它提供了認證、授權、計費三種安全功能,可以驗證使用者帳戶是否合法,授權使用者可以訪問的服務,並記錄使用者使用網路資源的情況。aaa可以通過多種協議來實現,目前思科裝置支援基於radius協議或tacacs協議來實現aaa。
總結:nas是網路接入伺服器,負責集中收集和管理使用者的訪問請求。
認證:驗證使用者是否可以獲得網路訪問的許可權(aaa支援三種認證方式)
不認證:完全信任使用者,不對使用者身份進行合法性檢查。鑑於安全考慮,這種認證很少使用
本地認證:將本地使用者資訊(包括使用者名稱、密碼和各種屬性)配置在nas上。本地認證的優點是處理速度快、運營成本低;缺點是儲存資訊量受裝置硬體條件限制。
遠端認證:將使用者資訊(包括使用者名稱、密碼和各種屬性)配置在認證伺服器上。aaa支援通過radius協議或hwtacacs協議進行遠端認證。nas作為客戶端,與radius伺服器或hwtacacs伺服器進行通訊。
如果採用多種認證方式,這些認證方式按配置順序生效。比如,先配置了遠端認證,隨後配置了本地認證,那麼在遠端認證伺服器無響應時,會轉入本地認證方式。
授權:授權使用者可以訪問或使用網路上的哪些服務(aaa支援三種授權方式)
不授權:不對使用者進行授權處理。
遠端授權:hwtacacs授權,使用tacacs伺服器對使用者授權。radius授權,對通過radius伺服器認證的使用者授權。radius協議的認證和授權是繫結在一起的,不能單獨使用radius進行授權。
如果在乙個授權方案中使用多種授權方式,這些授權方式按照配置順序生效。
審計:記錄使用者使用網路資源的情況(aaa支援不計費,遠端計費)
遠端計費:通過radius伺服器或hwtacacs伺服器進行遠端計費。radius伺服器或hwtacacs伺服器具備充足的儲存空間,可以儲存各授權使用者的網路訪問活動日誌,支援計費功能。
aaa域:
default域為普通使用者的預設域。
default_admin域為管理使用者的預設域。
使用者可以修改但不能刪除這兩個預設域。預設裝置最多支援32個域,包括兩個預設域。
▶radius:公有協議,基於udp封裝;
*原認證授權埠號1645,審計埠號1646(未被公有化之前)
*現認證授權埠號1812,審計埠號1813(公有化之後)
*密碼使用密文,其他使用明文互動,功能強大。
▶tacacs+:思科私有協議,基於tcp封裝,埠號49;
*密碼和其他報文均使用密文互動,支援基於角色的使用者許可權rbac
aaa伺服器軟體:
▶acs 5.2
▶ise 2.2
Hadoop使用者配置免密登陸
hadoop使用者配置免密登陸,參考其他免密配置方法自己總結的更簡潔的步驟。要實現a免密登陸b,需要把a生成的公鑰放到b的對應目錄下,要實現abc之間免密登陸,把3者的公鑰彙總到乙個檔案中,然後分發到3個使用者的對應目錄下,即可實現互相免密。實現zdh 7,zdh 9,zdh 11上面的hdfs使用...
Hadoop使用者配置免密登陸
hadoop使用者配置免密登陸,參考其他免密配置方法自己總結的更簡潔的步驟。要實現a免密登陸b,需要把a生成的公鑰放到b的對應目錄下,要實現abc之間免密登陸,把3者的公鑰彙總到乙個檔案中,然後分發到3個使用者的對應目錄下,即可實現互相免密。實現zdh 7,zdh 9,zdh 11上面的hdfs使用...
linux普通使用者之間免密登陸
假設兩台伺服器server1和server2,具體步驟 登陸server1,在server1上生成公鑰 ssh keygen輸入上述命令後,一直按回車,就可以生成當前機器的公鑰 id rsa.pub id rsa是私鑰 路徑在 home ssh 中。把server1上的公鑰複製到server2上去。...