Transport de D.C.A.

Juste comme n'importe quel paquet qui voyage à travers votre réseau d'IP, TACACS+ et RAYON emploient la pile de TCP/IP. C'est également un secteur dans lequel ils diffèrent : Le RAYON emploie le protocole de UDP pour des communications entre le client et le serveur de sécurité, tandis que TACACS+ emploie le protocole de TCP. TACACS+ actionne le port fini 49 de TCP, et le RAYON actionne le port fini 1812 de UDP pour l'authentification et le port 1813 de UDP pour la comptabilité. Dans quelques réalisations de RAYON, vous pourriez voir le RAYON actionner le port fini 1645 pour l'authentification et mettre en communication 1646 pour la comptabilité.

Chiffrage De Paquet

Un autre secteur dans lequel le RAYON et les TACACS+ diffèrent est leur utilisation de chiffrage. Le RAYON chiffre seulement le mot de passe d'utilisateur dans un paquet de demande d'accès de client-à-serveur. D'autres articles dans le paquet, tel que le username, ont autorisé des services, et la comptabilité, sont envoyées à travers le réseau en texte clair.

TACACS+ chiffre le paquet entier au serveur excepté l'en-tête non codé de TACACS+. Cet en-tête non codé contient un champ indiquant si la charge utile de ce paquet est chiffrée.

Listes De Méthode de D.C.A.

Vous créez une liste de méthode en définissant une liste séquentielle de méthodes d'authentification que vous voulez employer pour authentifier un utilisateur. Les listes de méthode vous ont laissé définir un système de secours d'authentification pour l'authentification en cas d'échec en configurant un ou plusieurs protocoles de sécurité à employer pour l'authentification. Vos dispositifs de réseau emploieront la première méthode que vous énumérez pour authentifier des utilisateurs ; dans le cas d'un échec, vos dispositifs de réseau emploieront la prochaine méthode d'authentification définie dans la liste de méthode. Ce processus continue jusqu'à ce qu'ou votre utilisateur soit authentifié par la communication réussie avec une méthode énumérée d'authentification ou la liste de méthode d'authentification est épuisée, dans ce cas l'authentification échoue. L'authentification avec la prochaine méthode définie d'authentification est essayée seulement s'il n'y a aucune réponse de la méthode précédente d'authentification.