AAA介绍

AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称。具体内容如下：

• 认证：验证用户身份。
• 授权：根据配置对用户授予一定权限。
• 计费：记录用户使用网络资源应付的费用。

安全网关支持以下认证方式：

• 本地认证：将用户信息（包括用户名称、密码和各种属性）配置在安全网关上。本地认证速度快，可以降低运营成本，但是存储信息量受设备硬件条件的限制。默认情况下，安全网关使用本地认证的方式对用户进行认证。
• 外部认证：支持通过RADIUS协议和LDAP协议进行外部认证。将用户信息储存在外部RADIUS或LDAP服务器上，通过外部RADIUS或LDAP服务器对安全网关的用户进行认证。

安全网关支持以下授权方式：

• 本地授权：根据安全网关上为本地用户帐号配置的相关属性进行授权。
• 外部服务器认证成功后授权：RADIUS/LDAP协议的认证和授权绑定在一起。

安全网关外部认证流程

当用户通过终端与安全网关建立连接从而获得访问或管理安全网关的权利时，安全网关可以基于配置的RADIUS或者LDAP服务器来认证用户。下图为安全网关外部认证流程图：

如图所示，安全网关的外部认证流程为：

1. 用户将名称和密码发给安全网关。
2. 安全网关接收用户名称和口令，并向RADIUS/LDAP服务器发送认证请求。
3. RADIUS/LDAP/AD服务器收到合法请求后，进行验证。如果认证通过，RADIUS/LDAP服务器会把用户的配置信息返回给安全网关，否则，返回拒绝信息。安全网关和RADIUS/LDAP服务器之间的安全由共享的秘密（密钥或者密文）来保证。