جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

چرا AAA مهم است؟ دلیل استفاده از Cisco Secure ACS چیست؟

استفاده از authentication ، authorization و accounting (به اختصار AAA) به منظور بررسی هویت کاربر و اینکه کاربر می تواند چه کاری انجام دهد یک راه بسیار عالی برای امن کردن management plane در تجهیزات محسوب می شود. در بسیاری از سازمان تعداد بسیاری زیادی دستگاه وجود دارد. اگر برای این دستگاه ها از دیتابیس لوکال دستگاه ها استفاده شود مدیریت کاربران برای این دستگاه ها سخت خواهد بود. به طور مثال اگر بخواهید به یک کاربر دسترسی به 10 دستگاه را بدهید باید برای این کاربر روی هر 10 دستگاه یوزر و پسورد تعریف کنید یا اگر بخواهید پسورد این کاربر را در این 10 دستگاه تغییر بدهید باید اینکار رو روی تمام این دستگاه ها انجام دهید. این روش در شبکه های بزرگ با دستگاه های زیاد و همچنین تعداد زیادی کاربر روش درستی نیست.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. چرا از Cisco ACS استفاده می کنیم؟

راه حل مناسب برای اینکار استفاده از یک دیتابیس مرکزی است که برای همه یوزر و پسورد ها برای تایید هویت و همچنین اینکه هر کاربر اجازه دارد چه کاری انجام دهد استفاده شود. این در درجه اول کاری است که (Access Control Server (ACS می تواند برای ما انجام دهد. اولین قسمت کانفیگ مربوط به سرور ACS می شود که در آن باید یوزر و پسورد ها و همچنین کاری که آنها اجازه دارند انجام دهند مشخص می شود. قسمت دوم کانفیگ این است که برای دستگاه مشخص کنیم که هنگامی که درخواست authentication یا authorization داشت از سرور ACS استفاده کند و با آن ارتباط برقرار کند.

از سرور ACS می توان برای مدیریت کاربران که می خواد از طریق دستگاه مثل روتر یا فایروال به شبکه دسترسی پیدا کنند استفاده کرد به طور مثال برخی از کاربران می خواهند از طریق VPN به شبکه متصل شوند در نتیجه نیاز به تایید هویت و کنترل دسترسی وجود دارد که اینکار توسط ACS به صورت متمرکز امکان پذیر است. همچنین از سرور ACS می توان برای ضبط اتفاقات (Accounting) استفاده کرد که در اینجا مشخص می شود که کاربر چه زمانی به تجهیزات متصل شده است و چه کاری انجام داده است.

وب سایت توسینسو

چرا از Cisco ACS استفاده می کنیم؟

بسیاری از سازمان های از تجهیزات سیسکو استفاده می کنند همچنین قصد استفاده از سرور ACS دارند بنابراین آنها می توانند کاربران خود را به صورت متمرکز مدیریت و کنترل کنند. با تعریف کاربران در سرور ACS ، تمام این دستگاه های سازمان به عنوان کلاینت برای سرور ACS عمل می کنند در نتیجه می توانید از سرور ACS به عنوان نقطه مرکزی برای تایید هویت استفاده کنید. به این صورت یکبار یک یوزر در سرور ACS ساخته می شود و دستگاه ها برای تایید هویت توسط ACS تنظیم می شوند در نتیجه از این به بعد تایید هویت به وسیله سرور ACS انجام می گیرد و به راحتی امکان اضافه کردن و تغییر کاربر وجود دارد و دیگر نیاز به مراجعه به تک تک دستگاه های برای تعریف و تغییر کاربران نیست و خیلی راحت و ساده می توانیم آنها را از طریق سرور ACS به صورت متمرکز مدیریت کنیم.

در بسیاری از سازمان ها کاربران زیادی برای تعریف در سرور ACS وجود دارد که این کاربران می تواند جهت دسترسی به شبکه یا تجهیزات باشند اما تعریف تعداد زیادی کاربر در دیتابیس لوکال ACS می تواند زمان بر باشد یک ویژگی که در ACS در نظر گرفته شده است استفاده از یک دیتابیس خارجی است که حاوی این کاربران و پسورد آنها می باشد یک نمونه از این دیتابیس خارجی Microsoft Active Directory است که حاوی اطلاعات کاربران و پسورد آنها است و می تواند به عنوان دیتابیس خارجی برای ACS عمل کند.

زنجیره ای از این رخدادها و اتفاقات می تواند شبیه این مثال باشد : یک کاربر به یک روتر متصل می شود و روتر به او پیغام تایید هویت می دهد در این مثال فرض بر این می شود که یک کاربر admin است که می خواد دسترسی CLI به روتر پیدا کند. روتر برای استفاده از ACS تنظیم شده است بعد از اینکه روتر یوزر و پسورد را از کاربر دریافت کرد این اطلاعات را برای سرور AAA خود یعنی سرور ACS ارسال می کند و منتظر پاسخ می ماند.

در سرور ACS اگر از دیتابیس خارجی مانند Microsoft Active Directory استفاده شده باشد سرور ACS یک درخواست به Active Directory برای تایید اعتبار یوزر و پسورد ارسال می کند. اگر اطلاعات ارسالی توسط Active Directory تایید شد ACS صحت تایید هویت را به روتر اطلاع می دهد و روتر اجازه دسترسی به کاربر را می دهد اما اگر اطلاعات در Active Directory وجود نداشت براساس تنظیمات صورت گرفته برای ACS می توان دیتابیس لوکال خود را بررسی کند. در کل می توان این نکته را برداشت کرد که ACS می تواند از چند دیتابیس که شامل چند دیتابیس خارجی و دیتابیس لوکال برای بررسی صحت یوزر و پسورد استفاده کند.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات