‫الفصل ‪ : 03‬الثقة وتقنية التعرف على الهوية‬

‫‪ AAA‬المركزية‬
 ‫المقدمة‬

‫ما الفرق بين ‪ AAA‬المحلية و ‪ AAA‬المركزية؟‬

 ‫ماذا سنتعلم؟‬

‫مصادقة ‪ AAA‬المركزية‬ ‫‪.1‬‬

‫تكوين مصادقة ‪ AAA‬المركزية‬ ‫‪.2‬‬

‫تكوين تخويل ومحاسبة ‪ AAA‬المركزية‬ ‫‪.3‬‬

‫مصادقة ‪ AAA‬المركزية‬
 ‫مصادقة ‪ AAA‬المركزية‬

‫‪ .1‬يقوم الُم ستخدم بتأسيس اتصال مع الراوتر‬

‫‪ .2‬يطلب موجه األوامر من الُم ستخدم اسم المستخدم وكلمة المرور‬

‫‪ُ .3‬يمرر الراوتر اسم الُم ستخدم وكلمة المرور إلى الخادم (‪)Cisco Secure ACS‬‬

‫‪ .4‬يقوم الخادم بتنفيذ المصادقة للُم ستخدم‬

 ‫بروتوكوالت ‪AAA‬‬

‫‪: +TACACS‬‬ ‫‪: RADIUS‬‬

‫‪ ‬بروتوكول ملكية لشركة سيسكو‬ ‫‪ ‬بروتوكول مفتوح‬

‫‪ ‬يفصل خطوات عملية المصادقة عن التخويل‬ ‫‪ ‬يدمج خطوات عملية المصادقة والتخويل معاً ‬

‫‪ ‬يستخدم ‪TCP‬‬ ‫‪ ‬يستخدم ‪UDP‬‬

‫‪ ‬يقوم بتشفير كافة البيانات‬ ‫‪ ‬يقوم بتشفير كلمات المرور فقط‬

‫‪ ‬المحاسبة محدودة‬ ‫‪ ‬المحاسبة شاملة‬

+TACACS ‫مصادقة‬
Radius ‫مصادقة‬
‫تكوين مصادقة ‪ AAA‬المركزية‬
 +Tacacs ‫تكوين المصادقة باستخدام‬

R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.2.10 ‫طريقة قديمة‬
R1(config)#tacacs-server key TacacsKey
R1(config)#aaa authentication login default group tacacs+

R1(config)#aaa new-model
R1(config)#tacacs server T-SERVER
R1(config-server-tacacs)#address ipv4 192.168.2.10
‫طريقة حديثة‬
R1(config-server-tacacs)#key TacacsKey
R1(config-server-tacacs)#exit
R1(config)#aaa authentication login default group tacacs+
 Radius ‫تكوين المصادقة باستخدام‬

R1(config)#aaa new-model
R1(config)#radius server R-SERVER
R1(config-radius-sever)#address ipv4 192.168.2.10
R1(config-radius-sever)#key RadiusKey
R1(config-radius-sever)#exit
R1(config)#aaa authentication login default group radius
 ‫تنفيذ المصادقة باستخدام طرق مصادقة متعددة‬

R1(config)#aaa authentication login default group tacacs+ group radius

R1(config)#aaa authentication login default group tacacs+ local enable
‫تكوين تخويل ومحاسبة ‪ AAA‬المركزية‬
 +Tacacs ‫تكوين التخويل والمحاسبة باستخدام‬

R1(config)#aaa authorization exec default group tacacs+

R1(config)#aaa accounting exec default start-stop group tacacs+

 Radius ‫تكوين التخويل والمحاسبة باستخدام‬

R1(config)#aaa authorization exec default group radius

R1(config)#aaa accounting exec default start-stop group radius

‫القياس والتقويم‬
‫ما الفرق الذي يحدث عند استخدام ‪ Windows Server‬كخادم ‪ ، AAA‬بدًال من ‪Cisco Secure ACS‬؟‬

‫يستخدم ‪ Windows Server‬وحدة تحكم ‪ Active Directory‬الخاصة به للمصادقة والترخيص‬

‫يتطلب ‪ Windows Server‬المزيد من أوامر ‪ Cisco IOS‬لتكوينها‬

‫يدعم ‪ Windows Server‬فقط ‪ AAA‬باستخدام ‪TACACS‬‬

‫ال يمكن استخدام ‪ Windows Server‬كخادم ‪AAA‬‬

‫ما هو بروتوكول المصادقة المستند إلى الخادم الذي سيكون األفضل لمؤسسة تريد تطبيق سياسات التخويل على أساس كل‬
‫مجموعة؟‬

‫‪SSH‬‬

‫‪ACS‬‬

‫‪+TACACS‬‬

‫‪HTTPS‬‬
‫لماذا يقوم مسؤول الشبكة بتضمين تكوين اسم مستخدم محلي ‪ ،‬عندما يتم تكوين جهاز التوجيه الممّك ن لـ ‪ AAA‬للمصادقة‬
‫باستخدام عدة خوادم ‪ACS‬؟‬

‫نظـًر ا ألن خـوادم ‪ ACS‬تـدعم فقـط وصـول المسـتخدم البعيـد ‪ ،‬يمكن للمسـتخدمين المحلـيين المصـادقة فقـط باسـتخدام‬
‫قاعدة بيانات اسم المستخدم المحلي‬

‫يلزم وجود قاعدة بيانات محلية السم المستخدم عند تكوين المصادقة باستخدام خوادم ‪ACS‬‬

‫بدون قاعدة بيانات اسم مستخدم محلي ‪ ،‬سيطلب جهاز التوجيه مصادقة ناجحة مع كل خادم ‪ACS‬‬

‫ستوفر قاعدة بيانات اسم المستخدم المحلي نسخة احتياطية للمصادقة في حالة تعذر الوصول إلى خوادم ‪ACS‬‬
 ‫الخالصة‬

‫يتم استخدام بروتوكول ‪ RADIUS‬و ‪ +TACACS‬في ‪ AAA‬المركزية‬

‫ُيعتبر بروتوكول ‪ RADIUS‬بروتوكول مفتوح‬

‫ُيعتبر بروتوكول ‪ +TACACS‬ملكية لشركة سيسكو‬