Introducción a la gestión de usuarios basada en dominio aplicado en routers. Destacado

Última respuesta en. 20, 2020 12:14:49 75 1 2 0

Un Network Acccess Server (NAS) realiza una gestión de usuarios basada en el dominio. Un dominio es un grupo de usuarios y cada usuario pertenece a un dominio. Un usuario usa solo información de configuración AAA en el dominio al que pertenece el usuario.

 

Como se muestra en la Figura 1, el dominio administra la información de configuración, incluido el esquema AAA, la plantilla del servidor y la información de autorización de manera unificada.



Esquema AAA: se divide en esquemas de autenticación, autorización y accounting que se utilizan para definir los métodos de autenticación, autorización y accounting y el orden en que los métodos surten efecto. Para obtener detalles sobre el esquema AAA, consulte Esquema AAA.

 

Plantilla de servidor: se utiliza para configurar un servidor para autenticación, autorización y accounting. Cuando un servidor está configurado para autorización, puede obtener la información de autorización del servidor y dominio. Para más detalles, vea la Figura 2.

 

Si se utiliza la autenticación o autorización local, debe configurar la información relacionada con el usuario local.

 

Información de autorización en el dominio: se puede configurar en un dominio.

 

Figura 1 Información de configuración AAA en un dominio

1


La información de autorización puede ser entregada por un (servidor) configurada en un dominio. Si un usuario obtiene información de autorización entregada por un servidor o en un dominio depende del método de autorización configurado en el esquema de autorización. Para más detalles, vea la Figura 2.

 

Si se utiliza la autorización local, el usuario obtiene información de autorización del dominio.


Si se utiliza la autorización basada en el servidor, el usuario obtiene información de autorización del servidor o dominio. La información de autorización configurada en un dominio tiene menor prioridad que la que entrega un servidor. Si los dos tipos de información de autorización entran en conflicto, la información de autorización entregada por el servidor entra en vigencia. Si no se produce ningún conflicto, los dos tipos de información de autorización entran en vigencia simultáneamente. De esta manera, puede aumentar la autorización de manera flexible mediante la administración del dominio, independientemente de los atributos de autorización proporcionados por el servidor AAA.


Figura 2 Dos tipos de información de autorización

 

2


Dominio al que pertenece un usuario

Como se muestra en la Figura 3, el dominio al que pertenece un usuario está determinado por el nombre de usuario para iniciar sesión en el NAS. Si el nombre de usuario no contiene el nombre de dominio o el nombre de dominio contenido en el nombre de usuario no está configurado en el NAS, el NAS no puede determinar el dominio al que pertenece el usuario. En este caso, el NAS agrega al usuario al dominio predeterminado según el tipo de usuario.

 

Figura 3 Determinación de dominios basados en nombres de usuario

3


Como se muestra en la Tabla 1, AAA divide a los usuarios en administradores y usuarios de acceso para proporcionar servicios de autenticación, autorización y accounting más refinados y diferenciados. Un NAS tiene dos dominios predeterminados globales, a saber, el dominio global administrativo predeterminado default_admin y el dominio global común predeterminado default. Los dos dominios se utilizan como dominios predeterminados globales para administradores y usuarios de acceso, respectivamente. Las configuraciones predeterminadas en los dos dominios son diferentes.

4


Tabla 1 Dominio predeterminado global

5


El dominio global predeterminado se puede personalizar según los requisitos reales. El dominio global predeterminado personalizado puede ser el dominio común predeterminado global y el dominio de administración predeterminado global al mismo tiempo.

 

Puede ejecutar el comando display aaa configuration para verificar el dominio global común predeterminado actual y el dominio global de administración predeterminado en el NAS. La salida del comando es la siguiente:


6


Para algunos modos de acceso, puede especificar el dominio al que pertenece un usuario utilizando el comando proporcionado en el perfil de autenticación correspondiente para cumplir con los requisitos de la política de administración de autenticación de usuario. Por ejemplo, puede configurar un dominio predeterminado y un dominio forzado para usuarios de acceso NAC en el NAS en función del perfil de autenticación y especificar el tipo de usuario (802.1X, dirección MAC o usuario autenticado del Portal), logrando una configuración flexible. El dominio forzado, el dominio predeterminado y el dominio incluido en el nombre de usuario se enumeran en orden descendente de prioridad.


Dominio forzado con un método de autenticación especificado en el perfil de autenticación> Dominio forzado en el perfil de autenticación> Dominio transportado en el nombre de usuario> Dominio predeterminado con un método de autenticación especificado en el perfil de autenticación> Dominio predeterminado en el perfil de autenticación> Dominio predeterminado global. Tenga en cuenta que un dominio forzado especificado para usuarios autenticados de dirección MAC dentro de un rango de direcciones MAC tiene la más alta prioridad y tiene prioridad sobre el configurado en un perfil de autenticación.

 

Formato de nombres de usuario enviados por un NAS al servidor RADIUS

6


Un NAS puede determinar si un nombre de usuario enviado al servidor RADIUS contiene el nombre de dominio basado en los requisitos del servidor RADIUS. De manera predeterminada, un NAS envía directamente el nombre de usuario original ingresado por el usuario al servidor RADIUS sin cambiarlo.

 

Puede configurar el formato de los nombres de usuario enviados por un NAS al servidor RADIUS utilizando los comandos de la Tabla 2.

 

Los siguientes comandos modifican solo el formato del nombre de usuario en los paquetes RADIUS enviados al servidor RADIUS y no modifican el formato del nombre de usuario en los paquetes EAP. Durante la autenticación 802.1X, el servidor RADIUS verifica si el nombre de usuario incluido en los paquetes EAP es el mismo que el del servidor RADIUS. Por lo tanto, no puede modificar el nombre de usuario original usando el comando radius-server user-name domain-included o undo radius-server-name-domain-included durante la autenticación 802.1X; de lo contrario, la autenticación puede fallar.


Tabla 2 Configuración del formato de los nombres de usuario enviados por un NAS al servidor RADIUS

7


Gracias por acompañarnos.

 

Saludos.

 

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

user_153387
Publicado hace 4 días Útil(0) Útil(0)
Saludos, muy bien, gracias
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20work%20in%20the%20telecommunications%20company%20of%20Cuba%2C%20ETECSA.%20I%20am%2035%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión