大家好，我是IT售前工程师Bernie.

如果企业的某个分支机构要访问总部网络，总部网络肯定不是任何人都能访问的，只有通过认证的才可以访问。比如访问OA系统、报账系统、ERP系统等等。

这个时候AAA认证、授权服务就派上用场了。

AAA是一种提供认证(Authentication )、授权(Authorization)和计费(Accounting )的安全服务。它可以用于验证某个用户账号是否合法、是否被授权访问服务，并且记录访问网络资源的情况。

关于认证

认证就是说：验证用户是否具备某个网络的访问权限。

AAA中的认证方式可以分为：不认证、本地认证和远端认证三种情况。

不认证

很简单，就是指服务器端完全信任用户，不对访问的用户做任何身份检查。实际上绝大多数网络不会采用不认证的方式，因为太简单粗暴了，不安全。

本地认证

就是将用户的本地信息作为参数配置在NAS存储上。本地认证处理速度快、认证成本低。但是，由于认证信息是存储在本地的，所以往往存储的数据量比较少。

远端认证

这种方式高大上一点，它是将认证信息配置在远端的服务器上，通过认证服务器来配合辅助认证。

这里需要特别说明一点，如果一个认证方案采用的是复合的认证方式，即多种认证方式并存。比如：先配置了本地认证，再配置了远端认证。那么，在本地认证失败或者无响应的时候，就会转入远端认证。

关于授权

授权是指规定用户被授权可以访问网络上的哪几项服务。AAA的授权方式支持：不授权、本地授权和远端授权。

不授权

就是不对用户进行任何的授权处理。用户访问没有限制，想访问哪项服务就能访问到。

本地授权

根据NAS存储上配置的相关授权属性进行授权。

远端授权

根据远端服务器配置授权信息，配置授权级别等等。

特别说明：如果一个授权方案采用了多种的授权方式，也是跟认证一样，按照配置顺序生效的。比如：先配置远端授权，再配置本地授权，那么如果远端授权方式有问题就会转为请求本地授权。

关于计费

计费，就是记录某个用户使用某项服务的情况，或者访问某项资源的情况。跟认证和授权有所不同，计费没有本地计费方式。只有：不计费和远端计费。

不计费

上网全免费，服务全免费，比如某个企业的门户、政府门户等等。

远端计费

通过远端的服务器记录用户的上网时长或者服务时长，以计算服务所产生的费用情况。比如我们可以记录某台主机的主机名、开始上线时间、服务时长，以及服务期间的上下行流量等。这样我们就可以计算流量的费用或者服务的费用了。

AAA域

说完了认证、授权和计费，接下来我们进一步了解下AAA域的概念。实际上，AAA是根据域来管理用户的，即：不同的域可以关联不同的认证、授权和计费方案。

在计算机网络中，每台主机属于自己的域。如下图，PC1属于areaA，PC2则属于areaB。如果不配置设备所在域，则默认缺省域default。

总结

以上是关于AAA认证的全部分享，具体的认证配置，可以先配置域的认证方案，然后再配置域的授权方案和授权方式。如下图

文章出自：​​IT一指禅​​，如有转载本文请联系【IT一指禅】今日头条号。