Глава 23 Аутентификация и учет
23.1.1 Локальные учетные записи пользователей
Локальное хранение профилей пользователей на коммутаторе дает коммутатору возможность обходиться при аутентификации и авторизации пользователей без внешнего сервера AAA в сети. Однако, возможное количество пользователей при таком способе аутентификации ограничено (см. гл. 30 на стр. 269).
23.1.2 RADIUS и TACACS+
RADIUS и TACACS+ представляют собой протоколы безопасности, которые используютсядляаутентификациипользователейпутемобращенияквнешнемусерверу вместо внутренней базы данных пользователей устройства, которая ограничена емкостью памяти этого устройства (внешний сервер может также использоваться в дополнение к внутренней базе данных). В целом аутентификация с использованием RADIUS и and TACACS+ позволяет идентифицировать неограниченное количество пользователей с помощью единой централизованной службы.
Некоторые основные различия между протоколами RADIUS и TACACS+ приводятся в следующей таблице.
Таблица 62 RADIUS и TACACS+
|
RADIUS |
TACACS+ |
Транспортный |
UDP (User Datagram Protocol) |
TCP (Transmission Control Protocol) |
протокол |
|
|
|
|
|
Шифрование |
Шифрование пароля, |
Шифрование всей коммуникации между |
|
отправляемого для |
клиентом (коммутатором) и сервером |
|
аутентификации. |
TACACS. |
|
|
|
23.2 Экраны настройки функций аутентификации и учета
Чтобы включить функции аутентификации и/или учета на коммутаторе, необходимо прежде всего указать настройки сервера аутентификации (RADIUS и/или TACACS+), а затем настроить приоритеты аутентификации и учета.
Чтобыотобразитьпоказанныйнижеэкран, выберитевнавигационнойпанелиAdvanced Application > Auth and Acct.
Рисунок 98 Экран Advanced Application > Auth and Acct
202 |
Руководство пользователя по серии ES-3124
Глава 23 Аутентификация и учет
23.2.1 Настройка сервера RADIUS
Настройки сервера RADIUS вводятся на показанном ниже экране. Дополнительную информацию о серверах RADIUS можно найти в разд. 23.1.2 на стр. 202, а информацию об атрибутах RADIUS, используемых функциями аутентификации и учета данного коммутатора – в разд. 23.3 на стр. 211.Чтобы отобразить показанный ниже экран,
нажмите на ссылке RADIUS Server Setup на экране Authentication and Accounting.
Рисунок 99 Экран Advanced Application > Auth and Acct > RADIUS Server Setup
Поля экрана описаны в следующей таблице.
Таблица 63 Экран Advanced Application > Auth and Acct > RADIUS Server Setup
ПОЛЕ |
ОПИСАНИЕ |
Authentication |
В данном разделе вводятся настройки аутентификации с использованием |
Server |
RADIUS. |
|
|
Mode |
Данное поле используется лишь при настройке нескольких серверов RADIUS. |
|
В случае выбора index-priority коммутатор будет пытаться осуществить |
|
аутентификацию с использованием первого настроенного сервера RADIUS; |
|
при отсутствии ответа коммутатор обратится ко второму серверу RADIUS. |
|
В случае выбора round-robin запросы на аутентификацию будут |
|
направляться серверам RADIUS поочередно. |
|
|
Timeout |
Укажите период в секундах, в течение которого коммутатор будет ожидать |
|
ответа на запрос от сервера RADIUS. |
|
В случае выбора режима index-priority и использования двух серверов |
|
RADIUS значение тайм-аута делится между двумя серверами RADIUS. |
|
Например, если установить период тайм-аута равным 30 секундам, |
|
коммутатор будет ожидать ответа от первого сервера RADIUS в течение 15 |
|
секунд, после чего направит запрос на второй сервер RADIUS. |
|
|
Руководство пользователя по серии ES-3124
203 |
Глава 23 Аутентификация и учет
Таблица 63 Экран Advanced Application > Auth and Acct > RADIUS Server Setup
ПОЛЕ |
ОПИСАНИЕ |
Index |
Порядковый номер записи о сервере RADIUS (только для чтения). |
|
|
IP Address |
Введите IP-адрес внешнего сервера RADIUS в виде десятичных чисел, |
|
разделенных точками. |
|
|
UDP Port |
По умолчанию аутентификация на сервере RADIUS производится через порт |
|
1812. Изменять это значение не следует, за исключением тех случаев, когда |
|
об этом попросит администратор сети. |
|
|
Shared Secret |
Укажите пароль (до 32 алфавитно-цифровых символов), который будет |
|
служить общим ключом для внешнего сервера RADIUS и коммутатора. Этот |
|
ключ не пересылается по сети. Ключ должен быть одинаковым на внешнем |
|
сервере RADIUS и коммутаторе. |
|
|
Delete |
При необходимости удалить из коммутатора существующую запись о сервере |
|
RADIUS установите данный переключатель. Удаление записи произойдет |
|
после нажатия на кнопку Apply. |
|
|
Apply |
Нажмите Apply, чтобы сохранить изменения в оперативной памяти |
|
коммутатора. Эти настройки будут утеряны в случае выключения коммутатора |
|
или перебоя в подаче питания, поэтому по завершении настройки необходимо |
|
нажать на ссылке Save в верхней навигационной панели для сохранения |
|
изменений в энергонезависимой памяти. |
|
|
Cancel |
Нажмите Cancel, чтобы начать настройку на этом экране заново. |
|
|
Accounting |
В данном разделе вводятся настройки учета с использованием RADIUS. |
Server |
|
|
|
Timeout |
Укажите период в секундах, в течение которого коммутатор будет ожидать |
|
ответа на запрос от сервера учета RADIUS. |
|
|
Index |
Порядковый номер записи о сервере учета RADIUS (только для чтения). |
|
|
IP Address |
Введите IP-адрес внешнего сервера учета RADIUS в виде десятичных чисел, |
|
разделенных точками. |
|
|
UDP Port |
По умолчанию учет на сервере RADIUS производится через порт 1813. |
|
Изменять это значение не следует, за исключением тех случаев, когда об этом |
|
попросит администратор сети. |
|
|
Shared Secret |
Укажите пароль (до 32 алфавитно-цифровых символов), который будет |
|
служить общим ключом для внешнего сервера учета RADIUS и коммутатора. |
|
Этот ключ не пересылается по сети. Ключ должен быть одинаковым на |
|
внешнем сервере учета RADIUS и коммутаторе. |
|
|
Delete |
При необходимости удалить из коммутатора существующую запись о сервере |
|
учета RADIUS установите данный переключатель. Удаление записи |
|
произойдет после нажатия на кнопку Apply. |
|
|
Apply |
Нажмите Apply, чтобы сохранить изменения в оперативной памяти |
|
коммутатора. Эти настройки будут утеряны в случае выключения коммутатора |
|
или перебоя в подаче питания, поэтому по завершении настройки необходимо |
|
нажать на ссылке Save в верхней навигационной панели для сохранения |
|
изменений в энергонезависимой памяти. |
|
|
Cancel |
Нажмите Cancel, чтобы начать настройку на этом экране заново. |
|
|
23.2.2 Настройка сервера TACACS+
Настройки сервера TACACS+ вводятся на показанном ниже экране. Более подробную информацию о серверах TACACS+ можно найти в разд. 23.1.2 на стр. 202.Чтобы отобразить показанный ниже экран, нажмите на ссылке TACACS+ Server Setup на экране Authentication and Accounting.
204 |
Руководство пользователя по серии ES-3124
Глава 23 Аутентификация и учет
Рисунок 100 Экран Advanced Application > Auth and Acct > TACACS+ Server Setup
Поля экрана описаны в следующей таблице.
Таблица 64 Экран Advanced Application > Auth and Acct > TACACS+ Server Setup
ПОЛЕ |
ОПИСАНИЕ |
Authentication |
В данном разделе вводятся настройки аутентификации с использованием |
Server |
TACACS+. |
|
|
Mode |
Данное поле используется лишь при настройке нескольких серверов |
|
TACACS+. |
|
В случае выбора index-priority коммутатор будет пытаться осуществить |
|
аутентификацию с использованием первого настроенного сервера TACACS+; |
|
при отсутствии ответа коммутатор обратится ко второму серверу TACACS+. |
|
В случае выбора round-robin запросы на аутентификацию будут |
|
направляться серверам TACACS+ поочередно. |
|
|
Timeout |
Укажите период в секундах, в течение которого коммутатор будет ожидать |
|
ответа на запрос от сервера TACACS+. |
|
В случае выбора режима index-priority и использования двух серверов |
|
TACACS+ значение тайм-аута делится между двумя серверами TACACS+. |
|
Например, если установить период тайм-аута равным 30 секундам, |
|
коммутатор будет ожидать ответа от первого сервера TACACS+ в течение 15 |
|
секунд, после чего направит запрос на второй сервер TACACS+. |
|
|
Index |
Порядковый номер записи о сервере TACACS+ (только для чтения). |
|
|
IP Address |
Введите IP-адрес внешнего сервера TACACS+ в виде десятичных чисел, |
|
разделенных точками. |
|
|
TCP Port |
По умолчанию аутентификация на сервере TACACS+ производится через |
|
порт 49. Изменять это значение не следует, за исключением тех случаев, |
|
когда об этом попросит администратор сети. |
|
|
Руководство пользователя по серии ES-3124
205 |