隨著信息化辦公與無紙化辦公的日益普及,企業對于信息化管理軟件的要求也越來越高,
AAA本地數據庫與遠程數據庫差異分析
。現在那些出差在外的銷售員、休假的管理人員,甚至是千里之外的辦事處,都需要遠程接入到企業內部網絡上,訪問本部的網絡資源。但是,由于現在的大多數遠程訪問連接都是建立在異步線路上,所以,遠程訪問連接容易受到安全攻擊。為此,網絡管理員要提供一些安全措施來提高遠程訪問連接的安全性。而AAA服務(即鑒別、授權、記帳)則是一種很好的解決方案。思科在這個協議的基礎上,結合自己的產品,提供了一個安全服務器軟件產品,即Cisco安全訪問控制器。 無論是其他公司的AAA安全服務,還是Cisco的安全訪問控制期,都有本地數據庫與遠程數據庫的區分。這個數據庫就是用來存儲AAA安全服務器的訪問控制信息。根據這個存儲位置的不同,就可以分為本地安全數據庫與遠程安全數據庫。作為一個網絡管理人員,需要知道這兩種方式的區別與特點,并結合自己公司的實際情況,來選擇一種合適的處理方式。一、本地數據庫的特點
在應用AAA安全服務器時,如果把用戶名和口令信息存儲在網絡接入服務器本身,這就是本地安全數據庫模式,也被稱為本地鑒別。在本地鑒別模式下,網絡管理員需要把每個遠程訪問用戶的用戶名與口令文件都加載到網絡接入設備的本地安全數據庫中。如果網絡管理員采用了這個本地安全數據庫模式,則AAA安全服務主要有五個步驟。
一是當用戶需要遠程訪問企業內部網絡資源時,他們就會發起一個遠程訪問的請求。此時,用戶所采用的客戶機會撥號到企業的網絡接入服務器,建立一個PPP會話(點到點會話)。
二是進行身份認證。建立起會話之后,在用戶的客戶機上,會提示遠程用戶輸入用戶名與密碼。而網絡接入服務器接受到遠程用戶傳遞過來的用戶名與口令之后,就會利用本地數據庫中存儲的信息去驗證這個用戶名與口令,是否匹配。若匹配的話,則進行下一個步驟,否則的話,就會直接終止當前會話或者提示用戶重新輸入密碼。這就完成了AAA服務的第一個步驟:鑒別。
三是進行授權。當用戶名與密碼驗證服務之后,網絡接入服務器就會在本地數據庫中,查找這個用戶所對應的訪問權限。找到相應的鑒別參數之后,網絡接入服務器就會對這個用戶進行授權,讓其能夠訪問網絡中的某些資源。這就是AAA服務的第二個步驟:授權。
四是對訪問過程進行監視并且如實的做好記錄。網絡接入服務器會對用戶訪問內部網絡資源的行為進行監視,監控用戶的通信流量與操作行為并且記錄到相關的日志中,
電腦資料
《AAA本地數據庫與遠程數據庫差異分析》(http://salifelink.com)。這具體要不要監控,如何監控等等,都需要網絡管理員進行事先的配置。當對賬戶進行授權時,網絡接入服務器會從本地數據庫中查找相關的安全策略并進行配置。以上就是本地安全數據庫模式基本步驟。從以上的分析中,可以得知這種模式下,具有如下幾個特點。
一是它只適合于小型網絡。或者說,只有當少數用戶需要遠程訪問時,才能夠采用本地數據庫模式。如果遠程訪問主要用戶總公司與分公司之間的連接,那么采用本地鑒別策略并不是很合理。切記,只有在少量遠程用戶的情況下,采用這種本地安全服務器模式才可以起到其應有的作用。
二是所有AAA服務所需要用到的安全信息,如用戶名、密碼以及安全策略等等,都被保存在網絡接入服務器的本地安全數據庫中。網絡接入服務器根據本地安全數據庫中的信息,對遠程用戶進行鑒別與授權。同時,也會根據本地數據庫中的安全策略,監控用戶的操作行為并編制記賬記錄。所以,通過使用本地安全數據庫來控制少量用戶進行遠程訪問的安全策略,具有容易實現、安全和維護方便、成本低廉等特點。
二、遠程數據庫策略模式
遠程安全數據庫位于網絡中的一個特殊的安全服務器。在這個遠程安全數據庫中,存儲了每個接入服務器的用戶名、口令、安全策略等等。也就是說,遠程數據庫是跟接入服務器相獨立的。遠程安全數據庫主要為網絡管理員提供了一個集中管理安全策略的平臺。如此的話,當網絡管理員需要更改某個安全策略或者增加某個遠程訪問用戶時,不需要更新每個接入服務器的配置,而只需要在遠程安全數據庫中進行相應更改即可。
若采用遠程數據庫模式,則其基本步驟如下。
一是遠程用戶要發起一個遠程連接的請求,然后客戶端就會跟網絡接入服務器之間建立起一個PPP通話。這個步驟跟本地鑒別模式下是相同的。
二是進行身份驗證。當用戶在遠程客戶端輸入用戶名與密碼后,網絡接入服務器就會接受到這些內容。但是,網絡接入服務器自己并不驗證這個用戶名與密碼的合法性,而是把它轉發給專門的安全服務器(遠程安全數據庫),讓他來驗證這個用戶的合法性。驗證通過后,遠程安全數據庫會把這個用戶相關的安全策略與訪問權限轉發給網絡接入服務器。然后,網絡接入服務器就會根據這些參數來配置這個用戶的訪問權限,并進行一些訪問監督與控制。這里要注意,收集用戶的操作信息并編制相關的日志,這是網絡接入服務器所負責的。當網絡接入服務器收集好這些信息后,會轉發給安全服務期上的遠程數據庫中。所以,網絡管理員想要知道到底用戶訪問了什么內容,進行了哪些修改,則可以通過遠程安全數據庫進行查詢,而不需要進入每個網絡接入服務器。