Authentication, Authorization and Accounting

[RIGHT][FONT=Tahoma]که مخفف Authentication, Authorization and Accounting است سه محور اصلی در کنترل دسترسی در شبکه هستند که در این بخش در مورد هریک از آنها به طور مجزا و مختصر صحبت می*شود. ابتدا تعریفی از هریک از این مفاهیم ارائه می*دهیم.[/FONT][/RIGHT]
[B][RIGHT][FONT=Tahoma]۱ - Authentication[/FONT]
[FONT=Tahoma]۱-۱ - مفهوم Authentication [/FONT][/RIGHT]
[/B][RIGHT][FONT=Tahoma]به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر،* تجهیزات یا نرم*افزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتدایی*ترین و معمول*ترین حالت شامل نام کاربری و کلمه عبور می*باشند. در صورت نیاز به بالاتر بودن پیچیدگی فرایند کنترل و وارسی هویت، می*توان با اضافه نمودن عناصر شناسایی به این مهم دست یافت. بدیهی* است که با اضافه نمودن فاکتورها و عناصر شناسایی، نوع خادم مورد استفاده، پایگاه*های داده*ای مورد نظر و در بسیاری از موارد پروتکل*ها و استانداردها نیز باید مطابق با تغییرات اعمال شده در نظر گرفته شوند تا یکسانی در ارائه خدمات در کل شبکه حفظ شود.[/FONT]
[FONT=Tahoma]پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر می*کند.[/FONT]
[FONT=Tahoma]عمل Authentication، در طراحی* شبکه*هایی با حجم کم و متوسط عموماً توسط تجهیزات مسیریابی و یا دیوارهای آتش انجام می*گیرد. علت استفاده از این روش مجتمع سازی و ساده سازی پیاده*سازی عمل Authentication است. با استفاده از امکانات موجود نیاز به استقرار یک خادم مجزا برای صدور پذیرش هویت متقاضیان دسترسی مرتفع می*گردد.[/FONT]
[FONT=Tahoma]از سوی دیگر در شبکه*های با حجم و پیچیدگی نسبتاً بالا،* عموماً با توجه به پردازش بالای مختص عمل Authentication، خادمی بصورت مستقل و مجزا به این امر اختصاص می*یابد. در این روش از استانداردها و پروتکل*های مختلفی همچون TACACS+ و RADIUS استفاده می*گردد.[/FONT][/RIGHT]
[B][RIGHT][FONT=Tahoma]۱-۲ - فعال نمودن Authentication[/FONT][/RIGHT]
[/B][RIGHT][FONT=Tahoma]فعال نمودن Authentication بر روی تجهیزات مورد استفاده در شبکه عملی است که عموماً در چهار مرحله انجام می*شود :[/FONT]
[FONT=Tahoma]الف - فعال نمودن AAA بر روی سخت*افزارهای مورد نظر[/FONT]
[FONT=Tahoma]ب - ایجاد پایگاه* داده*ای از کدهای کاربری کاربران یا تجهیزات شبکه به همراه کلمه*های عبور. همانگونه که ذکر شد، این پایگاه می*تواند در داخل تجهیزات مورد استفاده در شبکه*های با حجم کم پیاده*سازی شود. در شبکه*های با حجم نسبتاً بالا که در آنها نیاز به استفاده از خادمی مختص عمل Authentication احساس می*شود، تجهیزات فعال شبکه به گونه*ای پیکربندی می*شوند که عمل Authentication را با استفاده از پایگاه*های داده*ای مستقر بر روی خادم*های مختص این فرایند،* انجام دهند.[/FONT]
[FONT=Tahoma]ج – ایجاد فهرست(های) روش انجام عمل Authentication. این فهرست*ها به تعیین روش* مورد نظر برای عمل Authentication اخصاص دارند. [/FONT]
[FONT=Tahoma]د – اعمال فهرست(های) روش ساخته شده ار مرحله قبل.[/FONT]
[FONT=Tahoma]در هر شبکه، در صورت نیاز به عمل Authentication، این چهار مرحله بر روی تمامی تجهیزاتی که در عمل AAA نقش دارند اجرا می*شوند.[/FONT][/RIGHT]
[B][RIGHT][FONT=Tahoma]۲ – Authorization[/FONT]
[FONT=Tahoma]۲-۱ - مفهوم Authorization[/FONT][/RIGHT]
[/B][RIGHT][FONT=Tahoma]Authorization فرایندی است که طی آن به کاربران و یا تجهیزات متقاضی دسترسی به منابع، امکان استفاده از منبع یا منابع مستقر بر روی شبکه داده می*شود. به بیان دیگر این عمل برای مدیران شبکه امکان تعیین نوع دسترسی به هریک از منابع شبکه، برای تک تک متقاضیان دسترسی و یا گروهی از آنها، را فراهم می*کند. [/FONT]
[FONT=Tahoma]از سوی دیگر،* عمل امکان اختصاص آدرس*های شناخته شده و از پیش تعیین شده به کاربران یا تجهیزات، همچون متقاضیانی که با استفاده از پروتکل PPP به شبکه متصل می*شوند،* را می*دهد. این عمل متقاضی را ملزم به استفاده از نوع خاصی ار استانداردها یا پیکربندی*های ارتباطی مورد نظر مدیر شبکه می*کند.[/FONT]
[FONT=Tahoma]زمانی که Authorization بر روی شبکه فعال شده باشد، خادم شبکه*ای که مسئولیت Authorization را بر عهده دارد اطلاعات کاربر را از روی پایگاه داده کاربرها استخراج می*کند. این پایگاه داده می*تواند بر روی خادم محلی بوده و یا بر روی پایگاهی مجزا قرار داشته باشد.[/FONT]
[FONT=Tahoma]پس از استخراج این اطلاعات، وضعیت دسترسی مورد قبول مدیریت با تقاضای کاربر قیاس گردیده و تایید یا عدم تایید اجازه استفاده از سرویس یا منبع مورد نظر متقاضی صادر می*شود.[/FONT][/RIGHT]
[B][RIGHT][FONT=Tahoma]۲-۲ – برقراری Authorization[/FONT][/RIGHT]
[/B][RIGHT][FONT=Tahoma]برقراری و فعال نمودن Authorization عملی مشابه فعال نمودن Authentication است. برای برقراری و فعال نمودن Authorization، Authentication باید فعال شده باشد. به عبارت دیگر کلیه مراحل را می*توان به شکل زیرخلاصه نمود:[/FONT]
[FONT=Tahoma]الف - فعال نمودن Authentication بر روی سخت*افزارهای مورد نظر. همانگونه که ذکر شد اولین مرحله از چهار مرحله فعال*سازی این فرایند، فعال* سازی AAA بر روی تجهیزات است.[/FONT]
[FONT=Tahoma]ب – ایجاد فهرست(های) روش انجام عمل Authorization. این فهرست*ها علاوه بر تعیین روش* مورد نظر برای عمل Authorization، مبین سرویس مورد نظر برای عمل Authorization نیز می*باشند. [/FONT]
[FONT=Tahoma]ج – اعمال فهرست(های) روش ساخته شده ار مرحله قبل.[/FONT][/RIGHT]
[B][RIGHT][FONT=Tahoma]۳ - Accounting[/FONT]
[FONT=Tahoma]۳-۱ – مفهوم Accounting[/FONT][/RIGHT]
[/B][RIGHT][FONT=Tahoma]Accounting آخرین بخش از فرایند جمعی AAA است. طی این فرایند، گزارشی از عملکرد کاربران یا سخت*افزارهایی که هویت آنها طی اعمال Authentication و Authorization تایید شده است، توسط خادم AAA تهیه می*شود. این عمل می*تواند با استفاده از خادم های خارجی که اس پروتکل*ها و استانداردهایی چون TACACS+ و RADIUS استفاده می*کنند انجام گیرد. [/FONT]
[FONT=Tahoma]به بیان دیگر،* این عمل قدمی فراتر از دو مرحله پیشین برداشته،* و پیگیری بعدی، پس از احراز هویت را انجام می*دهد. پیام*های Accounting به شکل رکورد،* میان تجهیزاتی که از طریق آنها دسترسی متقاضی درخواست شده و پایگاه*های داده*ای از قبیل TACACS+ یا RADIUS، تبادل می*گردد.[/FONT][/RIGHT]
[B][RIGHT][FONT=Tahoma]۳-۲ – فعال سازی Accounting[/FONT][/RIGHT]
[/B][RIGHT][FONT=Tahoma]فرایند فعال سازی Accounting مشابه Authorization است که مهم*ترین مراحل شامل ایجاد فهرست*های روش Accounting و اعمال آنهاست..[/FONT]
[SIZE=2][/SIZE]
[SIZE=2]با تشکر : پویان پبدنی[/SIZE][/RIGHT]