4.2.4.1. ACS Authentication và Authorization
Hình 4-9 Cách thức hoạt động
Để giảm phải cấu hình lặp lại cho nhiều ngƣời sử dụng, Cisco Secure ACS sử dụng khái niệm nhóm ngƣời sử dụng để kiểm soát ủy quyền. Một nhóm ngƣời sử dụng chỉ đơn giản là một tập hợp các ủy quyền phải đƣợc thông qua cho AAA client khi một thành viên trong nhóm (ngƣời dùng) đƣợc chứng thực. Ngƣời sử dụng có nhu cầu ủy quyền giống hệt nhau có thể đƣợc nhóm lại với nhau thành một nhóm ngƣời sử dụng. Điều này có nghĩa rằng các quản trị viên chỉ có cấu hình ủy quyền cho tất cả ngƣời dùng nhƣ một lần. Tất nhiên, điều này cũng sẽ dễ dàng cấu hình cần thiết khi thay đổi cho tất cả những ngƣời sử dụng; đƣợc cấu hình một lần và tất cả ngƣời dùng trong nhóm ngƣời sử dụng thừa kế sự thay đổi ủy quyền. Cisco Secure ACS cho phép lên đến 500 nhóm đƣợc xác định.
72
Mỗi ngƣời dùng đƣợc lƣu trữ trong Cisco Secure ACS bằng một User Profile. Hồ sơ cá nhân sử dụng bao gồm các phƣơng pháp xác thực ngƣời sử dụng (cơ sở dữ liệu từ Cisco Secure ACS hoặc cơ sở dữ liệu ngƣời dùng bên ngoài), và bất kỳ phân quyền truy cập. Ủy quyền truy cập cho một ngƣời dùng đƣợc dựa trên nhóm ngƣời sử dụng, và cũng có thể đƣợc xác định cụ thể cho ngƣời sử dụng trong hồ sơ của họ. Nếu ngƣời sử dụng nhất định trong một nhóm có yêu cầu truy cập khác , các quản trị viên có thể hoặc là tạo ra một nhóm mới và chuyển ngƣời dùng qua, hoặc chỉ có thể cấu hình profile của ngƣời dùng với ủy quyền cụ thể. Bất kỳ uỷ quyền nào thiết lập cho ngƣời dùng cụ thể sẽ đƣợc ƣu tiên hơn so với uỷ quyền của cả nhóm. Cisco Secure ACS có một cơ chế (tìm kiếm cơ sở dữ liệu bên ngoài trong một thứ tự nhất định) để xác thực ngƣời sử dụng "unknown" (không có hồ sơ ngƣời dùng trong cơ sở dữ liệu ACS Cisco Secure), và gộp ngƣời sử dụng thành một nhóm để uỷ quyền.
4.2.4.2. Các bước cụ thể
Hình 4-10 Các bước cụ thể
Bƣớc 1. Khi một ngƣời dùng kết nối, tên ngƣời dùng và mật khẩu của họ đƣợc gửi đến một AAA client, chẳng hạn nhƣ một máy chủ truy cập mạng (NAS).
Bƣớc 2. Các AAA client sau đó chuyển thông tin này đến máy chủ AAA (ACS) và chờ phản hồi.
Bƣớc 3. ACS sau đó kiểm tra cơ sở dữ liệu đƣợc xây dựng trong nó để xem liệu tên ngƣời dùng là hợp lệ. Nếu tên ngƣời dùng là hợp lệ, Cisco Secure ACS cố gắng để xác thực đối với cơ sở dữ liệu đƣợc liệt kê (ACS hoặc bên ngoài) trong profile của ngƣời dùng; tiến hành bƣớc 6.
73
Bƣớc 4. Nếu tên ngƣời dùng không tìm thấy, Cisco Secure ACS gửi thông tin này cho bất kỳ cơ sở dữ liệu bên ngoài mà nó đƣợc cấu hình để truy vấn.
Bƣớc 5. Các cơ sở dữ liệu bên ngoài xác nhận tên ngƣời dùng và mật khẩu và gửi một phản hồi lại Cisco Secure ACS. Cisco Secure ACS cho biết thêm một hồ sơ ngƣời dùng mới để tăng tốc độ xử lý tƣơng lai cho ngƣời dùng này.
Bƣớc 6. Nếu tên ngƣời dùng và mật khẩu đúng, các Cisco Secure ACS sau đó đọc hồ sơ ngƣời dùng cho các thuộc tính bổ sung.
Bƣớc 7. Cisco Secure ACS sau đó gửi thông báo xác thực thành công hay thất bại . Khi ngƣời dùng đã đƣợc xác thực thành công, một tập hợp các thuộc tính (ủy
quyền) liên quan đến ngƣời sử dụng (thành viên nhóm) đƣợc gửi cho AAA client để cung cấp thêm bảo mật và kiểm soát các đặc quyền.
Bƣớc 8. Khi AAA client nhận đƣợc phản hồi từ Cisco Secure ACS, nó sẽ thiết lập hoặc từ chối kết nối cho ngƣời dùng.
Bƣớc 9. Cuối cùng, AAA client bắt đầu chuyển tiếp thông tin kế toán cho
CiscoSecure ACS và Cisco Secure ACS tạo và hồ sơ thông tin kế toán cho mỗi lần sử dụng (truy cập hoặc từ chối).
4.2.4.3. Xử lý đối với User
Hình 4-11 Xử lý đối với User
Hình trên cho thấy chi tiết hơn về các bƣớc xử lý của Cisco Secure ACS AAA đối với user profiles và authorization groups. Ngƣời quản trị Cisco Secure ACS tạo ra một nhóm ngƣời sử dụng có tên là New York Admins và cấu hình một
74
tập hợp các authorizations cho nhóm này. Tiếp theo, quản trị viên tạo ngƣời sử dụng Billy, ngƣời sẽ sử dụng một cơ sở dữ liệu bên ngoài là NT để xác thực, và đƣợc gán cho là thành viên của nhóm New York Adminsuser cho mục đích ủy quyền.
Khi Billy cố gắng truy cập mạng, thông tin đăng nhập của mình đƣợc gửi từ NAS đến Cisco Secure ACS. Cisco Secure ACS tìm kiếm cơ sở dữ liệu cho một hồ sơ ngƣời dùng với UID-Billy. Khi tìm thấy, Cisco Secure ACS thông báo rằng mật khẩu phải đƣợc chứng thực bởi một cơ sở dữ liệu bên ngoài NT, và chuyển tiếp thông tin đăng nhập vào nó. Billy đƣợc chứng thực của cơ sở dữ liệu bên ngoài, và Cisco Secure ACS đƣợc thông báo. Cisco Secure ACS qua kết quả xác thực lại cho khách hàng AAA. Cisco Secure ACS kiểm tra lý lịch thành viên Billy và thấy rằng ông là một thành viên của nhóm New York Adminsuser. Cisco Secure ACS gửi ủy quyền quy định tại New York Adminsgroup cho khách hàng AAA để kiểm soát thêm quyền truy cập của Billy.
Tiếp theo, chúng ta hãy xem làm thế nào Cisco Secure ACS xử lý yêu cầu của một ngƣời dùng unknown.
Hình 4-12 Hình 4-13 Xử lý đối với User Unknown
Một ngƣời sử dụng "unknown" trong mô hình Secure ACS AAA là ngƣời dùng bất kỳ yêu cầu dịch vụ chứng thực từ ACS mà không có một hồ sơ ngƣời dùng trong cơ sở dữ liệu ACS Cisco Secure. Thông thƣờng, những ngƣời sử dụng đƣợc xác định trong một cơ sở dữ liệu ngƣời dùng bên ngoài. Để xử lý các xác thực của một ngƣời dùng không biết, ngƣời quản trị đầu tiên tạo ra nhóm ngƣời dùng để liên
75
kết với ngƣời sử dụng "unknown" từ cơ sở dữ liệu ngƣời dùng bên ngoài. Tiếp theo, các quản trị viên bảo mật của Cisco ACS tạo ra Unknown User Policy có chứa thứ tự của cơ sở dữ liệu ngƣời dùng bên ngoài để tìm kiếm cho ngƣời sử dụng
unknown. Các Cisco Secure ACS quản trị tiếp tục thiết lập một bản đồ của các nhóm cơ sở dữ liệu ngƣời dùng bên ngoài. Các ánh xạ nhóm ngƣời dùng không biết sẽ trở thành một thành viên sau khi đƣợc xác thực bởi một cơ sở dữ liệu ngƣời dùng bên ngoài cụ thể. Trong ví dụ đƣợc miêu tả ở trên, ngƣời sử dụng Unknown tìm thấy trong cơ sở dữ liệu NT bên ngoài sẽ nhận đƣợc giấy phép quy định tại nhóm New York Admins, và bất kỳ ngƣời sử dụng unknown đƣợc chứng thực bởi cơ sở dữ liệu ODBC bên ngoài sẽ nhận đƣợc ủy quyền xác định trong nhóm mặc định.
Khi ngƣời dùng Rick cố gắng truy cập mạng, thông tin đăng nhập đƣợc gửi từ NAS đến Cisco Secure ACS. Cisco Secure ACS tìm kiếm cơ sở dữ liệu cho hồ sơ ngƣời dùng với UID-Rick. Không có hồ sơ ngƣời sử dụng đƣợc tìm thấy trong Cisco Secure ACS phù hợp với ID ngƣời dùng này. Theo Unknown User Policy, Cisco Secure ACS chuyển thông tin đăng nhập của Rick đến cơ sở dữ liệu bên ngoài đầu tiên là NT, và nếu không tìm thấy ở đó, sau đó đến cơ sở dữ liệu ODBC. Rick đƣợc chứng thực bởi cơ sở dữ liệu ODBC bên ngoài, và Cisco Secure ACS đƣợc phản hồi. Cisco Secure ACS trả kết quả xác thực lại cho AAA client. Cisco Secure ACS tìm trong group mapping và sau đó gửi Default User groups
authorizations cho AAA client. Để tăng tốc độ truy cập sau này của Rick, Cisco Secure ACS tạo ra một User Profile cho Rick trong đó nêu để xác thực bằng cách sử dụng cơ sở dữ liệu ODBC bên ngoài và sử dụng nhóm Default authorization.