Pazar , 20 Eylül 2020
Home » Network » AAA (Authentication, Authorization, Accounting)
AAA (Authentication, Authorization, Accounting) 1 – aaa
AAA

AAA (Authentication, Authorization, Accounting)

Authentication: Cihazlara erişim yapanların Kimlik doğrulanması işlemidir

İki tür kimlik doğrulama yapabiliriz.

Local AAA authentication: Erişim yapılacak aygıt tarafınca kendi bünyesinde bulunan kullanıcı veri tabanı sorgulanarak yapılır. Fazlaca sayıda cihazınız var ise her kullanıcı adı ve şifresi her cihazda girilmesi gerekir.

Server-Based AAA authentication: Kullanıcı detayları harici bir sunucu tarafınca tutulur. Authorization işlemide sunucu tarafınca yaptırılabilir.

Authorization: Kimlik doğrulanmasından geçen kullanıcıya verilecek yetkileri ifade eder. Ne olursa olsun harici bir sunucu tarafınca gerçekleştirilmesi gerekir.

Accounting: Kimliği doğrulanıp yetkisi verilen kullanıcının neler yaptığının kayıt altına alınmasıdır. (Log tutma)

Local AAA Authentication Konfigürasyonu:

Router(config)#aaa new-model (Yeni bir model oluşturulmuş olur. Eski local user veritabanını, ve kimlik denetimini  yok eder.)

Router(config)#aaa authentication login default local (default: Hangi yolla login yapılacağını belirler. sh,telnet,console. Default hepsini kapsayan parametredir.)

enable: Cihazın enable girişi için  authentication yapar

Local case: Kullanıcı adı büyük-küçük harfe duyarlı olması için

Router(config)#username Cisco secret cisco (aaa new-model ile eskisi iptal olmutu.local kullanıcı ve gizyazı oluşturuldu)

Router#sh aaa sessions (Login olmuş kullanıcıları gösterir.)

Ör: Router aletine console erişimi haricinde öteki login işlemlerinde gizyazı sormasını sağlayalım.

Router(config)#aaa authentication login console_sifresiz none

Router(config)#line console 0 (Authentication atama kısmı)

Router(config-line)#login authenticatio console_sifresiz

Server-Based AAA authentication

AAA (Authentication, Authorization, Accounting) 2 – aaa server based1

Not: Cisco ISE ve Cisco Secure ACS ücretlidir.Free Radius, Tacacs (Cisco’ya özgü) parasızdır. Windows server üstüne Windows NPS (Network Policy Server) kurulabilir.

Kolay olarak Router ve switch kullanıcıdan gelen authentication bilgilerini sunucuya sorarak kimlik doğrulamasını yapar ve sunucudan öğrendiği kullanıcının yetkileri dahilinde işlem yapmasına müsaade eder.

Aygıt ile sunucu arasındaki iletişim TACACS+ yada RADIUS protokolü kullanarak yapılır. TACACS+ TCP kullanırken RADIUS UDP kullanır. TACACS+ kuvvetli yetkilendirme (Authorization) yaparken, RADIUS kuvvetli Accounting yapabilir, Authorization yapması imkansız.

TACACS+ Konfigürasyonu

Router(config)#aaa new-model

Router(config)#tacacs-serverhost 10.12.104.101(tacacs sunucunun ip adresi)

Router(config)#tacacs-serverkey hkjlk256(şifrelenmesi için key girilir)

Router(config)#aaa authentication login default group tacacs+ group radius local (TACACS+ ve RADIUS Authentication protokolünü ve sıralamasını belirtilir. İlk olarak tacacs+ sonrasında Radius ve son olarak local veritabanını kullanır.)

RADIUS Konfigürasyonu

Router(config)#aaa new-model

Router(config)#radius-server host 10.12.15.15 auth-port 1812 acct-port 1813 (Radius server adresi. Radius server port numaraları değişmiş olduğu için port numaralarını belirtilmelidir)

Router (config)#radius-server key kjlkslk152(şifrelenmesi için key girilir)

Router(config)#aaa authentication login default group tacacs+ group radius local

Authorization Konfigürasyonu

Yetkilendirme sunucu tacacs+ kullanılarak yapılır. RADIUS ile yetkilendirme yapılmaz.

Router(config)#aaa authorization (network / exec / commands level)

Router (config)#aaa authorization network default group tacacs+ (Network erişim yetkisi olup olmadığını tacas+ sunucuya sor)

Router (config)#aaa authorization exec default group tacacs+ (Cihazın komut satırına girme yetkisi olup olmadığını tacas+ sunucuya sor)

Accounting  Konfigürasyonu

Router (config)#aaa accounting (network | exec |connection | commands) (default | list-name) (start-stop | stop-only) (broadcast) method1…

R1(config)#aaa accounting exec default start-stop group tacacs+ (Komut satırına giriş ve çıkışları (start-stop) log tut)

802.1X Authenticaiton

Özetlemek gerekirse switch portlarına bağlanan client için kimlik doğrulama yapmaktır. Port üstünde kimlik doğrulaması yaptıktan sonrasında kullanıcı için tanımlanan yetkiler verilir ve network ağına erişmesi sağlanır. 802.1X protokolü yardımıyla kullanıcı adı ve gizyazı girişi yaparak kimlik denetimi sağlanmış olur.

AAA (Authentication, Authorization, Accounting) 3 –

Kablolu ağlarda kimlik denetim protokolü 802.1X, Kablosuz ağlarda  kimlik denetim protokolü 802×11protokol ailesidir. 802.1X protokolü için sertifika Client ve sunucuda kullanmak zorunludur. Windows client bilgisayarlarında varsayılanda kablolu kimlik denetim servisi kapalıdır.  

AAA (Authentication, Authorization, Accounting) 4 –

10 Yorumlar

  1. connecting

  2. Money Market Account

  3. mission-critical

  4. Zambian Kwacha

  5. Incredible Frozen Tuna

  6. Home Loan Account

  7. one-to-one

  8. Personal Loan Account

    connecting

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir