Authentication Authorization Accounting

고대로 번역하면 “인증, 인가, 계정관리”가 되겠다.
(Accounting을 TTA정보통신용어사전에서 ‘과금’이라고 표현했지만, 좀 더 포괄적인 의미가 어울린다고 생각이 들어 ‘계정관리’라고 했다. 이 밖에 ‘회계’, ‘감시’라는 의미로 번역하는 분들도 있으니 참고.)

인증된 사용자(Authentication)가 인가된 권한(Authorization)을 통해 활동을 하고, 그 행위를 기록(Accounting)하는 것이다.

이 개념을 그대로 네트워크 장비에 가져오면 인증된 사용자만이 인가된 권한을 통해 명령어를 수행할 수 있고, 이 행위를 어딘가에 기록하는 것이다.

기존 Console과 VTY에서 설정된 Password가 있는 상태에서 AAA를 활성화한다면 모든 접속 인증은 AAA를 사용한다.

명령어

AAA 명령어를 수행하기 전 필히 아래 명령어로 활성화시켜야 한다.

Router(Config)# aaa new-model

Authentication 명령어

로그인 인증 부분만 살펴보자.

## 1. 인증 미사용
Router(Config)# aaa authentication login default none

## 2. enable secret 인증
Router(Config)# aaa authentication login default enable

## 3. 콘솔/VTY의 개별 비밀번호로 인증
Router(Config)# aaa authentication login default line

## 4. username/password로 인증
Router(Config)# aaa authentication login default local

## 5. Radius 인증
Router(Config)# aaa authentication login default group radius

## 6. Tacacs+ 인증
Router(Config)# aaa authentication login default group tacacs+ local

Authorization 명령어

1. 인증된 사용자에게 EXEC 모드로 바로 접근
Router(Config)# aaa authorization exec default

2. Privilege 레벨에 따라 명령어 권한 제어
Router(Config)# aaa authorization commands {0-15} default group radius local
Router(Config)# privilege exec level {0-15} conf t
Router(Config)# privilege configure level {0-15} interface

3. 네트워크 서비스 요청 권한 설정
Router(Config)# aaa authorization network default group radius local

4. 콘솔 접속 시 인증된 사용자에게 Privileged mode로 접근
Router(Config)# aaa authorization console

Accounting 명령어

Router(Config)# aaa accounting {options}

options에는 아래와 같은 값을 넣을 수 있다.

exec: Privilege mode에서 수행하는 행위에 대한 기록
command: 지정된 privilege level에서 모든 명령어 행위에 대한 기록
connection: 모든 아웃바운드 연결에 관한 정보 기록
system: 시스템의 모든 이벤트에 대한 기록
start-stop: 프로세서가 시작할 때 ‘start’, 종료할 때 ‘stop’ 기록
stop-only: 프로세서의 마지막에 ‘stop’ 기록