AAA服务器(AAA服务器是什么)

AAA服务器是什么

AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1） 验证(Authentication): 验证用户是否可以获得访问权限。

2） 授权(Authorization) : 授权用户可以使用哪些服务。

3） 记账(Accounting) : 记录用户使用网络资源的情况。

AAA服务器百科

AAA是验证、授权和记账（Authentication、Authorization、Accounting）三个英文单词的简称，是一个能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，主要目的是管理用户访问网络服务器，对具有访问权的用户提供服务。

AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。

AAA的三个要素

第一个A：认证

认证用来识别访问网络的用户的身份，判断访问者是否为合法的用户。

AAA服务器将用户的身份验证凭据与存储在数据库中的用户凭据进行比较。如果凭据匹配，则身份认证成功，并且授予用户访问网络的权限。如果凭据不匹配，则身份认证失败，并且网络访问将被拒绝。用户的身份认证凭据通常使用：

• 密码
• 用户名和密码
• 数字证书(SSL证书)

第二个A：授权

授权是指对不同用户赋予不同的权限，限制用户可以使用的服务。

用户身份认证成功之后，通过授权来确定：

• 用户能够使用的命令
• 用户能够访问的资源
• 用户能够获取的信息

授权的基本原则是最小特权原则，即仅授予用户执行其所需功能时必须的权限，以此来防范任何轻率的授权可能导致的意外或恶意的网络行为。

第三个A：计费

计费用来记录用户使用网络服务过程中的相关操作，简单说就是：什么人、什么时间、做了什么事。

记录的内容包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监控作用。

实现协议 - RADIUS

AAA服务器的实现协议有 RADIUS 和 HWTACACS 等，RADIUS 是较常用的。

RADIUS 是一种分布式的、C/S 结构的信息交互协议。在实现 AAA 的过程中，通常由 NAS 作为 RADIUS 的客户端，负责传输用户信息到指定的 RADIUS 服务器，然后根据从服务器返回的信息进行处理。

RADIUS服务器一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS使用UDP 作为传输协议，并规定UDP端口1812、1813分别作为认证、计费端口，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。

配置本地AAA服务器

在AAA服务器上，配置以下参数：

接入服务器的名称。

接入服务器用来与 AAA 服务器通信的IP地址。

注意：如果两台设备位于同一个以太网络中，则默认情况下，接入服务器在发出AAA数据包时使用以太网接口上定义的IP地址。当路由器有多个接口（因此有多个地址）时，这个问题就很重要。

在接入服务器中配置的完全一样的密钥 <key>。

注意：密钥的名称区分大小写。

接入服务器使用的协议（TACACS+ 或 Radius）。

有关配置上述参数的确切过程，请参阅AAA服务器文档。如果AAA服务器配置不正确，则AAA服务器可以忽略来自NAS的AAA请求，并且连接可能会失败。

AAA 服务器必须拥有一个接入服务器可到达的 IP 地址（执行 ping 测试可验证连接）。

AAA及用户管理概述

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。

AAA（Authentication Authorization Accounting）是一种提供认证、授权和计费的技术。

1.认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。

2.授权（Authorization）：授权用户可以使用哪些服务。

3.计费（Accounting）：记录用户使用网络资源的情况。

AAA一般采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。

AAA服务器是如何工作的？

AAA采用客户端/服务器结构，这种结构简单、扩展性好，且便于集中管理用户信息。

如上图所示，AAA的基本实现流程如下：

用户访问网络前，首先与AAA客户端建立连接。

AAA客户端负责把用户验证凭据传递给AAA服务器。

AAA服务器根据用户认证凭据进行认证和授权，并将认证和授权结果返回给AAA客户端。

AAA客户端根据服务器的返回结果判断是否允许用户接入。

其中：

AAA客户端运行在NAS设备（网络接入服务器）上，NAS设备可以是路由器、交换机等为用户提供入网服务的设备。

AAA服务器是认证服务器、授权服务器和计费服务器的统称，负责集中管理用户信息。根据AAA使用的通信协议的不同，AAA服务器可以分为RADIUS服务器、TACACS服务器等。

转载来源：

https://codeantenna.com/a/nvSRPjHegy

https://www.baike.com/wikiid/6674014424473829597

https://info.support.huawei.com/info-finder/encyclopedia/zh/AAA.html

https://www.cisco.com/c/zh_cn/support/docs/security-代理软件/terminal-access-controller-access-control-system-tacacs-/10384-security.html#anc19

https://support.huawei.com/enterprise/zh/doc/EDOC1100055075/47fb383

https://info.support.huawei.com/info-finder/encyclopedia/zh/AAA.html

https://mc-lsk888-blog.vercel.app/posts/%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/%E6%95%B0%E9%80%9A/%E8%AE%A4%E8%AF%86aaa/