18
2013
04

【图文】Cisco Secure ACS 5.2配置教程

注:本文需要用到的材料都可以在http://download.csdn.net/download/icejackzzz/3583145,本文所述内容均源于互联网和个人研究,仅供个人学习使用!

1、设置AAA服务端

关于如何安装和破解Cisco ACS 5.2之前的一篇文章中我们已经讨论过了,现在我们来讨论一下如何使用Cisco ACS 5.2,这篇文章中我们主要对AAA服务中的Authentication(认证)和Authorization(授权)进行讨论。

Cisco ACS 5.2同时支持IETFRadius服务认证和Tacacs+服务认证,并且两个认证服务是共用一个用户数据库的,所以使用Cisco ACS 5.2可以实现所有网络设备的统一身份认证以及部分支持Tacacs的网络的统一身份授权。所以配置ACS的第一步就是指定AAA实例,并定义实例支持的认证方式以及shared key。根据如图1-1所示依次点击


点击查看原图

1‑1

 

弹出新窗口后根据如图1-2所示的顺序配置,其中带有的字段是必填的。

1、“Name”项指的是一个名称,就是我们刚才说的AAA实例,给这个实例取个名字。

2IP Address定义的是可以使用这个实例的设备,这里可以选择单个IP地址(Single IP Address)或者是一个或几个IP地址段(IP rang(s)),如果想定义所有的网络设备则可以像图2-1中一样IP输入0.0.0.0,掩码(Mask)输入0,也就是代表全网,输入完毕之后不要忘了点击“Add V”按钮,否则这个输入是不生效的。

3、一个实例可以包含多个AAA服务,Authentication Options就是用来指定第二步中添加的IP地址(段)的设备可以使用什么样的认证类型,因为我们IP地址段定义的是全网,所以我们把Tacacs+Radius全部选上,并定义好Shared Secret


点击查看原图

1‑2

 

到这一步呢,AAA服务端就配置完了,接下来我们要对用户组做一个定义。

 

2、定义用户组

Cisco ACS 5.2AAA策略是基于用户组来做的,所以我们在指定策略之前需要先定义好用户组,根据如图2-1所示依次点击,就可以打开如图2-2所示的用户组添加页面,在这个添加页面中,Name就是组的名字,我们这个实例中是希望创建一个具备Privilege 1的用户组,所以我给他取名叫Group1,描述(Description)叫Level1-GroupParent指的是父级组的名称,这里一般使用默认的“All Group”就可以了。


点击查看原图

2‑1

 


点击查看原图

2‑2

 

到这里用户组就已经定义完了,不知道这里会不会有人有疑问,这个步骤很简单,没有关于Privilege的配置呀?对,因为我们这里只是定义一个组,至于组的授权问题,现在还没到那一步。

 

3、定义权限规则

刚才我们定义了组,下面我们来定义一下权限的规则,这些规则在后面的配置里是要跟组结合起来使用的,根据如图3-1所示依次打开添加权限规则的界面。


 点击查看原图

3‑1

 

打开添加权限规则的界面之后第一步就是要定义一个名称,因为我们这次的示例是Privilege1,所以我就定义一个名称Level1,顶一万了之后别急着点Submit,因为我还没有给这个名为Level1的规则定义Privilege,点击Common Task选项卡,在Privilege Level中的Default Privilege里选择StaticValue选择1,如图3-2所示


点击查看原图

3‑2

 

当然Common Task里面不仅仅能定义Privilege,还能定义最高权限级别,定义自动运行的命令,定义ACL等等,大家有兴趣可以去研究一下其它地方,我们这里就不做赘述了。

到此为止权限规则的定义也做完了,下一步我们来定义接入规则(Access Policies

 

4、定义接入规则

刚才我们定义了用户组,定义了权限规则,这一步,我们要做这两者的映射关系,首先根据如图4-1所示打开新建接入服务的界面。


点击查看原图

4‑1

 

打开的界面如图4-2所示,第一步还是需要定义一个名称,定义好名称之后的Access Service Policy Structure我们选择User Selected Service Type,后面有两个我们是比较常用的,一个是Network Access,用于Radius服务,还有一个是Device Administration,用于Tacacs+服务(这里要注意,如果我们在第一步定义的AAA实例包含有RadiusTacacs+服务,那么这一步必须分别对RadiusTacacs+做定义。如果正在定义的是Radius服务的Access Service,那么这一步的User Selected Service Type就要选择Network Access,如果正在定义的是Tacacs+服务的Access Service,那么这一步的User Selected Service Type就要选择Device Administration。),这里我们把定义Radius服务的Access Service命名为“AAA-Radius”,Tacacs+服务的命名为“AAA-Tacacs”,然后点击“下一步”,配置允许的协议,如图4-3所示,这里根据实际需求选择即可,一般情况下只需要把Allow PAP/ASCII这个选项选好就可以了,这一步配置完毕后直接点击“Finish”即可完成配置,点击“Finish”按钮之后会出现如图4-4所示的一个提示框,告诉我们Access Service已经成功创建,是否现在就要配置服务选择策略,因为我们这台ACS需要配置两个Access Service,所以这里可以选择“No”。


 点击查看原图

4‑2

 


点击查看原图

4‑3

 


 点击查看原图

4‑4

 

配置完了Access Service,大家就可以注意到左边的菜单里多了两个我们刚刚配置的Access Service,但是这两个Access Services前面的那个标记提示是未启用状态,所以我们需要配置Service Selection Rules调用我们新配置上去的这两个服务,根据如图4-5所示依次选择Rule-1Rule-2Rule-1Conditionsmatch Radius,这个指的是如果网络设备配置的是使用Radius服务做AAA,那么就使用这条RuleRule-2则是match Tacacs,同理如果网络设备配置的是使用Tacacs+服务做AAA,那么就会匹配这条Rule),打开的设置窗口如图4-6所示,我们只需要配置其中的Results就可以了,如果是match RadiusRule,就选择刚才配置好的用于Radius服务的Access Service,这里指的就是我们刚才配置的AAA-Radius,同理如果match Tacacs那就选择用于Tacacs服务的Access Service,这里我们选择的就是刚才配置的AAA-Tacacs,配置完了之后别忘了要点如图4-5所示的Save Changes


点击查看原图

4‑5

 


点击查看原图

4‑6

 

新的Service Selection Rules定义好之后,建议把原来默认的的Access Services Default Device AdminDefault Network Access删除,如图4-7所示(此操作的目的是让界面看起来更清晰,不删除对部署结果是不影响的)


点击查看原图

4‑7

接下来我们要对定义的Access Services指定规则,一个是规则适用的对象,一个是授权的规则,规则适用对象操作如图4-8所示,因为我们是根据用户来授权的,所以我们这里的Identity Source选择Internal Users,选择完毕之后不要忘记了再选上Save Changes


点击查看原图

4‑8

 

授权规则的定义操作其实就是定义用户组与权限规则之间的映射关系了,操作流程如图4-9所示,Compound Condition前面的复选框指的是匹配到这个Access Service的时候是否判断条件,当然我们这里是要选择判断的,要不这个用户授权的操作就没有意义了,这里在定义的时候,Network Access类的Access ServiceDevice Administration类的Access Service是不一样的,Network Access类的Access Service如图4-10所示,Device Administration类的Access Service如图4-11所示,Network Access类的Access Service由于匹配的是Radius服务,没有授权操作,所以比较简单,我们定义完了用户之后只需要定义是Permit Access还是Deny Access就可以了,Device Administration类的Access Service匹配的是Tacacs+服务,由于有各种授权功能,所以相对比较复杂,我们这里只详细描述对Device Administration类的Access Service的操作,Network Access类的Access Service操作大家可以参考图4-10。由于我们做的示例是对用户组为Group1里的用户授权Level1的等级,所以Condition我们要选择Group1,如图4-9所示,选择完了之后不要忘记了点击“Add V”按钮,否则选择就没有生效了,Results中的Shell Profile指的就是上面定义的权限级别,Command Sets就是命令授权的操作,由于我们没有定义,所以直接选择DenyAllCommands就可以了,如图4-11所示。


点击查看原图

4‑9

 


点击查看原图

4‑10


 

点击查看原图

4‑11

 

到此为止,接入规则的定义也就操作完了,这也是ACS部署配置的最后一步,接下来只要添加用户,并把用户放入对应的组,并在设备上选择使用这台服务器做AAA,就可以使用了。

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。