12-AMALIY ISH
MAVZU: AAA SERVERDA AUTENTIFIKATSIYA REJIMINI
SOZLASH (RADIUS, TACACS+)
Ishdan maqsad:
Ma’lumot uzatish tarmoqlarida autentifikatsiya,
avtorizatsiya va hisobga olish protokollarini sozlash, hamda amaliy ko’nikmaga ega
bo’lish.
Nazariy qism
RADIUS
(Remote Authentication in Dial-In User Service) -
AAA
protokoli
(Autentifikatsiya, Avtorizatsiya va Accounting), markaziy
AAA
platformasi va
Dial-Up
ulanish uskunalari
(NAS, Network Access Server)
va billing tizimi
o‘rtasida ma’lumotlarni uzatish uchun mo‘ljallangan.
Birlamchi ma’lumotlar (an’anaviy ravishda
RADIUS
protokoli orqali
uzatiladi) kiruvchi va chiquvchi trafik qiymatlari: bayt / oktetlarda (yaqinda
gigabaytlarda). Shu bilan birga, protokol
VSA
(Vendor Specific Attributes)
yordamida amalga oshiriladigan har qanday turdagi ma’lumotlarni uzatishni
ta’minlaydi.
RADIUS
server ishlash uchun
UDP
dan foydalanadi. Odatiy bo‘lib,
RADIUS
serveri 1812 portda tinglaydi. Akkaunt hisobi uchun boshqa port ishlatiladi - 1813
(radius-acct)
.
NAS (Network Access Server) foydalanuvchi autentifikatsiyani talab
qilganda qanday javob berishini ko‘rib chiqamiz:
• foydalanuvchi NAS -ga haqiqiylikni tekshirishga harakat qilmoqda
• NAS birinchi radiusli serverga qaraydi va ulanishni o‘rnatish uchun paket
yuboradi (kirish so‘rovi)
• agar javob ma’lum vaqt ichida qabul qilinmasa, NAS yana radius serverini
so‘roq qiladi yoki alternativ serverni qidiradi
•
RADIUS
server NAS IP manziliga qaraydi va simmetrik shifrlash kalitini
tekshiradi, agar IP manzili va kalit konfiguratsiya faylida yozilganga mos
bo‘lsa, ulanish davom etadi, aks holda mijozga yaroqsiz kalit paketi
yuboriladi. Tekshirish tasodifiy satrni yaratish va shifrlash orqali amalga
oshiriladi. Bundan tashqari, mijoz va
