Коротко определим основные понятия известного протокола доступа к сетевым ресурсам aaa (от англ. Authentication, Authorization, Accounting), который используется для описания процесса предоставления доступа и контроля за ним. Поробую объяснить на жизненных примерах или, как говорят, на пальцах.
Аутентификация — это процесс определения личности. То есть, это процедура, которая дает возможность узнать тот ли это человек, за которого он себя выдает.
Бывают разного рода аутентификации, но самая популярная — связка логин/пароль. Также существует проверка на подлинность через сертификаты или смарт-карты. Связка логин/пароль в жизны используется редко, а вот сертификат и смарт-карты чаще. Например, паспорт является своего рода сертификатом. Этот документ авторитетно подтверждает, что Вы — гражданин страны, которая Вам выдала этот паспорт. Если Вы показали свой паспорт и там написано, что Вы — Вася Пупкин, то это так и есть. Смарт-картами можно назвать банковские карточки типа зарплатных или кредитных. Вы вставляете карточку в прибор, вводите пин-код и проводите операции с деньгами. Эта карточка обязательно привязана за каким-то человеком, и она однозначно опеределяет ее владельца.
Кроме того, аутентификация бывает локальной и удаленной. Локальная проходит на самом оборудовании, на которое нужен доступ, а удаленная действует через специальные програмно-аппаратные средства, выступающие посредниками между пользователем и устройством доступа. Локальная аутентификация похожа на предоставление резюме Вами лично, а удаленная похожа на рекомендательное письмо, которое авторитетно говорит за Вас.
Теперь об авторизации. Авторизация — это процесс сопоставления пользователя и наделенных ему прав. Это предоставление соответствующих полномочий человеку, который прошел процесс аутентификации. Это своего рода определение уровня доступа пользователя, который доказал, что он есть он.
Например, представим, что Вы выдаете себя за Васю Пупкина, а Вася Пупкин по закону может бесплатно ездить в автобусе. Так вот, если Вы предъявите свой паспорт и контроллер увидит, что Вы — Вася Пупкин (прошли аутентификацию), то он разрешит Вам ехать бесплатно (прошли авторизацию). Конечно, авторизация может быть негативной, когда, например, человеку, прошедшему аутентификацию отказано в доступе. Но суть остается — вам дали такие полномочия, которые соответствуют вашему пользователю.
Об аккаунтинге можно сказать, что это своего рода инспектирование прошедших аутентификацию пользователей. Или, что это учет ресурсов, которые потребляет пользователь. Здесь может быть разного рода информация о самом пользователе, информация об его активности на ресурсе. Это что-то похоже на бухгалтерию на предприятии — сколько средств было потрачено на зарплату тому или иному сотруднику.
В качестве aaa протоколов удаленной аутентификации/авторизации/аккаунтинга чаще всего используются сервисы RADIUS или TACACS/TACACS+. В следующей статье рассмотрим настройку RADIUS на базе сервиса NPS Windows 2008.