4.2.3.1. Cấu trúc về mặt chức năng của Cisco Secure ACS
Hình 4-7 Cấu trúc chức năng
Các máy chủ Cisco Secure ACS AAA là một phần của một kiến trúc AAA bốn thành phần nhƣ mô tả ở trên. Thay vì có một thiết bị để xử lý yêu cầu truy cập của ngƣời dùng, sẽ có một thiết bị truy cập đƣợc cấu hình nhƣ AAA khách hàng và chuyển tất cả các yêu cầu truy cập đến máy chủ Cisco Secure ACS AAA. Mối quan hệ client / server này cho phép tập trung của tất cả các quá trình AAA. Cisco Secure ACS sẽ xử lý tất cả yêu cầu của ngƣời dùng cuối đƣợc chuyển tiếp đến Cisco Secure ACS bởi AAA client bằng cách sử dụng giao thức RADUIS hoặc TACACS + . ACS có thể xác thực ngƣời dùng cuối với cơ sở dữ liệu đƣợc lƣu trên nó hoặc chuyển tiếp các yêu cầu đến một cơ sở dữ liệu ngƣời dùng bên ngoài để xác thực. Sau khi xác thực, Cisco Secure ACS trả về chính sách truy cập (authorization) cho ngƣời sử dụng đã chứng thực, theo định nghĩa của Secure ACS quản trị Cisco, cho
70
khách hàng AAA. Cisco Secure ACS sau đó ghi lại thông tin tất cả các gói tin chuyển tiếp bởi AAA client về phiên của ngƣời dùng.
Cisco Secure ACS làm việc với Cisco access gateways bao gồm Access Servers, IOS devices, Aironet APs, VPN Concentrators, ... Vì RADIUS là một chuẩn công nghiệp chấp nhận cho AAA, và TACACS đƣợc phát triển bởi Cisco, Cisco Secure ACS sẽ xử lý các chức năng AAA cho bất kỳ thiết bị bên thứ 3 thực hiện một trong các giao thức này. Bên cạnh đó có một cơ sở dữ liệu mở rộng để xác thực, Cisco Secure ACS cũng cho phép ngƣời dùng xác thực đối với cơ sở dữ liệu sử dụng bên thứ 3 hiện có để tận dụng bất kỳ tài nguyên thực hiện. Cuối cùng, Cisco Secure ACS có sự linh hoạt để xử lý nhiều giao thức bảo mật mật khẩu hiện tại và đang nổi lên nhƣ CHAP, LEAP, và EAP.
4.2.3.2. Thành phần bên trong của Cisco Secure ACS
Hình 4-8 Các service của ACS
Việc thực hiện các chức năng cốt lõi của Cisco Secure ACS đƣợc xử lý bởi một loạt bảy services của Cisco Secure ACS. Các dịch vụ ACS Cisco Secure bao gồm:
• CSAdmin-Cung cấp các giao diện HTML cho việc quản lý Cisco Secure ACS. • CSAuth-Cung cấp dịch vụ chứng thực.
• CSDBSync-Cung cấp đồng bộ hóa các cơ sở dữ liệu ngƣời sử dụng Cisco Secure ACS với một ứng dụng RDBMS bên ngoài.
71
• CSLog-Cung cấp dịch vụ logging, cho hoạt động kế toán và giám sát hệ thống. • CSTacacs - Cung cấp thông tin liên lạc giữa TACACS + AAA client và dịch vụ CSAuth.
• CSRadius-Cung cấp thông tin liên lạc giữa các RADIUS AAA client và dịch vụ CSAuth.
• CSMon-Cung cấp giám sát, ghi lại, và thông báo về hiệu năng của Cisco ACS , và bao gồm tự động xử lý với cấu hình đặt sẵn.