AAA

Authentication Authorization Accounting 서비스

 

AAA서비스는 인증, 권한, 과금의 3가지 기능을 합쳐놓은 서비스 입니다.

인증과 권한은 장비 로컬에서 인증과 권한을 관리하는 대신

AAA서버를 통해 중앙에서 관리하는 방식입니다.

많은 장비를 관리할 때 사용자 인증 및 권한 관리에 유리합니다.

 

AAA서비스에 사용되는 프로토콜로는 RADIUS와 TACACS+가 있습니다.

 

일반적으로 RADIUS는 사용자 인증에 사용을 하고,

TACACS+는 사용자별 사용가능한 명령을 제한하는데 주로 사용합니다.

RADIUS는 표준 프로토콜이고, TACACS+는 시스코에서 만든 프로토콜이나

현재는 TACACS+도 표준처럼 사용되고 있습니다.

 

시스코 장비에서는 장비에 원격 접속시 기본 설정으로 AAA를 통한 인증을 시도합니다.

콘솔(Console)접속의 경우 만일 AAA서버와 통신 불가시 AAA인증으로만 설정을 하면

로그인이 불가능한 상태가 되므로 local 정보를 이용해서 로그인이 가능하도록 구성합니다.

 

 

 

RADIUS 서버를 통한 시스코 장비 접속 인증 설정

conf t

aaa new-model

 

# aaa authentication login [default|WORD] group radius [local|none]

aaa authentication login default group radius

# 모든 경우에 radius를 사용하고, 서버 접속이 안될경우 사용 불가

aaa authentication login con-auth group radius local

# radius 서버로 로그인되지 않을경우 local인증을 사용하도록 콘솔에만 적용

 

radius-server host x.x.x.x key 패스워드

 

line vty 0 4

login authentication default

 

line console 0

login authentication con-auth

 

AAA의 Accounting서비스는 과금 또는 감사 기능으로써

사용자의 행위를 기록하거나 사용자가 외부와의 통신에

사용한 데이터를 확인하는 용도로 사용합니다.