3.1.1.Cách thức sử dụng cơ sở dữ liệu ACS
Bằng cách sử dụng giao thức TACACS+/RADIUS, thì NAS sẽ chuyển tiếp các yêu cầu, các cuộc gọi từ user đến Cisco Secure ACS để xác thực và cấp quyền cho user đó. Cisco Secure ACS sẽ kiểm tra username và password của mỗi user rồi trả lời là user đó có được phép truy cập vào hay bị từ chối truy cập vào mạng bên trong hay không? Nếu user được xác thực thành công, Cisco Secure ACS sẽ gửi một tập thuộc tính cấp quyền đến NAS, và sau đó chức năng tính cước (như ghi lại thời gian bắt đầu, thời gian kết thúc một session, ...) sẽ bắt đầu thực hiện.
Hình 3.6 trình bày các dịch vụ và giao tiếp cơ sở dữ liệu xảy ra khi một user được chọn trong cơ sở dữ liệu của Cisco Secure ACS:
1.Dịch vụ TACACS+/RADIUS sẽ chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền đến Cisco Secure ACS.
2.Yêu cầu xác thực sẽ kiểm tra, đối chiếu với cơ sở dữ liệu trong Cisco Secure ACS. Sau đó user đó sẽ được cấp quyền và thông tin tính cước sẽ được lưu lại trong dịch vụ Cisco Secure ACS Login.
3.Cơ sở dữ liệu người dùng trong Windows NT/2000 không xác thực người dùng để cho phép cuộc gọi. Người dùng phải login vào Windows NT/2000 một khi gọi tiến trình AAA hoàn tất.
Cisco Secure ACS sử dụng một cơ sở dữ liệu được tạo ra bởi người dùng dưới dạng file lưu các mảng băm theo kiểu “flat”. Kiểu file này không thể tìm kiếm từ trên xuống giống như file text thông thường là được đánh chỉ số giống như một cơ sở dữ liệu. File lưu bảng băm theo kiểu “flat” xây dựng một chỉ số và cấu trúc hình cây sao cho việc tìm kiếm tỉ lệ với hàm mũ, cho phép cơ sở dữ liệu trong Cisco Secure ACS nhanh chóng xác thực được người dùng.
Việc sử dụng cơ sở dữ liệu người dùng của Cisco Secure ACS đòi hỏi phải nhập thông tin một cách thủ công như username/pasword. Tuy nhiên, sau khi username tồn tại trong Cisco Secure ACS, nhà quản trị có thể dễ dàng trong việc sử dụng cơ sở dữ liệu người dùng trong Cisco Secure ACS. Cơ sở dữ liệu người dùng trong Cisco Secure ACS hỗ trợ việc xác thực PAP, CHAP và MS-CHAP.
3.1.2.Cách thức sử dụng cơ sở dữ liệu người dùng trong Windows
Hình 3.7 cho thấy tiến trình xảy ra khi Cisco Secure ACS sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 để chạy dịch vụ AAA. Các bước chính là:
1.Dịch vụ TACACS+/RADIUS chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền trong Cisco Secure ACS.
2.Username/password được gửi đến cơ sở dữ liệu người dùng cho Windows NT/2000 để xác thực.
3.Nếu được đồng ý, Windows NT/2000 sẽ cấp một quyền cho phép truy cập vào như một user cục bộ.
4.Một phúc đáp sẽ được trả về cho Cisco Secure ACS và việc cấp thẩm quyền sẽ được gán.
5.Việc xác thực và các thẩm quyền kết hợp với nó được gán trong Cisco Secure ACS về người dùng đó sẽ được gủi về NAS. Thông tin tài khoản đó sẽ được lưu giữ lại.
Một tiện ích thêm vào để sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 đó là username/password được dùng để xác thực giống như việc login vào mạng, chẳng hạn như ta phải nhập username/password.
3.1.3.Hỗ trợ Token Card
Cisco Secure ACS hỗ trợ một số token server thứ ba như là RSA SecureID, Secure Computing SafeWord, Symantec (AXENT) Defender và bất kì hexa X.909 token card nào chẳng hạn như CRYPTOCard. Hình 3.8 cho thấy một số token server mà Cisco Secure ACS đóng vai trò như là một client của token server.
Với những cái khác, nó sử dụng giao tiếp RADIUS của token server để yêu cầu xác thực. Giống như với cơ sở dữ liệu của Windows NT/2000, sau khi username được đặt trong cơ sở dữ liệu người dùng, CSAuth có thể kiểm tra server đã lựa chọn để xác thực username và token-card password. Token server đưa ra phúc đáp, để chấp nhận hay từ chối một phê chuẩn. Nếu một phúc đáp được chấp nhận, CSAuth sẽ biết cách thức xác thực cần cho người dùng.
Cisco Secure ACS có thể hỗ trợ token server bằng việc sử dụng RADIUS server đã được xây dựng vào trong token server. Cisco Secure ACS gửi các yêu cầu xác thực RADIUS chuẩn đến các cổng xác thực RADIUS trên token server. Token server được hỗ trợ RADIUS server như là ActivCard, CRYPTOCard, VASCO, RSA Security, và Secure Computing.
Bằng cách sử dụng giao thức TACACS+/RADIUS, thì NAS sẽ chuyển tiếp các yêu cầu, các cuộc gọi từ user đến Cisco Secure ACS để xác thực và cấp quyền cho user đó. Cisco Secure ACS sẽ kiểm tra username và password của mỗi user rồi trả lời là user đó có được phép truy cập vào hay bị từ chối truy cập vào mạng bên trong hay không? Nếu user được xác thực thành công, Cisco Secure ACS sẽ gửi một tập thuộc tính cấp quyền đến NAS, và sau đó chức năng tính cước (như ghi lại thời gian bắt đầu, thời gian kết thúc một session, ...) sẽ bắt đầu thực hiện.
Hình 3.6 trình bày các dịch vụ và giao tiếp cơ sở dữ liệu xảy ra khi một user được chọn trong cơ sở dữ liệu của Cisco Secure ACS:
1.Dịch vụ TACACS+/RADIUS sẽ chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền đến Cisco Secure ACS.
2.Yêu cầu xác thực sẽ kiểm tra, đối chiếu với cơ sở dữ liệu trong Cisco Secure ACS. Sau đó user đó sẽ được cấp quyền và thông tin tính cước sẽ được lưu lại trong dịch vụ Cisco Secure ACS Login.
3.Cơ sở dữ liệu người dùng trong Windows NT/2000 không xác thực người dùng để cho phép cuộc gọi. Người dùng phải login vào Windows NT/2000 một khi gọi tiến trình AAA hoàn tất.
Hình 3.6: Cách thức sử dụng cơ sở dữ liệu ACS
Việc sử dụng cơ sở dữ liệu người dùng của Cisco Secure ACS đòi hỏi phải nhập thông tin một cách thủ công như username/pasword. Tuy nhiên, sau khi username tồn tại trong Cisco Secure ACS, nhà quản trị có thể dễ dàng trong việc sử dụng cơ sở dữ liệu người dùng trong Cisco Secure ACS. Cơ sở dữ liệu người dùng trong Cisco Secure ACS hỗ trợ việc xác thực PAP, CHAP và MS-CHAP.
3.1.2.Cách thức sử dụng cơ sở dữ liệu người dùng trong Windows
Hình 3.7 cho thấy tiến trình xảy ra khi Cisco Secure ACS sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 để chạy dịch vụ AAA. Các bước chính là:
1.Dịch vụ TACACS+/RADIUS chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền trong Cisco Secure ACS.
2.Username/password được gửi đến cơ sở dữ liệu người dùng cho Windows NT/2000 để xác thực.
3.Nếu được đồng ý, Windows NT/2000 sẽ cấp một quyền cho phép truy cập vào như một user cục bộ.
4.Một phúc đáp sẽ được trả về cho Cisco Secure ACS và việc cấp thẩm quyền sẽ được gán.
5.Việc xác thực và các thẩm quyền kết hợp với nó được gán trong Cisco Secure ACS về người dùng đó sẽ được gủi về NAS. Thông tin tài khoản đó sẽ được lưu giữ lại.
Hình 3.7: Cách thức sử dụng cơ sở dữ liệu trong Windows NT/2000
3.1.3.Hỗ trợ Token Card
Cisco Secure ACS hỗ trợ một số token server thứ ba như là RSA SecureID, Secure Computing SafeWord, Symantec (AXENT) Defender và bất kì hexa X.909 token card nào chẳng hạn như CRYPTOCard. Hình 3.8 cho thấy một số token server mà Cisco Secure ACS đóng vai trò như là một client của token server.
Hình 3.8: Hỗ trợ Token Card
Với những cái khác, nó sử dụng giao tiếp RADIUS của token server để yêu cầu xác thực. Giống như với cơ sở dữ liệu của Windows NT/2000, sau khi username được đặt trong cơ sở dữ liệu người dùng, CSAuth có thể kiểm tra server đã lựa chọn để xác thực username và token-card password. Token server đưa ra phúc đáp, để chấp nhận hay từ chối một phê chuẩn. Nếu một phúc đáp được chấp nhận, CSAuth sẽ biết cách thức xác thực cần cho người dùng.
Cisco Secure ACS có thể hỗ trợ token server bằng việc sử dụng RADIUS server đã được xây dựng vào trong token server. Cisco Secure ACS gửi các yêu cầu xác thực RADIUS chuẩn đến các cổng xác thực RADIUS trên token server. Token server được hỗ trợ RADIUS server như là ActivCard, CRYPTOCard, VASCO, RSA Security, và Secure Computing.
Comment