大家好，我是IT售前工程師Bernie.

如果企業(yè)的某個(gè)分支機(jī)構(gòu)要訪問(wèn)總部網(wǎng)絡(luò)，總部網(wǎng)絡(luò)肯定不是任何人都能訪問(wèn)的，只有通過(guò)認(rèn)證的才可以訪問(wèn)。比如訪問(wèn)OA系統(tǒng)、報(bào)賬系統(tǒng)、ERP系統(tǒng)等等。

這個(gè)時(shí)候AAA認(rèn)證、授權(quán)服務(wù)就派上用場(chǎng)了。

AAA是一種提供認(rèn)證(Authentication )、授權(quán)(Authorization)和計(jì)費(fèi)(Accounting )的安全服務(wù)。它可以用于驗(yàn)證某個(gè)用戶賬號(hào)是否合法、是否被授權(quán)訪問(wèn)服務(wù)，并且記錄訪問(wèn)網(wǎng)絡(luò)資源的情況。

關(guān)于認(rèn)證

認(rèn)證就是說(shuō)：驗(yàn)證用戶是否具備某個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。

AAA中的認(rèn)證方式可以分為：不認(rèn)證、本地認(rèn)證和遠(yuǎn)端認(rèn)證三種情況。

不認(rèn)證

很簡(jiǎn)單，就是指服務(wù)器端完全信任用戶，不對(duì)訪問(wèn)的用戶做任何身份檢查。實(shí)際上絕大多數(shù)網(wǎng)絡(luò)不會(huì)采用不認(rèn)證的方式，因?yàn)樘?jiǎn)單粗暴了，不安全。

本地認(rèn)證

就是將用戶的本地信息作為參數(shù)配置在NAS存儲(chǔ)上。本地認(rèn)證處理速度快、認(rèn)證成本低。但是，由于認(rèn)證信息是存儲(chǔ)在本地的，所以往往存儲(chǔ)的數(shù)據(jù)量比較少。

遠(yuǎn)端認(rèn)證

這種方式高大上一點(diǎn)，它是將認(rèn)證信息配置在遠(yuǎn)端的服務(wù)器上，通過(guò)認(rèn)證服務(wù)器來(lái)配合輔助認(rèn)證。

這里需要特別說(shuō)明一點(diǎn)，如果一個(gè)認(rèn)證方案采用的是復(fù)合的認(rèn)證方式，即多種認(rèn)證方式并存。比如：先配置了本地認(rèn)證，再配置了遠(yuǎn)端認(rèn)證。那么，在本地認(rèn)證失敗或者無(wú)響應(yīng)的時(shí)候，就會(huì)轉(zhuǎn)入遠(yuǎn)端認(rèn)證。

關(guān)于授權(quán)

授權(quán)是指規(guī)定用戶被授權(quán)可以訪問(wèn)網(wǎng)絡(luò)上的哪幾項(xiàng)服務(wù)。AAA的授權(quán)方式支持：不授權(quán)、本地授權(quán)和遠(yuǎn)端授權(quán)。

不授權(quán)

就是不對(duì)用戶進(jìn)行任何的授權(quán)處理。用戶訪問(wèn)沒(méi)有限制，想訪問(wèn)哪項(xiàng)服務(wù)就能訪問(wèn)到。

本地授權(quán)

根據(jù)NAS存儲(chǔ)上配置的相關(guān)授權(quán)屬性進(jìn)行授權(quán)。

遠(yuǎn)端授權(quán)

根據(jù)遠(yuǎn)端服務(wù)器配置授權(quán)信息，配置授權(quán)級(jí)別等等。

特別說(shuō)明：如果一個(gè)授權(quán)方案采用了多種的授權(quán)方式，也是跟認(rèn)證一樣，按照配置順序生效的。比如：先配置遠(yuǎn)端授權(quán)，再配置本地授權(quán)，那么如果遠(yuǎn)端授權(quán)方式有問(wèn)題就會(huì)轉(zhuǎn)為請(qǐng)求本地授權(quán)。

關(guān)于計(jì)費(fèi)

計(jì)費(fèi)，就是記錄某個(gè)用戶使用某項(xiàng)服務(wù)的情況，或者訪問(wèn)某項(xiàng)資源的情況。跟認(rèn)證和授權(quán)有所不同，計(jì)費(fèi)沒(méi)有本地計(jì)費(fèi)方式。只有：不計(jì)費(fèi)和遠(yuǎn)端計(jì)費(fèi)。

不計(jì)費(fèi)

上網(wǎng)全免費(fèi)，服務(wù)全免費(fèi)，比如某個(gè)企業(yè)的門戶、政府門戶等等。

遠(yuǎn)端計(jì)費(fèi)

通過(guò)遠(yuǎn)端的服務(wù)器記錄用戶的上網(wǎng)時(shí)長(zhǎng)或者服務(wù)時(shí)長(zhǎng)，以計(jì)算服務(wù)所產(chǎn)生的費(fèi)用情況。比如我們可以記錄某臺(tái)主機(jī)的主機(jī)名、開(kāi)始上線時(shí)間、服務(wù)時(shí)長(zhǎng)，以及服務(wù)期間的上下行流量等。這樣我們就可以計(jì)算流量的費(fèi)用或者服務(wù)的費(fèi)用了。

AAA域

說(shuō)完了認(rèn)證、授權(quán)和計(jì)費(fèi)，接下來(lái)我們進(jìn)一步了解下AAA域的概念。實(shí)際上，AAA是根據(jù)域來(lái)管理用戶的，即：不同的域可以關(guān)聯(lián)不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案。

在計(jì)算機(jī)網(wǎng)絡(luò)中，每臺(tái)主機(jī)屬于自己的域。如下圖，PC1屬于areaA，PC2則屬于areaB。如果不配置設(shè)備所在域，則默認(rèn)缺省域default。

總結(jié)

以上是關(guān)于AAA認(rèn)證的全部分享，具體的認(rèn)證配置，可以先配置域的認(rèn)證方案，然后再配置域的授權(quán)方案和授權(quán)方式。如下圖

文章出自：??IT一指禪??，如有轉(zhuǎn)載本文請(qǐng)聯(lián)系【IT一指禪】今日頭條號(hào)。