安全与VPN-用户级别切换认证技术白皮书-D

1、，安全与VPN用户级别切换认证技术白皮书用户级别切换认证技术白皮书杭州华三通信技术有限公司第 PAGE 2页，共8页 HYPERLINK / 用户级别切换认证技术白皮书关键词：级别切换认证，RADIUS，HWTACACS缩略语英文全名中文解释AAAAuthentication, Authorization, Accounting认证、授权、计费RADIUSRemote Authentication Dial-In User Service远程认证拨号用户服务HWTACACSHW Terminal Access Controller Access Control SystemHW 终端访问控制器

2、控制系统协议摘要：本文主要介绍用户级别切换认证的产生背景、认证机制及其典型组网应用。缩略语：目 录 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 产生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技术优点 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 技术实现 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 概念介绍 HYPERLINK l

3、_bookmark1 4 HYPERLINK l _bookmark1 用户登录认证方式 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 Super认证方式 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 三种Super认证机制 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 本地Super认证 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 通过RADIUS进行远程Super认证 HYPERLINK l

4、 _bookmark2 5 HYPERLINK l _bookmark3 通过HWTACACS进行远程Super认证 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 Super认证的使用 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 典型组网应用 HYPERLINK l _bookmark4 7用户级别切换认证技术白皮书杭州华三通信技术有限公司第 PAGE 9页, 共8页 HYPERLINK / 概述产生背景为了限制不同用户对设备的访问权限，系统对用户进行了分级管理。用户的级别与命令级别对应，不同

5、级别的用户登录设备后，只能使用等于或低于自己级别的命令。但在有些情况下，用户需要在不退出当前登录、不断开当前连接的前提下，修改自身的用户级别。例如，管理员通常以较低级别的用户身份登录设备、查看设备运行状态，当需要进行配置、维护类操作时，就希望临时切换到较高的级别。用户级别切换功能就可以满足以上需求，该功能允许登录设备的用户通过执行 super 命令从当前的级别切换到指定的级别。级别切换后用户不需要重新登录，可以继续配置设备，只是可以执行的命令会不一样。且切换后的级别是临时的，只对当前登录生效，用户重新登录后，又会恢复到原有级别。当使用 super 命令从高级别往低级别或相同级别间切换时，由于用

6、户的访问权限并未增加，因此切换行为不需要通过任何认证；而从低级别往高级别切换时，相当于用户请求增加访问权限，因此系统需要对这种级别提升行为进行认证，只有认证通过，才赋予该用户新的访问权限。目前，设备上支持两种基本的级别切换认证方案：本地级别切换认证远程 AAA 级别切换认证此外，为增加配置的灵活性，设备还提供了以下两种组合认证方案：远程 AAA 级别切换认证无响应的情况下转本地级别切换认证本地级别切换密码没有设置时转远程 AAA 级别切换认证本地级别切换认证本地级别切换是指使用一个本地配置的密码对级别切换行为进行认证。对于要切换到某一个级别的行为，所有用户均使用同一个密码。如下所示，任何登录到

7、设备上的用户，要切换到 3 级别时，只需要正确输入一个该设备上预先设置的本地级别切换密码就可以。 super 3Password: 此处输入本地级别切换密码User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE远程 AAA 级别切换认证远程 AAA 级别切换认证是指使用远程 AAA 服务器（RADIUS 服务器或 HWTACACS 服务器）

8、对级别切换行为进行认证。例如，某网络管理部门的所有维护人员均使用 RADIUS 认证登录设备， 且登录后的访问级别为 0 级（visit 级别），所有人员都可以执行一些具备网络诊断功能的基本操作（例如 ping），但只有该部门的管理员可以利用 super 命令提升自身的用户级别。管理员利用super 命令改变自身级别时，可以通过 RADIUS 进行级别切换认证，认证通过后，才能将自身的用户级别提升至更高级别（13）。如下所示，要切换到 3 级别时，需要正确输入用户名和对应的级别切换密码。 super 3 Username:oliveabcPassword: 此处输入对应的级别切换密码User

9、privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE技术优点本地级别切换认证方式具有配置简单、易用的优点，但在也存在以下问题：无法对级别切换的操作者进行身份区分，任何拥有本地切换密码的用户都可以使用相同的切换密码来提升自身的级别。本地密码在存储及管理方面都有一定的局限性，且容易产生安全隐患。相比较而言，远程 AAA 级别切换认证需要部署相应的 AA

10、A 服务器来配合，用户信息的管理与维护上比本地级别切换稍显复杂，但它具有如下优点：可提升用户级别切换的安全性通过使用远程 AAA 级别切换认证提升了级别切换的安全性。用户进行级别切换操作时使用相应的级别切换用户名和密码在远程 AAA（RADIUS 或 HWTACACS）服务器上进行身份认证，不同的用户可拥有不同的级别切换权限。可提高设备管理的灵活性通过与本地级别切换认证组合使用，增强了认证的可靠性，提高了设备管理的灵活性。技术实现下文描述遵从以下约定：使用“Super 认证”简化指代“用户级别切换认证”黑体表示的关键字（例如 scheme）仅与当前版本设备上的相应命令行对应概念介绍用户登录认证

11、方式Super 认证的认证过程与用户登录设备的认证方式有密切的联系，会因为不同的用户登录方式而存在配置和使用方面的一些差异。为了更好得理解和使用 Super 认证，我们首先对用户的登录认证方式进行一下简单了解。表1 用户登录的认证方式登录认证方式涵义none用户登录用户界面时不需要进行认证password用户登录用户界面时需要进行密码认证scheme用户登录用户界面时需要进行用户名和密码认证Super 认证方式目前，设备上支持如下四种 Super 认证方式：本地 Super 认证通过 HWTACACS/ RADIUS 进行远程 Super 认证远程 Super 认证无响应后转本地 Super

12、认证本地级别切换密码未设置后转远程 Super 认证 HYPERLINK l _bookmark2 表 2是当前设备上支持的Super认证方式的汇总及各认证方式的简单说明。表2 Super 认证方式汇总表Super 认证方式涵义说明local本地 Super 认证设备验证用户输入的级别切换密码（与设备上配置的本地级别切换密码比较）scheme通过 HWTACACS/ RADIUS 进行远程Super 认证设备将级别切换用户名和密码发送给远程HWTACACS/ RADIUS 服务器进行认证scheme local远程 Super 认证无响应后转本地Super 认证远程 HWTACACS/ RAD

13、IUS 服务器无响应或AAA 配置无效时，设备转为进行本地Super 认证local scheme本地级别切换密码未设置后转远程Super 认证若设备上没有设置本地级别切换密码，则除使用 Console 用户界面登录的用户可直接切换级别外，其它用户（使用 AUX、TTY 或VTY 用户界面登录的用户）则转为进行远程Super 认证三种 Super 认证机制本地 Super 认证如果设备上设置了对应的本地级别切换密码，则系统提示用户输入该密码，并把用户输入的密码和对应的本地级别切换密码进行比较，如果一致则提示用户认证成功，如果认证尝试次数达到 3 次则提示用户认证失败，否则提示用户重新输入本地级

14、别密码。通过 RADIUS 进行远程 Super 认证如果用户登录时曾经输入过用户名，则使用登录时所用的用户名做 Super 认证，直接提示用户输入密码；否则先提示用户输入用户名，然后提示用户输入密码。由于 RADIUS 协议无法区分用户所申请的权限级别，所以使用 RADIUS 进行 Super 认证时无论用户输入的用户名（或用户登录名）是什么，设备都会根据用户申请的权限级别使用固定用户名“$enab+level”构造认证请求报文进行认证，其中 level 为用户申请的权限级别（03）。例如用户要申请切换到级别 3，则设备将使用“$enab3”作为用户名向 RADIUS 服务器发起认证。（若配

15、置要求用户名中携带域名，则为$enab3domain，domain 为用户的认证域）。因此，相应的 RADIUS 服务器上就需要添加用户名为“$enab3”的用户。RADIUS 服务器接收到认证请求报文后，就对级别切换用户名和密码进行认证。如果认证成功， RADIUS 服务器返回认证成功消息；如果认证失败，则返回认证失败消息。如果认证尝试次数达到 3 次，则提示用户认证失败，否则提示用户重新输入级别切换用户名和密码。通过 HWTACACS 进行远程 Super 认证如果用户登录时曾经输入过用户名，则使用登录时所用的用户名做 Super 认证，直接提示用户输入密码；否则先提示用户输入用户名，然后

16、提示用户输入密码。HWTACACS 协议支持用户申请权限级别，使用 HWTACACS 进行 Super 认证时，设备使用用户输入的用户名（或用户登录名）和密码发起认证。HWTACACS 服务器接收到认证请求报文后，就对级别切换用户名和密码进行认证。如果认证成功，HWTACACS 服务器返回认证成功消息；如果认证失败，则返回认证失败消息。如果认证尝试次数达到 3 次则提示用户认证失败，否则提示用户重新输入级别切换用户名和密码。Super 认证的使用前面已经介绍了三种用户登录认证方式及四种Super认证方式，下面对两者组合使用的情况下，用户进行级别切换操作时的输入情况进行汇总，具体如 HYPERL

17、INK l _bookmark3 表 3所示。需要说明的是：表中第三列为用户在第一种 Super 认证方式下进行级别切换操作时的输入信息。表中第四列为用户在第一种 Super 认证方式未生效的情况下，转换到第二种 Super 认证方式时的输入信息。未配置切换方案的情况下，无第四列内容，以“-”表示。表3 不同 Super 认证方式下的用户输入信息描述表用户登录认证方式Super 认证方式Super 认证输入Super 认证方式切换后Super 认证输入none/passwordlocal本地级别切换密码（设备上设置）-local scheme本地级别切换密码级别切换用户名和密码（AAA 服务器

18、上设置）scheme级别切换用户名和密码-scheme local级别切换用户名和密码本地级别切换密码用户登录认证方式Super 认证方式Super 认证输入Super 认证方式切换后Super 认证输入schemelocal本地级别切换密码-local scheme本地级别切换密码级别切换密码（AAA 服务器上设置），系统使用登录用户名作为级别切换用户名scheme级别切换密码（AAA 服务器上设置），系统使用登录用户名作为级别切换用户名-scheme local级别切换密码（AAA 服务器上设置），系统使用登录用户名作为级别切换用户名本地级别切换密码典型组网应用组网需求对登录 Device

19、 的 Telnet 用户进行用户级别切换认证。RADIUS server/24Telnet user8/24Eth1/1 0/24Eth1/2 /24DeviceInternet具体要求：用户名为 testbbb 的 Telnet 用户登录 Device 的认证方式为本地认证，登录后所能访问的命令级别为 0 级。该 Telnet 用户要将用户级别提升为 3 时，首先需要通过 RADIUS 服务器进行远程 Super 认证，若 AAA 配置无效或者 RADIUS 服务器没有响应则转为本地 Super 认证。登录及级别切换过程Telnet 用户建立与 Device 的连接在 Telnet 客户端按

20、照提示输入用户名 testbbb 及对应的密码，即可进入 Router 的用户界面，且只能访问级别为 0 级的命令。 telnet 0Trying 0 .Press CTRL+K to abort Connected to 0 .*Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed. *Login authe

21、nticationUsername:testbbb Password: ?User view commands:clusterRun cluster commanddisplayDisplay current system information pingPing functionquitExit from current command viewssh2Establish a secure shell client connection superSet the current user priority leveltelnetEstablish one TELNET connection tracertTrace route function切换用户级别# 在当前的用户界面下执行切换用户级别到 3 级的命令，按照提示输入 RADIUS 级别切换认证密码 pass3，若认证成功即可将当前 Telnet 用户的级别切换到 3 级。 super 3P