安全與VPN-AAA技術介紹-D

1、，安全與VPN-AAA技術介紹技術介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 AAA HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 AAA簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 RADIUS協(xié)議簡介 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 客戶端/服務器模式 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 安全和認證機制 HYPERLINK l

2、 _bookmark1 2 HYPERLINK l _bookmark2 RADIUS的基本消息交互流程 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 RADIUS報文結構 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark5 RADIUS擴展屬性 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark6 HWTACACS協(xié)議簡介 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark6 HWTACACS協(xié)議與RADIUS協(xié)議的

3、區(qū)別 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark6 HWTACACS的基本消息交互流程 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark8 LDAP協(xié)議簡介 HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark8 LDAP目錄服務 HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark8 使用LDAP協(xié)議進行認證和授權 HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark9 LDAP的

4、基本消息交互流程 HYPERLINK l _bookmark9 10 HYPERLINK l _bookmark10 基于域的用戶管理 HYPERLINK l _bookmark10 11 HYPERLINK l _bookmark11 設備的RADIUS服務器功能 HYPERLINK l _bookmark11 12 HYPERLINK l _bookmark12 AAA支持多實例 HYPERLINK l _bookmark12 13技術介紹 安全和 VPNAAA PAGE 13AAAAAA 簡介AAA 是 Authentication、Authorization、Accounting（認證

5、、授權、計費）的簡稱，是網(wǎng)絡安全的一種管理機制，提供了認證、授權、計費三種安全功能。AAA一般采用客戶機/服務器結構，客戶端運行于NAS（Network Access Server，網(wǎng)絡接入服務器） 上，服務器上則集中管理用戶信息。NAS對于用戶來講是服務器端，對于服務器來說是客戶端。AAA 的基本組網(wǎng)結構如 HYPERLINK l _bookmark0 圖 1。圖 1 AAA 基本組網(wǎng)結構示意圖當用戶想要通過某網(wǎng)絡與 NAS 建立連接，從而獲得訪問其它網(wǎng)絡的權利或取得某些網(wǎng)絡資源的權利時，NAS 起到了驗證用戶或?qū)B接的作用。NAS 負責把用戶的認證、授權、計費信息透傳給服務器（RADIU

6、S 服務器或 HWTACACS 服務器），RADIUS 協(xié)議或 HWTACACS 協(xié)議規(guī)定了 NAS 與服務器之間如何傳遞用戶信息。 HYPERLINK l _bookmark0 圖 1的AAA基本組網(wǎng)結構中有兩臺服務器，用戶可以根據(jù)實際組網(wǎng)需求來決定認證、授權、計費功能分別由使用哪種協(xié)議類型的服務器來承擔。例如，可以選擇HWTACACS服務器實現(xiàn)認證和授權， RADIUS服務器實現(xiàn)計費。這三種安全服務功能的具體作用如下：認證：確認遠端訪問用戶的身份，判斷訪問者是否為合法的網(wǎng)絡用戶；授權：對不同用戶賦予不同的權限，限制用戶可以使用的服務。例如用戶成功登錄服務器后， 管理員可以授權用戶對服務器中

7、的文件進行訪問和打印操作；計費：記錄用戶使用網(wǎng)絡服務中的所有操作，包括使用的服務類型、起始時間、數(shù)據(jù)流量等， 它不僅是一種計費手段，也對網(wǎng)絡安全起到了監(jiān)視作用。當然，用戶可以只使用 AAA 提供的一種或兩種安全服務。例如，公司僅僅想讓員工在訪問某些特定資源的時候進行身份認證，那么網(wǎng)絡管理員只要配置認證服務器就可以了。但是若希望對員工使用網(wǎng)絡的情況進行記錄，那么還需要配置計費服務器。如上所述，AAA 是一種管理框架，它提供了授權部分實體去訪問特定資源，同時可以記錄這些實體操作行為的一種安全機制，因其具有良好的可擴展性，并且容易實現(xiàn)用戶信息的集中管理而被廣泛使用。AAA 可以通過多種協(xié)議來實現(xiàn)，目

8、前設備支持基于 RADIUS 協(xié)議、HWTACACS 協(xié)議或 LDAP 協(xié)議來實現(xiàn) AAA，在實際應用中，最常使用 RADIUS 協(xié)議。RADIUS 協(xié)議簡介RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）是一種分布式的、客戶端/服務器結構的信息交互協(xié)議，能保護網(wǎng)絡不受未授權訪問的干擾，常應用在既要求較高安全性、又允許遠程用戶訪問的各種網(wǎng)絡環(huán)境中。該協(xié)議定義了基于 UDP 的 RADIUS 幀格式及其消息傳輸機制，并規(guī)定 UDP 端口 1812、1813 分別作為認證、計費端口。RADIUS 最初僅是針對撥號用戶的 AA

9、A 協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展，RADIUS 也適應多種用戶接入方式，如以太網(wǎng)接入、ADSL 接入。它通過認證授權來提供接入服務，通過計費來收集、記錄用戶對網(wǎng)絡資源的使用?？蛻舳?服務器模式客戶端：RADIUS 客戶端一般位于 NAS 設備上，可以遍布整個網(wǎng)絡，負責傳輸用戶信息到指定的 RADIUS 服務器，然后根據(jù)從服務器返回的信息進行相應處理（如接受/拒絕用戶接入）。服務器：RADIUS 服務器一般運行在中心計算機或工作站上，維護相關的用戶認證和網(wǎng)絡服務訪問信息，負責接收用戶連接請求并認證用戶，然后給客戶端返回所有需要的信息（如接受/拒絕認證請求）。RADIUS服務器通常要維護

10、三個數(shù)據(jù)庫，如 HYPERLINK l _bookmark1 圖 2所示：圖 2 RADIUS 服務器的組成“Users”：用于存儲用戶信息（如用戶名、口令以及使用的協(xié)議、IP 地址等配置信息）?！癈lients”：用于存儲 RADIUS 客戶端的信息（如接入設備的共享密鑰、IP 地址等）?！癉ictionary”：用于存儲 RADIUS 協(xié)議中的屬性和屬性值含義的信息。安全和認證機制RADIUS 客戶端和 RADIUS 服務器之間認證消息的交互是通過共享密鑰的參與來完成的，并且共享密鑰不能通過網(wǎng)絡來傳輸，增強了信息交互的安全性。另外，為防止用戶密碼在不安全的網(wǎng)絡上傳遞時被竊取，在傳輸過程中對

11、密碼進行了加密。RADIUS 服務器支持多種方法來認證用戶，如基于 PPP 的 PAP、CHAP 認證。另外，RADIUS 服務器還可以為其它類型的認證服務器提供代理客戶端的功能，向其提出認證請求。RADIUS 的基本消息交互流程用戶、RADIUS客戶端和RADIUS服務器之間的交互流程如 HYPERLINK l _bookmark2 圖 3所示。圖 3 RADIUS 的基本消息交互流程HostRADIUS clientRADIUS server(1) 用戶輸入用戶名/密碼認證請求包認證接受/拒絕包計費開始請求包計費開始請求響應包(6) 用戶訪問資源計費結束請求包計費結束請求響應包(9) 通知

12、訪問結束消息交互流程如下：用戶發(fā)起連接請求，向 RADIUS 客戶端發(fā)送用戶名和密碼。RADIUS 客戶端根據(jù)獲取的用戶名和密碼，向 RADIUS 服務器發(fā)送認證請求包 （Access-Request），其中的密碼在共享密鑰的參與下由 MD5 算法進行加密處理。RADIUS 服務器對用戶名和密碼進行認證。如果認證成功，RADIUS 服務器向 RADIUS 客戶端發(fā)送認證接受包（Access-Accept）；如果認證失敗，則返回認證拒絕包（Access-Reject）。由于 RADIUS 協(xié)議合并了認證和授權的過程，因此認證接受包中也包含了用戶的授權信息。RADIUS 客戶端根據(jù)接收到的認證結果

13、接入/拒絕用戶。如果允許用戶接入，則 RADIUS 客戶端向 RADIUS 服務器發(fā)送計費開始請求包（Accounting-Request）。RADIUS 服務器返回計費開始響應包（Accounting-Response），并開始計費。用戶開始訪問網(wǎng)絡資源；用戶請求 斷開連接 ， RADIUS 客戶端向 RADIUS 服 務器發(fā)送 計費停止 請求包（Accounting-Request）。RADIUS 服務器返回計費結束響應包（Accounting-Response），并停止計費。用戶結束訪問網(wǎng)絡資源。RADIUS 報文結構RADIUS采用UDP報文來傳輸消息，通過定時器管理機制、重傳機制、備

14、用服務器機制，確保RADIUS服務器和客戶端之間交互消息的正確收發(fā)。RADIUS報文結構如 HYPERLINK l _bookmark3 圖 4所示。圖 4 RADIUS 報文結構各字段的解釋如下：Code 域長度為 1 個字節(jié)，用于說明RADIUS報文的類型，如 HYPERLINK l _bookmark3 表 1所示。表 1 Code 域的主要取值說明Code報文類型報文說明1Access-Request 認證請求包方向 Client-Server，Client 將用戶信息傳輸?shù)?Server，由 Server 判斷是否接入該用戶。該報文中必須包含 User-Name 屬性，可選包含NAS

15、-IP-Address、User-Password、NAS-Port 等屬性2Access-Accept 認證接受包方向 Server-Client，如果 Access-Request 報文中的所有 Attribute 值都可以接受（即認證通過），則傳輸該類型報文3Access-Reject 認證拒絕包方向 Server-Client，如果 Access-Request 報文中存在任何無法被接受的Attribute 值（即認證失?。瑒t傳輸該類型報文4Accounting-Request計費請求包方向 Client-Server，Client 將用戶信息傳輸?shù)?Server，請求 Server

16、 開始/ 停止計費，由該報文中的Acct-Status-Type 屬性區(qū)分計費開始請求和計費結束請求5Accounting-Response計費響應包方向 Server-Client，Server 通知 Client 已經(jīng)收到 Accounting-Request 報文，并且已經(jīng)正確記錄計費信息Identifier 域長度為 1 個字節(jié)，用于匹配請求包和響應包，以及檢測在一段時間內(nèi)重發(fā)的請求包。類型一致的請求包和響應包的 Identifier 值相同。Length 域長度為 2 個字節(jié)，表示 RADIUS 數(shù)據(jù)包（包括 Code、Identifier、Length、Authenticator

17、和Attribute） 的長度，范圍從 204096。超過 Length 域的字節(jié)將作為填充字符被忽略。如果接收到的包的實際長度小于 Length 域的值時，則包會被丟棄。Authenticator 域長度為 16 個字節(jié)，用于驗證 RADIUS 服務器的應答，另外還用于用戶密碼的加密。Authenticator 包括兩種類型：Request Authenticator 和 Response Authenticator。Attribute 域不定長度，用于攜帶專門的認證、授權和計費信息，提供請求和響應報文的配置細節(jié)。Attribute 可包括多個屬性，每一個屬性都采用（Type、Length、

18、Value）三元組的結構來表示。類型（Type），1 個字節(jié)，取值為 1255，用于表示屬性的類型， HYPERLINK l _bookmark4 表 2列出了RADIUS認證、授權、計費常用的屬性。長度（Length），表示該屬性（包括類型、長度和屬性）的長度，單位為字節(jié)。屬性值（Value），表示該屬性的信息，其格式和內(nèi)容由類型和長度決定，最大長度為 253 字節(jié)。表 2 RADIUS 屬性屬性編號屬性名稱屬性編號屬性名稱1User-Name45Acct-Authentic2User-Password46Acct-Session-Time3CHAP-Password47Acct-Input

19、-Packets4NAS-IP-Address48Acct-Output-Packets5NAS-Port49Acct-Terminate-Cause6Service-Type50Acct-Multi-Session-Id7Framed-Protocol51Acct-Link-Count8Framed-IP-Address52Acct-Input-Gigawords9Framed-IP-Netmask53Acct-Output-Gigawords10Framed-Routing54(unassigned)11Filter-ID55Event-Timestamp12Framed-MTU56-59

20、(unassigned)13Framed-Compression60CHAP-Challenge14Login-IP-Host61NAS-Port-Type15Login-Service62Port-Limit16Login-TCP-Port63Login-LAT-Port17(unassigned)64Tunnel-Type18Reply-Message65Tunnel-Medium-Type19Callback-Number66Tunnel-Client-Endpoint20Callback-ID67Tunnel-Server-Endpoint21(unassigned)68Acct-Tu

21、nnel-Connection22Framed-Route69Tunnel-Password23Framed-IPX-Network70ARAP-Password24State71ARAP-Features25Class72ARAP-Zone-Access26Vendor-Specific73ARAP-Security27Session-Timeout74ARAP-Security-Data28Idle-Timeout75Password-Retry29Termination-Action76Prompt屬性編號屬性名稱屬性編號屬性名稱30Called-Station-Id77Connect-

22、Info31Calling-Station-Id78Configuration-Token32NAS-Identifier79EAP-Message33Proxy-State80Message-Authenticator34Login-LAT-Service81Tunnel-Private-Group-id35Login-LAT-Node82Tunnel-Assignment-id36Login-LAT-Group83Tunnel-Preference37Framed-AppleTalk-Link84ARAP-Challenge-Response38Framed-AppleTalk-Netwo

23、rk85Acct-Interim-Interval39Framed-AppleTalk-Zone86Acct-Tunnel-Packets-Lost40Acct-Status-Type87NAS-Port-Id41Acct-Delay-Time88Framed-Pool42Acct-Input-Octets89(unassigned)43Acct-Output-Octets90Tunnel-Client-Auth-id44Acct-Session-Id91Tunnel-Server-Auth-idRADIUS 擴展屬性RADIUS 協(xié)議具有良好的可擴展性，協(xié)議（RFC 2865）中定義的 26

24、 號屬性（Vendor-Specific）用于設備廠商對 RADIUS 進行擴展，以實現(xiàn)標準 RADIUS 沒有定義的功能。設備廠商可以封裝多個自定義的“（Type、Length、Value）”子屬性來擴展RADIUS。如 HYPERLINK l _bookmark5 圖 5所示，26 號屬性報文內(nèi)封裝的子屬性包括以下四個部分：Vendor-ID 域占 4 字節(jié)，表示廠商代號，最高字節(jié)為 0，其余 3 字節(jié)的編碼見 RFC 1700。H3C公司的 Vendor-ID 是 2011。Vendor-Type，表示擴展屬性的子屬性類型。Vendor-Length，表示該子屬性長度。Vendor-Da

25、ta，表示該子屬性的內(nèi)容。圖 5 包括擴展屬性的 RADIUS 報文片斷HWTACACS 協(xié)議簡介HWTACACS（HW Terminal Access Controller Access Control System，HW 終端訪問控制器控制系統(tǒng)協(xié)議）是在 TACACS（RFC 1492）基礎上進行了功能增強的安全協(xié)議。該協(xié)議與 RADIUS 協(xié)議類似，采用客戶端/服務器模式實現(xiàn) NAS 與 HWTACACS 服務器之間的通信。HWTACACS 協(xié)議主要用于 PPP（Point-to-Point Protocol，點對點協(xié)議）和 VPDN（Virtual Private Dial-up Ne

26、twork，虛擬私有撥號網(wǎng)絡）接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為 HWTACACS 的客戶端， 將用戶名和密碼發(fā)給 HWTACACS 服務器進行驗證。用戶驗證通過并得到授權之后可以登錄到設備上進行操作。HWTACACS 協(xié)議與 RADIUS 協(xié)議的區(qū)別HWTACACS協(xié)議與RADIUS協(xié)議都實現(xiàn)了認證、授權、計費的功能，它們有很多相似點：結構上都采用客戶端/服務器模式；都使用公共密鑰對傳輸?shù)挠脩粜畔⑦M行加密；都有較好的靈活性和可擴展性。兩者之間存在的主要區(qū)別如 HYPERLINK l _bookmark6 表 3

27、所示。表 3 HWTACACS 協(xié)議和 RADIUS 協(xié)議區(qū)別HWTACACS 協(xié)議RADIUS 協(xié)議使用TCP，網(wǎng)絡傳輸更可靠使用 UDP，網(wǎng)絡傳輸效率更高除了 HWTACACS 報文頭，對報文主體全部進行加密只對驗證報文中的密碼字段進行加密協(xié)議報文較為復雜，認證和授權分離，使得認證、授權服務可以分離在不同的安全服務器上實現(xiàn)。例如，可以用一個 HWTACACS 服務器進行認證，另外一個HWTACACS 服務器進行授權協(xié)議報文比較簡單，認證和授權結合，難以分離支持對設備的配置命令進行授權使用。用戶可使用的命令行受到用戶級別和 AAA 授權的雙重限制，某一級別的用戶輸入的每一條命令都需要通過 H

28、WTACACS 服務器授權，如果授權通過，命令就可以被執(zhí)行不支持對設備的配置命令進行授權使用用戶登錄設備后可以使用的命令行由用戶級別決定，用戶只能使用缺省級別等于/低于用戶級別的命令行HWTACACS 的基本消息交互流程下面以Telnet用戶為例，說明使用HWTACACS對用戶進行認證、授權和計費的過程。基本消息交互流程圖如 HYPERLINK l _bookmark7 圖 6所示。圖 6 Telnet 用戶認證、授權和計費流程圖用戶登錄認證開始報文認證回應報文，請求用戶名向用戶申請用戶名用戶輸入用戶名認證持續(xù)報文，向服務器端發(fā)用戶名認證回應報文，請求密碼向用戶申請密碼用戶輸入密碼認證持續(xù)報文

29、，向服務器端發(fā)密碼認證回應報文，認證通過授權請求報文授權回應報文，授權通過用戶登錄成功計費開始報文計費開始報文回應用戶退出計費結束報文計費結束報文回應HostHWTACACS clientHWTACACS server在整個過程中的基本消息交互流程如下：Telnet 用戶請求登錄設備。HWTACACS 客戶端收到請求之后，向 HWTACACS 服務器發(fā)送認證開始報文。HWTACACS 服務器發(fā)送認證回應報文，請求用戶名。HWTACACS 客戶端收到回應報文后，向用戶詢問用戶名。用戶輸入用戶名。HWTACACS 客戶端收到用戶名后，向 HWTACACS 服務器發(fā)送認證持續(xù)報文，其中包括了用戶名。

30、HWTACACS 服務器發(fā)送認證回應報文，請求登錄密碼。HWTACACS 客戶端收到回應報文，向用戶詢問登錄密碼。用戶輸入密碼。HWTACACS 客戶端收到登錄密碼后，向 HWTACACS 服務器發(fā)送認證持續(xù)報文，其中包括了登錄密碼。HWTACACS 服務器發(fā)送認證回應報文，指示用戶通過認證。HWTACACS 客戶端向 HWTACACS 服務器發(fā)送授權請求報文。HWTACACS 服務器發(fā)送授權回應報文，指示用戶通過授權。HWTACACS 客戶端收到授權回應成功報文，向用戶輸出設備的配置界面。HWTACACS 客戶端向 HWTACACS 服務器發(fā)送計費開始報文。HWTACACS 服務器發(fā)送計費回

31、應報文，指示計費開始報文已經(jīng)收到。用戶請求斷開連接。HWTACACS 客戶端向 HWTACACS 服務器發(fā)送計費結束報文。HWTACACS 服務器發(fā)送計費結束報文，指示計費結束報文已經(jīng)收到。LDAP 協(xié)議簡介LDAP（Lightweight Directory Access Protocol，輕量級目錄訪問協(xié)議）是一種基于 TCP/IP 的目錄訪問協(xié)議，用于提供跨平臺的、基于標準的目錄服務。它是在繼承了 X.500 協(xié)議優(yōu)點的基礎上發(fā)展起來的，并對 X.500 在讀取、瀏覽和查詢操作方面進行了改進，適合于存儲那些不經(jīng)常改變的數(shù)據(jù)。LDAP 協(xié)議的典型應用是用來保存系統(tǒng)的用戶信息，如 Micro

32、soft 的 Windows 操作系統(tǒng)就使用了Activey Directory Server 來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄 Windows 時的認證和授權。LDAP 目錄服務在 LDAP 中，目錄代表了系統(tǒng)中的組織信息、人員信息以及資源信息，它是按照樹型結構組織，由條目（Entry）組成的。條目是具有 DN（Distinguished Name，可區(qū)別名）的屬性（Attribute）集合。LDAP 的目錄服務功能建立在 Client/Server 的基礎之上，所有的目錄信息存儲在 LDAP 服務器上。LDAP 服務器就是一系列實現(xiàn)目錄協(xié)議并管理存儲目錄數(shù)據(jù)的數(shù)據(jù)庫程序。目

33、前，Microsoft 的Active Directory Server、IBM 的 Tivoli Directory Server 和 Sun 的 Sun ONE Directory Server 都是常用的LDAP 服務器軟件。使用 LDAP 協(xié)議進行認證和授權LDAP 協(xié)議中定義了多種操作來實現(xiàn) LDAP 的各種功能，用于認證和授權的操作主要為綁定和查詢。綁定操作的作用有兩個：一是用于檢查用戶信息的合法性。如果綁定請求中的用戶 DN 在服務器指定根目錄下不存在或用戶 DN 密碼不正確，則綁定失敗，用戶不能訪問 LDAP 服務器； 二是獲取 LDAP 服務器的訪問權限。如果要對服務器指定目

34、錄下的信息進行查詢操作，進行綁定的用戶一定要有查詢該目錄的權限。查詢操作就是構造查詢條件，并獲取 LDAP 服務器的目錄資源信息的過程。例如，獲取通用名 CN（Common Name）為 user-name 的用戶的 DN。使用 LDAP 協(xié)議進行認證時，其基本的工作流程如下：LDAP 客戶端使用具有足夠目錄資源訪問權限的用戶 DN（一般使用 LDAP 服務器管理員 DN） 與 LDAP 服務器進行綁定，獲得查詢權限。LDAP 客戶端使用認證信息中的用戶名構造查詢條件，在 LDAP 服務器指定根目錄下查詢此用戶，得到用戶的 DN。最后，LDAP 客戶端使用用戶 DN 和用戶密碼與 LDAP 服

35、務器進行綁定，檢查用戶密碼是否正確。使用 LDAP 協(xié)議進行授權時，操作與認證過程相似，只是在查詢用戶時，除獲得用戶 DN 外，還可以獲得用戶信息中的授權信息。如果只需要查詢用戶時獲得的授權信息，則可不再進行后面的操作， 如果還需要其它授權信息可以在獲得相應查詢權限后，繼續(xù)再對其它授權信息進行查詢。LDAP 的基本消息交互流程下面以Telnet用戶登錄設備為例，說明如何使用LDAP來對用戶進行的認證和授權。基本消息交互流程如 HYPERLINK l _bookmark9 圖 7所示。圖 7 LDAP 認證的基本消息交互流程在整個過程中的基本消息交互流程如下：用戶發(fā)起連接請求，向 LDAP 客戶

36、端發(fā)送用戶名和密碼。LDAP 客戶端收到請求之后，與 LDAP 服務器建立 TCP 連接。LDAP 客戶端以管理員 DN 和管理員 DN 密碼為參數(shù)向 LDAP 服務器發(fā)送管理員綁定請求報文（Administrator Bind Request）獲得查詢權限。LDAP 服務器進行綁定請求報文的處理。如果綁定成功，則向 LDAP 客戶端發(fā)送綁定成功的回應報文。LDAP 客戶端以輸入的用戶名為參數(shù)，向 LDAP 服務器發(fā)送用戶 DN 查詢請求報文（User DN Search Request）。LDAP 服務器收到查詢請求報文后，根據(jù)報文中的查詢起始地址、查詢范圍、以及過濾條件， 對用戶 DN 進

37、行查找。如果查詢成功，則向 LDAP 客戶端發(fā)送查詢成功的回應報文。查詢得到的用戶 DN 可以是一或多個。LDAP 客戶端以查詢得到的用戶 DN 和用戶輸入的密碼為參數(shù)，向 LDAP 服務器發(fā)送用戶 DN綁定請求報文（User DN Bind Request），檢查用戶密碼是否正確。LDAP 服務器進行綁定請求報文的處理。如果綁定成功，則向 LDAP 客戶端發(fā)送綁定成功的回應報文。如果綁定失敗，則向 LDAP 客戶端發(fā)送綁定失敗的回應報文。LDAP 客戶端以下一個查詢到的用戶 DN（如果存在的話）為參數(shù)，繼續(xù)向服務器發(fā)送綁定請求，直至有一個 DN 綁定成功， 或者所有 DN 均綁定失敗。如果所

38、有用戶 DN 都綁定失敗，則 LDAP 客戶端通知用戶登錄失敗并拒絕用戶接入。LDAP 客戶端與 LDAP 服務器進行授權報文的交互。如果需要使用其它方案（如 HWTACACS等）繼續(xù)進行授權，則與對應服務器進行授權報文的交互。授權成功之后，LDAP 客戶端通知用戶登錄成功。基于域的用戶管理一個 ISP（Internet Service Provider，Internet 服務提供者）域是由屬于同一個 ISP 的用戶構成的群體。NAS設備對用戶的管理是基于ISP域的，每個接入用戶都屬于一個ISP域。用戶所屬的ISP域是由用戶登錄時提供的用戶名決定的，如 HYPERLINK l _bookmar

39、k10 圖 8所示。圖 8 用戶名決定域名用戶的認證、授權、計費都是在相應的 ISP 域視圖下應用預先配置的認證、授權、計費方案來實現(xiàn)的。AAA 有缺省的認證、授權、計費方案，分別為本地認證、本地授權、本地計費。如果用戶所屬的 ISP 域下未應用任何認證、授權、計費方案，系統(tǒng)將使用缺省的認證、授權、計費方案。為便于對不同接入方式的用戶進行區(qū)分管理，AAA 將用戶劃分為以下幾個類型：lan-access 用戶：LAN 接入用戶，如 802.1X 認證、MAC 地址認證用戶。login 用戶：登錄設備用戶，如 SSH、Telnet、Web、FTP、終端接入用戶。Portal 接入用戶。PPP 接入用戶。VoIP 接入用戶。SSL VPN 接入用戶。WAPI 接入用戶。用戶登錄設備后，AAA 還可以對其提供以下服務，用于提高用戶登錄后對設備操作的安全性：命令行授權：用戶執(zhí)行的每一條命令都需要接受授權服務器的檢查，只有授權成功的命令才被允許執(zhí)行