AAA 授权要求( 二 )


的使用,比如支持基于访问控制的任务(rolebasedAccesscontrol,RBAC) 。
要求支持基于许可、任务、组和其它信息的授权 。只携带一致性信息的AAA协议将不
满足需求 。
2.1.6授权数据除了包含最终实体直接拥有的属性外,可能还包含限制 。
这说明某些属性不是简单地表示一个实体的属性,例如IR1,000的开销限制不是一个实
体的固有属性 。这也对访问决定功能有影响,因为进行比较不是一个简单的等式匹配 。
2.1.7必须可使其它(非AAA)协议能定义它们自己的可携带在一个AAA或应用协议授
权包中属性类 。
这说明,对一个授权决定至关重要的属性可能是依靠应用协议的 。例如,将会需求许多
RFC2138定义的属性类和对这些属性的语义学支持 。当然,只有那些知道更多属性类的AAA
实体才可使用它们 。
2.1.8应当答应系统治理员定义他们自己的可携带在一个AAA或应用协议授权包中属性
类 。
这说明,对一个授权决定至关重要的属性可能依靠一个封闭环境 。例如,许多组织有定
义很好的资历计划,可用来决定晋级级别 。当然,只有那些知道更多属性类的AAA实体才
可使用它们 。
2.1.9应当可以在没有属性命名空间的中心治理和控制下定义新的属性类 。
假如要避免在属性类分配中的冲突,就需要某种集中或分布的定位计划 。然而,一个总
是要求使用这样的集中定位的AAA协议将不满足要求 。当然,冲突会尽可能的避免 。
2.1.10必须可能定义属性类,使得单个AAA消息中一个属性的实例可有多个值 。
这说明不答应消息/事务中的一个属性有多个实例的协议不能满足要求 。例如,应当可能
有一个“组”属性,它包含多个组名(或数字或任何其它东西) 。
2.1.11必须可以在“安全域”或“权限”基础上区分相同授权属性类或值的不同实例 。
这就认可了能够区分那些不仅仅基于值的属性是重要的 。例如,所有的NT域(使用英
语)都有一个治理员组,所以需要一个访问决定功能够决定请求者是属于这些组中的哪一个 。
2.1.12AAA协议必须指定更新规则的机制,这些规则是用来控制授权决定的 。
这说明不能提供分布授权规则的AAA协议是不充分的 。例如,这可用来下载ACLs到
PDP 。
注重,这并不意味着必须总是使用此AAA协议机制,简单地说就是它们必须在使用时
可获得 。非凡的,在通常情况下会使用存储在可信任库(通常是LDAP服务器)里的授权
规则,而不是这样的一个AAA协议机制 。这个要求在两种情况下都不要求授权规则有标准
格式,仅仅是有一个传输它们的机制 。
2.1.13AAA协议必须答应AAA实体链包含在授权决定中 。
这说明,多于一个的AAA服务器必须包含在单个授权决定中 。这种情况的发生可能是
由于决定通过多个“域”传播或是为了把授权分布在单个“域”中 。
2.1.14AAA协议必须答应中间AAA实体可往AAA请求或响应中增加它们自己本地的授权
信息 。
这说明,当有多个AAA实体包含在授权决定中时,每个AAA实体都可以通过增加更多
的信息或处理部分信息来实现对AAA消息的利用 。
2.1.15AAA实体既可以单独使用又可以和应用实体综合 。
这说明,AAA实体既可以作为AAA服务器实现,也可以和应用实体综合 。
2.1.16AAA协议必须支持规则的建立和编码,这些规则在一台基于另一个AAA服务器发布
的属性的AAA服务器上激活 。发出请求的AAA服务器的授权级别可以治理关于属性的视

推荐阅读