الثلاثاء، 3 مارس 2015

فكرة AAA Server

 
AAA هي اختصار لــ Authentication / Authorization / Accounting .
في مجال السيكيورتي ، التحقق ، وتحديد الصلاحيات ، من العناصر المهمة في هذا العالم .
لنأخذ مثال . في Windows Server وتحديدا في ال Active directory , يمكننا تحديد المهام والتحقق من قبلها . حيث يمكن القيام لذالك من خلال ادخال اسم المستخدم مع كلمه السر ليتم التحقق ان هذا اليوزر موجود في قاعدة البيانات AD . العملية الثانية هو تحديد الصلاحيات لهذا المستخدم ، ماذا يستطيع ان يفعل ، يمسح ، يضاف ، يغير .
التسائل كيف يتم تطبيق هذة الأمور مع السيسكو روتر او الجدار الناري او اي جهاز ؟
لدينا مستخدم مع كلمه السر الخاص بالدخول بروتر معين الخاص بي ال Telnet وربما ال SSH ، لان أين يتم التحقق من وجود هذا المستخدم ؟ مع Windows Server يتم التحقق من خلال ال AD .
ولكن الان في الروتر أين يتم التحقق ؟ يتم داخل الروتر !! ماهي المشاكل اذا تم ااتحقق داخل الروتر ؟
  الكثير من المشاكل أتذكرها سريعا
1.  التحقق داخل الروتر معرض للاختراق،
2.  كذالك إمكانيات تحديد الصلاحيات من داخل الروتر متعبة جداً ،
3.  المشكلة الأكبر في نظري هو عدم وجود التوحد في عمليات التحقق وتحديد الصلاحيات ، بمعنى لو كان عندي 10 روترات هذا يعني اننا لدينا 10 قواعد بينات نتعامل معها ، فلو أردنا اضافة مستخدم للروتر الخامس و التاسع ، علينا ان نذهب لهذة الروترات ونضيف هذا المستخدم . وإذا أردنا ان نعطي لهذا المستخدم صلاحيات ال Show / Ping  مثلا فعلينا ان نذهب لهذة الروترات وتضيفها كذالك . ماذا لو كان اكثر من مستخدم !! عمل مرهق جداً ! ماهو الحل ؟؟
هنا يأتي دور السيرفر ال AAA وهو عبارة عن برنامج يتم تنصيبة على الوندوز سيرفر ، وهناك اجهزة تقوم بنفس العمل ، سيسكو تقدم البرنامج الرائع ACS .
بعد عملية التنصيب ، نبدء بربط الروترات بهذا السيرفر وستكول الروترات عبارة عن Clients تضاف الى السيرفر .
مثلا لو جاء مستخدم يريد الاتصال بروتر ما ، سيقوم بإدخال المستخدم مع كلمه السر . الروتر سيستلم هذة المعلومات ، ويرسلها بدورة الى سيرفر ال AAA  الذي سيتحقق من صحة المعلومات . اذا كانت متوفرة سيسمح لهذا اليوزر بالوصول الى الروتر ولكن ضمن صلاحيات محدد مسبقا من قبل نفس الروتر .
البروتكولات التي تنفذ هذا السيناريوا هي RADIUS / TACACS+ / Kerberos سنتكلم عن الفروق بين هذة البروتكولات لاحقا .
لكن ماذا يحصل عندما يسقط سيرفر ال AAA اي يتوقف عن العمل ؟ في هذا الوقت ممكن الاستعانة بقاعدة البيانات في الروتر و الرجوع لها عند سقوط السيرفر .
سوف اذكر الاوامر التي نحتاجها لتعريف الروترات على السيرفر :
المثال يتكون من الآتي :
R1---->Switch---->AAA Server & Admin PC
R1
----
Config)‪#‎AAA‬ new-mode
وفي هذا الامر يتم تفعيل عملية التحقق خارجية كانت ام داخلية 
Config)#AAA Authentication login default group TACACS +/ Radius local
وهنا يتم تحديد مكان التحقق وسوف يكون في قائمة الديفولت الخاصة بي ال Radius. لاحظ كلمة ال LOCAL في نهاية الامر. فائدتها عند فشل سيرفر ال AAA يجب الرجوع الى ال LOCAL Data Base لغرض التحقق و الأداء ، وسيكون عمل ذالك من خلال  المستخدم Admin في الامر الرابع .
Config)#AAA Authorization exec default group TACACS+ / Radius local
تحديد الصلاحيات وكذالك في ال Radius .
Config)‪#‎Username‬ Admin Privilege 15 Password CCNP1234
Config)‪#‎Radius‬-server host 10.1.1.100 key CCIE1234
تحديد عنوان السيرفر مع الباسورد او Pre Shear Key بين الروتر و السيرفر يجب ان تكون متشابة في الطرفين .
وهذا فيديوا يوضح الفكره للمهندس ضاري خالد



مدونه Network Information أنشأت في سنة 2013 من أجل جمع كل شيئ عن الشبكات وكل ما يتعلق بها في مدونه عربيه واحده


اشترك معنا عبر البريد الإليكتروني وتوصل بأخر المستجدات والمواضيع الحصرية ولا تنسى تفعيل تسجيلك
To Top