Routers/Switches တွေကိုဝင်ရောက်တဲ့အခါ အခြေခံအဖြစ် Enable password/ Line password တို့ကို အသုံး ပြုကြပါတယ်။ ပထမအဆင့် အနေနဲ့ Authentication အတွက်ပါ။ အဲဒီကမှ တဆင့် Local လို့ခေါ်တဲ့ Devices တွေအတွင်းမှာ ထည့်ရေးရတဲ့ User name ကို Privilege Level ခွဲပြီး အသုံးပြုကြပါတယ်။ Authorization အတွက်ပါ။ ပြီးရင် Logging on ပြီးတော့ ဘယ်သူတွေ ဝင်သွားတယ်ဆိုတဲ့ အခြေခံအကျဆုံး Accounting အလုပ်အတွက်ပါ။ AAA (Authentication, Authorization, Accounting) ကို အနိမ့်ဆုံးအနေနဲ့ အသုံးပြုထားတဲ့ ပုံစံလို့ပြောရင် ရပါတယ်။
ဒီလိုအသုံးပြုတဲ့ပုံစံဟာ အရေအတွက်အနည်းငယ် အတွက်တော့ အဆင်ပြေပါတယ်။ ဒါပေမဲ့ ကိုယ့်အဖွဲ့ အစည်း အတွင်းမှာရှိတဲ့ Network Devices တွေရဲ့ အရေအတွက်က များလာပြီ၊ အသုံးပြုတဲ့ ဝန်ထမ်းတွေ များလာပြီ ဆိုရင်တော့ အဆင်မပြေတော့ပါဘူး။ ဥပမာ Router/Switch တွေ အခု ၅၀ လောက်ရှိတဲ့ နေရာမျိုး ဆိုပါတော့။ အဲဒီ အလုံး ၅၀ အတွက် Login AAA အတွက် လိုက်ပြီး ထည့်ဖို့ရာ ခရီးမရောက်ပါဘူး။ Password ပြောင်းဖို့ ကိစ္စတစ်ခုကို အရင်စဉ်းစားကြည့်ပါ။ အကြိမ် ၅၀ လိုက်ပြောင်းရမှာပါ။ နောက်တစ်ခါ ဝန်ထမ်းတစ်ယောက် ထွက်သွားပြီ၊ အသစ် တစ်ယောက်ဝင်လာပြီ ဆိုရင်ကော။ ရှိသမျှ Devices တွေ အားလုံးမှာ လိုက်ပြင်၊ လိုက်ထည့်ရမှာပေါ့။ ဒါဆိုရင် တော့ အဆင်မပြေဘူး၊ အကုန်လုံးကို Enable/Line password နဲ့သာ ပေးဝင်လိုက်ဆိုရင်တော့ အရင်က ရခဲ့တဲ့ အခြေခံ အကျဆုံး AAA လေးပါ ပျောက်သွားမှာ ဖြစ်ပါတယ်။ ဒီကိစ္စကို ဖြေရှင်းဖို့အတွက်ဆိုရင်တော့ AAA server ကို အသုံးပြုရမှာဖြစ်ပါတယ်။
AAA ဆိုဘာလဲ၊ ဘာကြောင့်အရေးကြီးတာလဲဆိုတာကိုတော့ အရင်သိထားဖို့လိုပါလိမ့်မယ်။ AAA ဆိုတာ Authentication, Authorization, Accounting ကိုပြောတာပါ။ မြင်သာအောင် ဥပမာ ပြရမယ်ဆိုရင် အစိုးရ ရုံးတွေကို တစ်ခါလောက် သွားကြည့်လိုက်ပါ။ ရုံးအတွင်းကို ဝင်ဖို့အတွက် ဝန်ထမ်းတွေက ဝန်ထမ်းကဒ်ပြပြီး ဝင်ကြပါတယ်။ ဝန်ထမ်းကဒ်မှာ ဘယ်သူ ဘယ်ဝါဆိုပြီးတော့ အမည်၊ ဌာန၊ ဓါတ်ပုံ တွေနဲ့ သတ်မှတ်ထားတာ ကို တွေ့မှာပါ။ အဲဒါ User Identify လုပ်တာပါ။ လုံခြုံရေးက အဲဒီကဒ်နဲ့ လူနဲ့ကို တိုက်ကြည့်ပြီး ပေးဝင်ပါ တယ်။ ဒါဟာ Identification နဲ့ Authentication process ပါ။ အဲဒီဝန်ထမ်းရဲ့ အချက်အလက်တွေကိုတော့ သူအလုပ်စဝင်တဲ့ အချိန်တုန်းက သတ်မှတ်ပေးပြီး တော့ ဗဟိုထိန်းချုပ်တဲ့ ဖိုင်တွေမှာမှတ်ထားပါတယ်။ AAA server ရဲ့ အစိတ်အပိုင်းတစ်ခုဆိုပါတော့။ အဲဒီ ဗဟိုဖိုင်မှာပဲ သူရဲ့ ရာထူး၊ ဌာနခွဲ အရ သူသွားနိုင်နဲ့ နေရာတွေ၊ လုပ်ပိုင်ခွင့် ရှိတဲ့အရာတွေကို သတ်မှတ်ထားပါတယ်။ အဲဒါကတော့ Authorization ပါ။ ရုံးထဲကို Authenticate လုပ်ပြီး ဝင်လာရုံနဲ့ လုပ်ချင်တာ လုပ်လို့မရပါဘူး။ Authorization နဲ့ ပြန်ခွဲ၊ ပြန်ထိန်းထား ပါတယ်။ ‘Who is trusted to perform which operations’ ။ ပြီးရင် သူရဲ့ ရုံးတက်မှတ်တမ်း၊ လုပ်ပိုင်ခွင့်ရတဲ့ ကိစ္စတွေမှာ ထိုးရတဲ့ လက်မှတ်၊ စတာတွေဟာ သက်သေခံ အချက်အလက်တွေဖြစ်တဲ့ အတွက် Accounting လို့ ဆိုရမှာပါ။ Accounting ဆိုတာက Accountability ကိုပြောတာပါ။ သူရဲ့လုပ်ဆောင်မှုတွေကို စောင့်ကြည့် ဖို့၊ ပြန်လည်စစ်ဆေးနိုင်ဖို့အတွက်ပါ။ Auditing, Logging and monitoring ဆိုတဲ့ အချက်တွေနဲ့ ပြည့်စုံရမှာ ဖြစ်ပါတယ်။
ဒီလုပ်ဆောင်ပုံတွေဟာ Privilege ရှိတဲ့ ဝန်ထမ်းတွေမှာတောင် အဆင့်ဆင့် ခွဲထားပြီး ထိန်းချုပ်ထားတဲ့ ပုံစံပါ။ ဒါဆို ဧည့်သည်တွေဆိုရင်ရော။ သူတို့ကိုတော့ Privilege အနိမ့်ဆုံးဖြစ်တဲ့ Read-only user အဖြစ် မြင်ကြည့်နိုင်ပါတယ်။ ဧည့်သည်တွေလာတဲ့အခါ သူတို့ရဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ယူထားပြီး အနိမ့်ဆုံး Privilege ဖြစ်တဲ့ ရုံးအတွင်း ဝင်ရောက်ခွင့် Visitor pass ကိုသာ ပေးလေ့ရှိပါတယ်။ အခုပြောခဲ့တဲ့ ရုံးအတွင်းဝင်ရောက်တဲ့ပုံစံကို အသုံးပြုတဲ့ Manual documentation process အစား Computerized system နဲ့ အစားထိုးလိုက်မယ်ဆိုရင် ကျွန်တော်တို့ Devices တွေကို Login ဝင်တဲ့ပုံစံနဲ့ ပိုပြီးယှဉ်ကြည့်လို့ ရပါ လိ်မ့်မယ်။ အဲဒီတော့ အပေါ်က ပြဿနာကို ဖြေရှင်းဖို့ ဆက်ရမယ်ဆိုရင် အဲဒီ Devices တွေကိုဝင်ရောက် ဖို့အတွက် Centralized Control ဖြစ်တဲ့ AAA server ထားရှိရပါမယ်။ အဲဒီ Server အတွင်းမှာ Devices list, user list, privilege level စသဖြင့် ထည့်ထားပြီး Devices အားလုံးကနေ အဲဒီ Server ကိုလှမ်းချိတ်ထား ရပါတယ်။ တခုခု အပြောင်းအလည်း လုပ်ချင်ရင် Server မှာ ပြောင်းလိုက်တာနဲ့တင် အကုန်လုံးကို ပြင်ထား ပြီးသွားဖြစ်သွားပါလိမ့်မယ်။ Devices/Clients to Server ကို RADIUS သို့မဟုတ် TACACS+ protocol အသုံးပြုပြီး ချိတ်ဆက်ရပါတယ်။ အဲဒီ အကြောင်းကို သီးသန့်ထပ်ရေးပါအုံးမယ်။
အခုလောက်ဆိုရင် Devices Administration အတွက် AAA server အသုံးပြုရတဲ့ အကြောင်း၊ AAA ဆိုတာ ဘာလဲဆိုတာကို တီးမိခေါက်မိ ရှိလောက်ပြီလို့ ထင်ပါတယ်။
ကိုဖြိုး
No comments:
Post a Comment