Uỷ quyền (Authorization)

Một phần của tài liệu Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco (Trang 35 - 36)

Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức. AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép thao tác vào tài nguyên. Do đó, người dùng phải được xác thực trước khi uỷ quyền cho người đó.

Uỷ quyền trong AAA làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã được xác thực có thể có.

Ví dụ: Người dùng VIET sau khi đã xác thực thành công có thể chỉ được phép truy cập vào server VIETHANIT_SERVER thông qua FTP. Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được trả về AAA để xác định khả năng cũng như giới hạn thực tế của người đó. Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa (RAS).

Uỷ quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định những gì một người sử dụng đã chứng thực có thể làm trên hệ thống.

Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao. Các quản trị hệ thống định nghĩa những quy tắc này.

Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ. Ví dụ: Một máy khách quay số kết nối và yêu cầu nhiều liên kết. Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác.

Một phần của tài liệu Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco (Trang 35 - 36)

Tải bản đầy đủ (DOC)

(64 trang)
w