AAA 简介

AAA 是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。具体内容如下：

♦ 认证：验证用户身份。
♦ 授权：根据配置对用户授予一定权限。
♦ 计费：记录用户使用网络资源应付的费用。

SA 系列安全网关支持以下认证方式：

♦ 本地认证：将用户信息（包括用户名称、密码和各种属性）配置在安全网关上。本地认证速度快，可以降低运营成本，但是存储信息量受设备硬件条件的限制。默认情况下，安全网关使用本地认证的方式对用户进行认证。
♦ 外部认证：支持通过RADIUS 和LDAP 协议进行外部认证。将用户信息储存在外部RADIUS 或者LDAP 服务器上，通过外部RADIUS 或者LDAP 服务器对安全网关的用户进行认证。

SA 系列安全网关支持以下授权方式：

♦ 本地授权：根据安全网关上为本地用户帐号配置的相关属性进行授权。
♦ 外部服务器认证成功后授权：RADIUS/LDAP 协议的认证和授权绑定在一起。

SA 系列安全网关外部认证流程

当用户通过终端与安全网关建立连接从而获得访问或管理安全网关的权利时，安全网关可以基于配置的RADIUS 或者LDAP 服务器来认证用户。下图为安全网关外部认证流程图：

1. 用户将名称和密码发给安全网关。
2. 安全网关接收用户名称和口令，并向RADIUS/LDAP 服务器发送认证请求。
3. RADIUS/LDAP 服务器收到合法请求后，进行验证。如果认证通过，RADIUS/LDAP 服务器会把用户的配置信息返回给安全网关，否则，返回拒绝信息。安全网关和RADIUS/LDAP 服务器之间的安全由共享的秘密（密钥或者密文）来保证。

AAA 的配置主要包括：

♦ 创建AAA 服务器
♦ 配置本地服务器认证参数
♦ 配置RADIUS 服务器认证参数
♦ 配置Active-Directory 服务器认证参数
♦ 配置LDAP 服务器认证参数
♦ 指定系统认证服务器