WEBVTT

00:00.090 --> 00:00.930
导师：在这节课中,

00:00.930 --> 00:03.360
我们将讨论AAA服务器, 它代表身份验证,

00:03.360 --> 00:12.327
授权和计费, 要了解AAA服务器, 我们要做的第一件事就是了解802.

00:12.327 --> 00:12.327
1X是一个框架｡ 

00:12.327 --> 00:15.240
教练：802｡  1X是一个标准化框架,

00:15.240 --> 00:19.650
用于有线和无线网络上基于端口的身份验证｡

00:19.650 --> 00:22.800
从802年开始｡  1X只是一个框架,

00:22.800 --> 00:27.210
它实际上会利用其他机制为我们进行真正的身份验证｡

00:27.210 --> 00:41.700
例如, 远程认证拨入用户服务（称为RADIUS）和终端访问控制器远程控制系统增强版（TACACS+）都可以用来使用802.

00:41.700 --> 00:41.700
1X方案｡ 

00:41.700 --> 00:46.920
在802下进行身份验证需要三个角色｡

00:46.920 --> 00:46.920
1 X.

00:46.920 --> 00:51.660
第一个是请求者, 即请求访问网络的设备或用户,

00:51.660 --> 00:54.030
例如此图中的PC1｡

00:54.030 --> 00:59.370
然后是一个路由器, 它是请求者试图访问网络的设备｡

00:59.370 --> 01:01.620
通常, 这将是一个交换机,

01:01.620 --> 01:04.860
无线接入点或VPN集中器｡

01:04.860 --> 01:08.760
最后, 还有身份验证服务器, 它将是执行身份验证的集中式设备,

01:08.760 --> 01:13.920
通常是RADIUS或TACACS+服务器｡

01:13.920 --> 01:16.230
当一个人的身份被证明并被系统确认时,

01:16.230 --> 01:19.500
身份验证就发生了｡

01:19.500 --> 01:21.180
你每天都这样｡ 

01:21.180 --> 01:23.850
事实上, 你在登录本课程时就已经完成了｡ 

01:23.850 --> 01:26.340
当您输入您的电子邮件地址和密码时,

01:26.340 --> 01:28.380
您声称您是支付此课程的学生,

01:28.380 --> 01:33.150
通过这样做, 系统会检查您并授予访问权限｡

01:33.150 --> 01:36.330
现在, 有不同的方法来验证你是谁｡ 

01:36.330 --> 01:38.700
例如, 在现实世界中, 如果你因超速被警察拦下,

01:38.700 --> 01:45.780
你可能会拿出你的驾驶执照, 向他们表明这是你, 你就是你所说的那个人｡

01:45.780 --> 01:47.220
这就是你的证据

01:47.220 --> 01:48.600
现在, 在数字世界中,

01:48.600 --> 01:51.000
我们有五种身份验证方法｡

01:51.000 --> 01:52.800
我们有你知道的东西,

01:52.800 --> 01:55.050
比如密码或用户名, 我们有你的东西,

01:55.050 --> 01:57.150
比如你的指纹或眼睛扫描或视网膜扫描,

01:57.150 --> 02:07.410
我们有你的东西, 比如代币, 驾驶执照或信用卡, 它可以是你做的事情, 比如你说话的方式或你签名的方式, 它可以是你所在的某个地方,

02:07.410 --> 02:15.930
我们根据你的GPS位置将其称为你的位置因素｡

02:15.930 --> 02:19.080
LDAP是轻量级目录访问协议｡ 

02:19.080 --> 02:24.510
这是一个数据库, 用于集中有关网络上客户端和对象的信息｡

02:24.510 --> 02:29.490
LDAP本质上是X的简化版本｡  500, 这是一个目录服务,

02:29.490 --> 02:36.360
它包含网络中用户､ 组､ 服务器和系统的层次结构｡

02:36.360 --> 02:39.000
LDAP在未加密时通过端口389进行通信,

02:39.000 --> 02:41.400
如果您决定使用SSL或TLS对其进行加密,

02:41.400 --> 02:46.290
则将使用端口636｡

02:46.290 --> 02:48.960
现在, 虽然LDAP被认为是跨平台的, 但Microsoft创建了自己的实现,

02:48.960 --> 02:54.060
称为AD或Active Directory｡

02:54.060 --> 02:56.370
在Windows域中, Active

02:56.370 --> 02:58.710
Directory用于组织和管理网络上的所有内容,

02:58.710 --> 03:00.570
包括客户端､ 服务器､ 设备､

03:00.570 --> 03:02.730
用户和组｡

03:02.730 --> 03:04.650
现在, Active Directory也可以用作安全策略的一部分,

03:04.650 --> 03:08.883
或通过组策略进行访问控制｡

03:09.990 --> 03:13.770
RADIUS是远程身份验证拨入用户服务｡ 

03:13.770 --> 03:17.130
它提供拨号､ VPN和无线身份验证的集中管理,

03:17.130 --> 03:21.660
因此您可以在802.

03:21.660 --> 03:21.660
1X和可扩展身份验证协议（EAP）｡

03:25.350 --> 03:27.870
RADIUS是一种客户端服务器协议,

03:27.870 --> 03:31.470
运行在OSI模型的第七层（应用层）上｡

03:31.470 --> 03:34.470
RADIUS通常配置为在单独的服务器上运行,

03:34.470 --> 03:38.880
但也可以在较小的域环境中加载到Windows服务器上｡

03:38.880 --> 03:40.950
RADIUS用于对用户进行身份验证,

03:40.950 --> 03:44.970
授权他们使用服务, 并记录他们对这些服务的使用情况｡

03:44.970 --> 03:48.120
RADIUS还利用UDP进行连接,

03:48.120 --> 03:52.380
使其在身份验证和授权功能期间相当快｡

03:52.380 --> 03:55.140
现在, 虽然RADIUS是一个跨平台标准,

03:55.140 --> 03:58.590
但Cisco有一个名为TACACS+的专有协议｡

03:58.590 --> 04:00.300
这是终端访问控制器的附加控制系统,

04:00.300 --> 04:06.300
它可以在802.

04:06.300 --> 04:06.300
1X网络｡ 

04:06.300 --> 04:10.500
现在, 由您来决定哪一个最适合您组织的需求｡

04:10.500 --> 04:14.370
就我个人而言, 我几乎只在我的组织中使用RADIUS｡

04:14.370 --> 04:17.490
我发现TACACS+运行起来有点慢, 因为它依赖于TCP而不是UDP,

04:17.490 --> 04:22.620
但TACACS+确实有一些好处｡

04:22.620 --> 04:24.090
它为您提供了一些额外的安全性,

04:24.090 --> 04:29.070
并独立地执行其身份验证, 授权和计费过程｡

04:29.070 --> 04:31.560
TACACS+支持所有的网络协议,

04:31.560 --> 04:32.880
但RADIUS不支持远程访问协议､

04:32.880 --> 04:35.070
NetBIOS Frame协议､

04:35.070 --> 04:39.840
X. 25个链接, 还有其他一些｡

04:39.840 --> 04:42.480
总的来说, TACACS+是一个很好的选择,

04:42.480 --> 04:45.630
但前提是您要在整个网络中使用Cisco设备,

04:45.630 --> 04:49.770
因为如果您想要拥有跨平台功能, 那么您必须使用RADIUS,

04:49.770 --> 04:51.840
这是我过去选择的方式｡

04:51.840 --> 04:54.360
第二个A是授权｡ 

04:54.360 --> 05:00.990
授权发生在用户被授予访问某段数据或建筑物的某些区域的权限时｡

05:00.990 --> 05:03.120
你有没有走进一栋大楼, 看到一个标志说,

05:03.120 --> 05:06.570
限制进入, 授权人员只？

05:06.570 --> 05:09.180
好吧, 那意味着你不能进入那个区域｡ 

05:09.180 --> 05:11.100
它可能是一个像维修室或其他地方,

05:11.100 --> 05:14.790
他们有发电机, 只有机械师可以进入那里｡

05:14.790 --> 05:16.650
他们有特殊的钥匙或特殊的徽章,

05:16.650 --> 05:18.450
可以让他们进入这些地区｡

05:18.450 --> 05:21.900
那个区域是你无权进入的地方｡ 

05:21.900 --> 05:25.170
SSL专注于身份验证和授权｡ 

05:25.170 --> 05:29.280
这是通过我们在Windows域中的电子票务系统执行的｡

05:29.280 --> 05:34.350
身份验证协议是一种提供双向或相互身份验证的身份验证协议｡

05:34.350 --> 05:38.400
当用户登录到域时, 他们首先联系域控制器,

05:38.400 --> 05:42.120
域控制器充当密钥分发中心或KDC｡

05:42.120 --> 05:46.980
这个KDC有两个基本功能：身份验证和票据授予｡

05:46.980 --> 05:49.410
因此, 如果您的客户端通过了正确的身份验证,

05:49.410 --> 05:51.990
KDC将向他们发出一个TGT, 称为Ticket

05:51.990 --> 05:54.570
Granting Ticket｡

05:54.570 --> 05:56.520
然后, 在用户想要访问资源的任何时候,

05:56.520 --> 06:07.260
都将此票证授予票证提供给域控制器, 然后域控制器可以向该用户提供要使用的服务票证或会话密钥, 无论哪一个适合他们的需要｡

06:07.260 --> 06:09.150
这些票证将呈现给资源,

06:09.150 --> 06:10.680
然后授予访问权限,

06:10.680 --> 06:14.580
因为资源始终信任提供票证的域控制器｡

06:14.580 --> 06:19.080
现在, 由于BGP依赖域控制器作为密钥分发中心,

06:19.080 --> 06:21.840
因此这是域中的单点故障｡

06:21.840 --> 06:23.550
如果域控制器关闭,

06:23.550 --> 06:26.190
票据授予服务也将关闭｡

06:26.190 --> 06:31.530
为了防止这种情况, 大多数人会做的是有一个主要的和次要的活动域控制器｡

06:31.530 --> 06:33.330
这将为您提供这种形式的冗余,

06:33.330 --> 06:36.900
以确保LDAP已启动且LDAP仍在运行｡

06:36.900 --> 06:38.790
第三个A是会计｡ 

06:38.790 --> 06:44.220
会计确保对数据､ 计算机使用和网络资源的跟踪得到维护｡

06:44.220 --> 06:48.150
当我们这样做的时候, 它通常被放在一个叫做日志文件的东西里｡

06:48.150 --> 06:49.680
这是电脑上的一个文件,

06:49.680 --> 06:51.930
本质上就是一个很大的文本文档,

06:51.930 --> 06:54.450
它记录了各种各样的事情｡

06:54.450 --> 06:56.340
这可能是所有离开网络的互联网连接,

06:56.340 --> 07:04.680
如屏幕上所示, 也可能是所有试图登录到特定文件或网站的人的列表｡

07:04.680 --> 07:07.320
各种不同的日志保存在您的计算机上,

07:07.320 --> 07:09.180
以跟踪正在进行的所有各种事情,

07:09.180 --> 07:16.170
这一切都是为了确保使用良好的会计实践, 因为如果您有数据泄露或您有某种内部威胁,

07:16.170 --> 07:18.270
您可以回去查看日志文件中的数据,

07:18.270 --> 07:23.880
以找出谁做了什么以及何时做的｡

07:23.880 --> 07:26.310
这就是会计允许你做的｡ 

07:26.310 --> 07:29.130
现在, 如果你有证据证明某人做了某事,

07:29.130 --> 07:32.850
他们采取了行动, 我们称之为不可否认性｡

07:32.850 --> 07:35.790
不可否认性仅仅意味着用户不能说他们没有采取行动,

07:35.790 --> 07:39.060
因为你有证据证明他们这样做了｡

07:39.060 --> 07:41.160
例如, 如果你给我发了一封电子邮件,

07:41.160 --> 07:43.200
并使用数字签名进行了签名,

07:43.200 --> 07:47.910
那么你是世界上唯一拥有该私人数字签名密钥的人｡

07:47.910 --> 07:50.400
我确定是你发的那封邮件｡ 

07:50.400 --> 07:54.060
你不能事后告诉我你没发因为我现在有证据了｡

07:54.060 --> 07:55.593
这是不可否认性