shabakesazan

استفاده از authentication ، authorization و accounting (به اختصار AAA) به منظور بررسي هويت كاربر و اينكه كاربر مي تواند چه كاري انجام دهد يك راه بسيار عالي براي امن كردن management plane در تجهيزات محسوب مي شود. در بسياري از سازمان تعداد بسياري زيادي دستگاه وجود دارد. اگر براي اين دستگاه ها از ديتابيس لوكال دستگاه ها استفاده شود مديريت كاربران براي اين دستگاه ها سخت خواهد بود. به طور مثال اگر بخواهيد به يك كاربر دسترسي به 10 دستگاه را بدهيد بايد براي اين كاربر روي هر 10 دستگاه يوزر و پسورد تعريف كنيد يا اگر بخواهيد پسورد اين كاربر را در اين 10 دستگاه تغيير بدهيد بايد اينكار رو روي تمام اين دستگاه ها انجام دهيد. اين روش در شبكه هاي بزرگ با دستگاه هاي زياد و همچنين تعداد زيادي كاربر روش درستي نيست.
راه حل مناسب براي اينكار استفاده از يك ديتابيس مركزي است كه براي همه يوزر و پسورد ها براي تاييد هويت و همچنين اينكه هر كاربر اجازه دارد چه كاري انجام دهد استفاده شود. اين در درجه اول كاري است كه (Access Control Server (ACS مي تواند براي ما انجام دهد. اولين قسمت كانفيگ مربوط به سرور ACS مي شود كه در آن بايد يوزر و پسورد ها و همچنين كاري كه آنها اجازه دارند انجام دهند مشخص مي شود. قسمت دوم كانفيگ اين است كه براي دستگاه مشخص كنيم كه هنگامي كه درخواست authentication يا authorization داشت از سرور ACS استفاده كند و با آن ارتباط برقرار كند.
از سرور ACS مي توان براي مديريت كاربران كه مي خواد از طريق دستگاه مثل روتر يا فايروال به شبكه دسترسي پيدا كنند استفاده كرد به طور مثال برخي از كاربران مي خواهند از طريق اين نام مجاز نمي باشد به شبكه متصل شوند در نتيجه نياز به تاييد هويت و كنترل دسترسي وجود دارد كه اينكار توسط ACS به صورت متمركز امكان پذير است. همچنين از سرور ACS مي توان براي ضبط اتفاقات (Accounting) استفاده كرد كه در اينجا مشخص مي شود كه كاربر چه زماني به تجهيزات متصل شده است و چه كاري انجام داده است.
چرا از Cisco ACS استفاده مي كنيم؟
بسياري از سازمان هاي از تجهيزات سيسكو استفاده مي كنند همچنين قصد استفاده از سرور ACS دارند بنابراين آنها مي توانند كاربران خود را به صورت متمركز مديريت و كنترل كنند. با تعريف كاربران در سرور ACS ، تمام اين دستگاه هاي سازمان به عنوان كلاينت براي سرور ACS عمل مي كنند در نتيجه مي توانيد از سرور ACS به عنوان نقطه مركزي براي تاييد هويت استفاده كنيد. به اين صورت يكبار يك يوزر در سرور ACS ساخته مي شود و دستگاه ها براي تاييد هويت توسط ACS تنظيم مي شوند در نتيجه از اين به بعد تاييد هويت به وسيله سرور ACS انجام مي گيرد و به راحتي امكان اضافه كردن و تغيير كاربر وجود دارد و ديگر نياز به مراجعه به تك تك دستگاه هاي براي تعريف و تغيير كاربران نيست و خيلي راحت و ساده مي توانيم آنها را از طريق سرور ACS به صورت متمركز مديريت كنيم.
در بسياري از سازمان ها كاربران زيادي براي تعريف در سرور ACS وجود دارد كه اين كاربران مي تواند جهت دسترسي به شبكه يا تجهيزات باشند اما تعريف تعداد زيادي كاربر در ديتابيس لوكال ACS مي تواند زمان بر باشد يك ويژگي كه در ACS در نظر گرفته شده است استفاده از يك ديتابيس خارجي است كه حاوي اين كاربران و پسورد آنها مي باشد يك نمونه از اين ديتابيس خارجي Microsoft Active Directory است كه حاوي اطلاعات كاربران و پسورد آنها است و مي تواند به عنوان ديتابيس خارجي براي ACS عمل كند.
زنجيره اي از اين رخدادها و اتفاقات مي تواند شبيه اين مثال باشد : يك كاربر به يك روتر متصل مي شود و روتر به او پيغام تاييد هويت مي دهد در اين مثال فرض بر اين مي شود كه يك كاربر admin است كه مي خواد دسترسي CLI به روتر پيدا كند. روتر براي استفاده از ACS تنظيم شده است بعد از اينكه روتر يوزر و پسورد را از كاربر دريافت كرد اين اطلاعات را براي سرور AAA خود يعني سرور ACS ارسال مي كند و منتظر پاسخ مي ماند. در سرور ACS اگر از ديتابيس خارجي مانند Microsoft Active Directory استفاده شده باشد سرور ACS يك درخواست به Active Directory براي تاييد اعتبار يوزر و پسورد ارسال مي كند. اگر اطلاعات ارسالي توسط Active Directory تاييد شد ACS صحت تاييد هويت را به روتر اطلاع مي دهد و روتر اجازه دسترسي به كاربر را مي دهد اما اگر اطلاعات در Active Directory وجود نداشت براساس تنظيمات صورت گرفته براي ACS مي توان ديتابيس لوكال خود را بررسي كند. در كل مي توان اين نكته را برداشت كرد كه ACS مي تواند از چند ديتابيس كه شامل چند ديتابيس خارجي و ديتابيس لوكال براي بررسي صحت يوزر و پسورد استفاده كند.