radius（庞大的网民如何登录访问网页与应用？AAA认证技术——远端登录）

导读：现在企业与公司基本上都有庞大的网上用户，就比如某度云盘，在用户繁多的前提下实现你的准确登录以及授权呢？　　 我们就这上次的AAA技术接着深入研究。AAA技术的远端认证

　　现在企业与公司基本上都有庞大的网上用户，就比如某度云盘，在用户繁多的前提下实现你的准确登录以及授权呢？

　　 我们就这上次的AAA技术接着深入研究。

AAA技术的远端认证

　　

远端认证

　　由于网上的用户基数大，不得不采用配置认证服务器进行远端认证。（防火墙内存有限无法使用本地认证）

　　先要进行用户认证，防火墙发送信息到认证服务器上搜寻匹配，再将信息反馈到防火墙，进行授权放行。

　　认证服务器有三种模式，一是RADIUS，二是HWTACACS，三是LDAP。（可选择其中之一进行搭建，这三种模式都是AAA技术的协议）

RADIUS（国际通用认证协议）

　　

　　RADIUS服务器需要手动在服务器上输入用户的数据，当用户来认证上网时，输入账号密码进行认证，然后再到防火墙请求认证服务器进行匹配，然后将匹配出的结果反馈给防火墙进行授权。它的连接模式是UDP，认证与授权的端口不同，认证端口是1812(1645是旧版的认证端口)，授权是1813(1646是旧版的授权端口)，一般可以使用第三方软件进行搭建RADIUS服务器

LDAP

　　

　　LDAP服务器基于C/S架构(客户机/服务器)，其实与上面的RADIUS的认证方式大致相同，都是认证请求，认证匹配，认证授权。

HWTACACS（华为私有）

　　 这个HWTACACS就比较不同，是华为私有研发的认证，在TACACS协议的基础上进行增强，使用TCP分别进行认证与授权。

　　用户发起账号与密码的认证，数据包到了防火墙先进行认证，去服务器匹配这个账号与密码，然后回复防火墙，防火墙再进行授权请求，服务器再回复授权。

　　HWTACACS与RADIUS的比较

　　相对RADIUS仅对认证报文的密码加密，HWTACACS就更加安全，对于整个初报文头之外都进行加密，包括用户的IP地址，用户账号，用户密码，防止网络窃听的可能。值得注意的是它可以对用户约束约束用户的动作权限，也就是说可以让你约束增，删，改，查，像是访客的话，就只能看网页而不能修改网页。RADIUS则是完全放行动作授权的。

　　所以HWTACACS不管是传输还是应用，都比其他更加安全。不过这个用户授权是私有研发的，所以要配套的防火墙才可以识别这个协议。

　　本次分享就到这里啦，下次在分享网页用户的单点登录。