Authentifizierung, Autorisierung und Abrechnung (AAA)
Authentifizierung, Autorisierung und Abrechnung (AAA), manchmal auch mit den englischen Begriffen Authentication, Authorization und Accounting verwendet, bezeichnet ein Framework für die intelligente Zugriffssteuerung auf Computer-Ressourcen, die Durchsetzung von Richtlinien, die Nutzungsüberwachung und die Bereitstellung der für die Abrechnung von Services erforderlichen Informationen. Diese Prozesse zusammengenommen sind wichtig für eine effektive Netzwerkverwaltung und Netzwerksicherheit.
Authentifizierung als erster Prozess bietet eine Möglichkeit, einen Anwender zu identifizieren. Dies geschieht im Allgemeinen dadurch, dass er einen gültigen Benutzernamen und ein gültiges Passwort eingeben muss, bevor ihm der Zugriff erlaubt wird. Der Authentifizierungsprozess basiert darauf, dass jeder User für den Zugriff eindeutige, nur ihm zuordnenbare Kriterien besitzt. Der AAA-Server vergleicht die zur Authentifizierung angegebenen Anmeldedaten eines Nutzers mit den in einer Datenbank gespeicherten Anmeldeinformationen. Wenn beides übereinstimmt, erhält der betreffende Anwender Zugriff auf das Netzwerk. Stimmen hingegen die Anmeldeinformationen nicht überein, schlägt die Authentifizierung fehl, und der Netzwerkzugriff wird verweigert.
Nach der Authentifizierung muss ein User die Autorisierung zur Erledigung bestimmter Aufgaben erhalten. Vielleicht versucht der Anwender, nachdem er sich beim System angemeldet hat, zum Beispiel Befehle auszuführen. Der Autorisierungsprozess bestimmt, ob der User die Befugnis hat, diese Kommandos abzusetzen. Einfach ausgedrückt handelt es sich bei der Autorisierung um den Prozess, Richtlinien durchzusetzen: Dabei geht es darum, für welche Typen oder Eigenschaften von Aktivitäten, Ressourcen oder Services einem Anwender die Erlaubnis gewährt wird. Im Allgemeinen findet die Autorisierung im Kontext der Authentifizierung statt. Sobald man einen Benutzer authentifiziert hat, kann man ihn für unterschiedliche Zugriffs- oder Aktivitätsarten autorisieren.
Die letzte Komponente im AAA-Framework ist die Abrechnung, die den Ressourcenverbrauch eines Nutzers während seines Zugriffs misst. Dabei kann es sich beispielsweise um die Verweildauer im System handeln oder um die Datenmenge, die ein User während einer Arbeitssitzung gesendet und/oder empfangen hat. Die Abrechnung wird auf Grundlage der Protokollierung von Arbeitssitzungsstatistiken und Nutzungsinformationen gemacht. Sie wird verwendet für Autorisierungskontrolle, Rechnungserstellung, Trendanalyse, Ressourcenverbrauch und Kapazitätsplanung.
Die Dienste für Authentifizierung, Autorisierung und Abrechnung werden häufig von einem dedizierten AAA-Server zur Verfügung gestellt, einem Programm, das diese Funktionen ausführt. Ein aktueller Standard, über den sich Netzwerkzugangs-Server mit dem AAA-Server verbinden, ist der Remote Authentication Dial-In User Service (RADIUS).
Allerdings gibt es bei RADIUS bestimmte Einschränkungen im Zusammenhang mit der Verschlüsselung, was zur Entwicklung des Diameter-Protokolls geführt hat. Trotzdem findet in lokalen Netzwerken nach wie vor in erster Linie RADIUS Verwendung.
