မိမိရဲ့ အဖွဲ့အစည်းအတွင်းမှာ AAA အသုံးပြုဖို့ ဆုံးဖြတ်လိုက်ပီ ဆိုရင်ပဲ ပထမဆုံး အနေနဲ့ အလွန်ပဲသင့်တော်တဲ့ ဆုံးဖြတ်ချက် တစ်ခုကို ချမှတ်ပြီးပြီလို့ဆိုနိုင်ပါတယ်။ နောက်တဆင့် အနေနဲ့ AAA ကို ဘယ်နေရာတွေမှာ အသုံးပြု မယ်ဆိုတာ သတ်မှတ်ရပါမယ်။ Network Access အတွက်လား Devices Administration အတွက်လား ဆိုတာ ကြည့်ရပါမယ်။ အဲဒီအပေါ်မှာ မူတည်ပြီးတော့ ကိုယ့်အသုံးပြုမဲ့ AAA Server နဲ့ AAA Protocol ကို ရွေးချယ်ရပါ လိမ့်မယ်။ အဲဒီမှာ လိုအပ်ချက် နှစ်မျိုးစလုံးအတွက် AAA စနစ် နှစ်မျိုး အသုံးပြုမလား၊ တစ်မျိုးသာ သုံးမလားဆိုတာ ဆုံးဖြတ်ရပါတယ်။ ဒီတော့ RADIUS လား TACACS+ လား၊ ဘာသုံးမလဲဆိုတာက မေးခွန်းဖြစ်လာပါတယ်။
ဒီနှစ်ခုရဲ့ အဓိက အသုံးပြုပုံကို လေ့လာကြည့်ရင် RADIUS ကို Network Access အနေနဲ့ အသုံးပြုတာဖြစ်ပြီး TACACS+ ကိုတော့ Devices Administration မှာ အသုံးပြုကြပါတယ်။ အရင်က TACACS+ ကို Cisco Devices တွေကိုသာ အသုံးပြုကြတယ်လို့ ထင်ရပေမယ့် Vendors အများစုဟာလည်း TACACS+ ကို အသုံးပြုလို့ ရပါတယ်။ နောက်တမျိုးအနေနဲ့ ကြည့်မယ်ဆိုရင် RADIUS ဟာ Subscriber AAA အတွက် အဓိက ဖန်တီးထား တာဖြစ်ပြီး TACACS+ ကိုတော့ Administrator AAA အတွက် တည်ဆောက်ထားတယ်လို့ ဆိုလို့ရပါတယ်။ TACACS+ ရဲ့ အားသာချက်ကတော့ Authorization ပုံစံမတူလို့ ဖြစ်ပါတယ်။ RADIUS က Authentication နဲ့ Authorization ကို တွဲထားပြီး TACACS+ ကတော့ Authorization ကို ခွဲထားလို့ ဖြစ်ပါတယ်။ RADIUS ဟာ Authentication reply လုပ်တဲ့ အချိန်မှာ အဲဒီ Client ရဲ့ ရသင့်တဲ့ Authorization Level ကို တွဲပြီး ပေးလိုက်ပါ တယ်။ အဲဒီ Level အတွင်းမှာ ကြိုက်တာလုပ်ပေါ့။ TACACS+ ကတော့ ဒီလိုမဟုတ်၊ Authentication ပြီးတဲ့ အခါ မှာ Authorization အတွက် Authorization Policy ကိုသုံးပြီး သီးသန့် ထပ်စစ်ပါတယ်။ Administrator က အသုံး ပြုတဲ့ Command Level အထိကို စစ်လို့ရပါတယ်။
မြင်သာအောင် ဥပမာနဲ့ ထပ်ကြည့်ရမယ်ဆိုရင်တော့ တည်းခိုခန်းမှာ တည်းတဲ့ ပုံစံနဲ့ ဟိုတယ်မှာ တည်းတဲ့ ပုံစံကွာ သလို ပါပဲ။ တည်းခိုခန်းဟာ အခြေခံကြတဲ့ AAA ဖြစ်တဲ့ လာတည်းတဲ့ ဧည့်သည်ကို စာရင်းသွင်းမယ်၊ သူတည်းမဲ့ အခန်းကိုသော့ပေးမယ်၊ အခန်းအတွင်းမှာ ရေဘူးပေးရင်ပေးထားမယ်၊ ဒါဆို သူရဲ့ ဝန်ဆောင်မှုက ပြည့်စုံပြီ။ အဲဒီ ဧည့်သည် အပြင်သွားလို့ပြန်လာရင် စာရင်းသွင်း ထားတဲ့ သူမှန်ရင်သူ့အတွက်သတ်မှတ်ထား တဲ့ အခန်းသော့ကိုပြန် ပေးမယ်။ ဧည့်သည်ပြန်သွားရင် စာရင်းထဲကနေ ဖျက်လိုက်မယ်။ ဟိုတယ် ကတော့ အဲဒီထက်ပိုတဲ့ ဝန်ဆောင်မှုကို ပေးနိုင်တယ်။ ဧည့်သည် တစ်ယောက်ရောက်လာရင် သူဝယ်ထားတဲ့ အဆင့်ပေါ်မူတည်ပြီး မနက်စာ ပါသလား၊ရေ ချိုးကန်ရှိတဲ့ အခန်းယူမှာလား၊ အခန်းအတွင်းက မီနီဘားအသုံးပြုမလား၊ အထပ်မြင့်ယူမလား၊မြင်ကွင်းကောင်းတဲ့ အခန်းနေမလား စသဖြင့် ခွင့်ပြုနိုင်တဲ့ ကိစ္စတွေကို ခွဲခြားပြီး ထပ်ပေးလို့ရတယ်။ အဲဒီမှာလည်း အနိမ့်ဆုံးဝင်ဆောင် မှုတွေဖြစ်တဲ့ ရေကူးကန် အသုံးပြုခွင့်၊ Gym သုံးခွင့် စတာတွေကို အားလုံးကိုပေးထားလို့ရတယ်။ Privilege level ဆိုပါတော့။ အဲဒီပေးလိုက်တဲ့ Authorization အပေါ်မူတည်ပြီး ဧည့်သည်က ဘာဟာဖြစ်လုပ်လို့ရတယ်၊ ဘာဟာ ကတော့ မရဘူးဆိုတဲ့ဟာမျိုးကို ပိုမို ထိန်းချုပ်လို့ရသလို၊ ပိုမိုဝန်ဆောင်မှုပေးနိုင်တယ်။ တည်းခိုခန်းမှာ သုံးတဲ့စနစ်၊ Protocol နဲ့ ဟိုတယ်မှာ သုံးတဲ့ စနစ် Protocol မတူတာကို တွေ့ရလိမ့်မယ်။ TACACS+ က ဟိုတယ်မှာ သုံးတဲ့ Protocol လိုမျိုး ဘယ် Admin ဆိုရင်တော့ ဘယ် Devices တွေ ကိုင်လို့ရတယ်၊ ဘယ် Command တွေ သုံးလို့ရ တယ်ဆိုတာမျိုးကိုပါ အသေးစိတ် စစ်ဆေးလုပ်ဆောင်ပေးနိုင်တယ်။ ဒါကြောင့် Devices Administration အတွက် ဆိုရင် TACACS+ က အားသားတယ်။ ပေါ့ပေါ့ပါးပါး Network Access အတွက်ပဲဆိုရင်တော့ RADIUS ကိုသုံးပေါ့။
ပေါ့ပေါ့ပါးပါးလို့ဆိုတဲ့နေရာမှာလည်း သူတို့ Transport အနေနဲ့ သုံးတဲ့ Protocol က မတူဘူး။ RADIUS က UDP ကိုသုံးတယ်၊ TACACS+ က TCP ကို သုံးတယ်။ ထုံးစံအတိုင်းက TCP က overhead ပိုများတာပေါ့။ TCP က Connection oriented ဆိုတော့ကာ Reliability မှာ အားသာပြန်တယ်။ တဖန် RADIUS က TACACS+ လို the whole packet ကို encryption မလုပ်တဲ့အတွက် လုံခြုံရေးအရလည်း အားနည်းပြန်တယ်။ ဒါတွေက TACACS+ ကို ဇောင်းပေးပြီး ပြောထားတဲ့ အကြောင်းအရာတွေ၊ RADIUS မှာလည်း သူရဲ့ အားသာချက်တွေ ရှိတယ်။ အဓိက ကတော့ ကိုယ်အဖွဲ့အစည်းက လိုအပ်ချက်နဲ့ အခြေအနေပေါ်မူတည်ပြီး ဘာသုံးမလဲဆိုတာ ရွေးရမှာပဲ။ Authorization ကိစ္စကို လျော့ပေါ့ ပြီး စနစ် တစ်ခုတည်း အသုံးပြုရင်လည်း ရတာပဲ။ ဒါမှ မဟုတ် Network Access Control အတွက် RADIUS ကိုသုံး၊ Devices Administration အတွက် TACACS+ ကိုသုံးကြတာတွေ လည်း ဒုနဲ့ဒေးပါပဲ။ ဒါပေမဲ့ Server သက်သာအောင် RADIUS ရော၊ TACACS+ ကို တစ်လုံးထဲမှာ မထားကြဖို့ ကိုတော့ အကြံပေးထားတာတွေ ဖတ်ရတယ်။ အဲဒီလိုလည်း နှစ်ခုစလုံးကို Server တစ်လုံးထဲမှာ တင်ပြီး မသုံးခဲ့ဘူးတော့ ဘာပြဿနာ တွေဖြစ်ကြမလဲဆိုတာတော့ မပြောတတ်ဘူး။
ဒီလောက် ဆိုရင်တော့ ဘာဆိုရင် ဘာသုံး ဆိုတာလောက်တော့ အင်တာဗျူးတွေမှာ ဖြေလို့ရလောက်ပါပြီ။ ဟိုတယ် ဆားဗစ်တွေက နမူနာပါ၊ တကယ်ဆို ဟိုတယ် စနစ်က ဒီထက်ပိုပြီးရှုပ်ထွေးပါတယ်။ တခြား ဘာဝန်ဆောင်မှုတွေ ရှိသေးလည်းဆိုတာ ဆက်စဉ်းစားမနေပါနဲ့။
ကိုဖြိုး။
No comments:
Post a Comment