19
2013
04

【图文】Cisco Secure ACS 5.2使用教程

注:本文需要用到的材料都可以在http://download.csdn.net/download/icejackzzz/3583145,本文所述内容均源于互联网和个人研究,仅供个人学习使用!

1、ACS配置

ACS的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下:

按照如图1-1所示的方法打开用户添加界面


点击查看原图

1‑1

 

用户添加界面打开后如图1-2所示,里面的内容比较复杂,对我们来说最重要的部分是用户名、密码以及用户组,添加用户界面中的项目作用如图1-3

图中标“1”的部分:用户名字段,登录的时候这个就是Username

图中标“2”的部分:用户组,之前我们说过ACS的策略权限等的定义都是基于用户组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里

图中标“3”的部分:登录密码,登录的时候这个就是password

图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码(思科的设备经测试有效)

图中标“5”的部分:使能密码,也就是我们常说的enable密码,这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证(暂未测试)


点击查看原图

1‑2

 


点击查看原图

1‑3

 

配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。

 

2、网络设备的配置

不同的网络设备配置命令是不一样的,具体的配置需要参考相关设备的配置手册,由于ACS本来就是Cisco的东西,所以Cisco的设备相对来说兼容性是最好的。

2.1Cisco设备的配置

//AAA服务配置

aaa new-model   //定义新的AAA实例

aaa authentication login MAGI group tacacs+ local-case   //命名一个名为MAGI的登录认证规则,且如果tacacs+服务不可达,则自动使用本地数据库信息认证

aaa authorization exec MAGI group tacacs+ local   //命名一个名为MAGI的特权授权规则,且如果Tacacs+服务不可达,则自动使用本地数据库信息授权

tacacs-server host 192.168.255.2 key TacacsKey   //定义Tacacs+服务器的IP地址以及Key

//线程下调用名为MAGI的登录认证规则和特权授权规则

line vty 0 4

 authorization exec MAGI

 login authentication MAGI

 

2.2、华为9300系列交换机的配置

hwtacacs-server template MAGI  //定义一个hwtacacs服务模板

 hwtacacs-server authentication 192.168.255.2   //定义hwtatacs认证服务器地址

 hwtacacs-server authorization 192.168.255.2   //定义hwtatacs授权服务器地址

 hwtacacs-server shared-key TacacsKey   //定义与共享key

 undo hwtacacs-server user-name domain-included   //关闭“包括域名”规则,如果不关闭,那么用户名需要以“用户名@域名”的形式出现

//AAA服务的配置

aaa   //进入AAA配置模式

 authentication-scheme MAGI

  authentication-mode hwtacacs local   //定义认证实例以及认证方式,同时做本地保护,防止tacacs服务不可达的时候无法登录设备

 authorization-scheme MAGI

  authorization-mode  hwtacacs local   //定义授权实例以及授权方式,同时做本地保护,防止tacacs服务不可达的时候无法登录设备

//认证域的配置

domain default_admin

  authentication-scheme MAGI   //定义认证使用名为MAGI的认证实例

  authorization-scheme MAGI   //定义授权使用名为MAGI的授权实例

  hwtacacs-server MAGI   //定义hwtacacs服务使用名为MAGI的模板

//线程下启用AAA模式认证

user-interface vty 0 4

 authentication-mode aaa

 

3.3华为S3000系列交换机的配置

//定义名为MAGIRadius实例

radius scheme MAGI

 primary authentication 192.168.255.2 1812   //定义主认证服务器IP地址和端口

 key authentication RadiusKey   //定义Radius预共享密钥

 user-name-format without-domain   //定义用户名不包括域名,如果不输入这条命令用户名要表现为“用户名@域名”的形式

//定义域名,并作号域名和Radius实例的映射关系

domain AAA

 radius-scheme MAGI

//线程下启用AAA模式认证

user-interface vty 0 4

 authentication-mode scheme

 

3.4中兴ZXR系列交换机的配置

config nas   //进入NAS配置模式

  radius nasname MAGI   //定义名为MAGIradius实例

  radius isp MAGI enable   //启用这个实例

  radius isp MAGI defaultisp enable   //

  radius isp MAGI sharedsecret RadiusKey  //定义预共享密钥

  radius isp MAGI add authentication 192.168.255.2 1812   //定义Radius服务器地址和端口

exit

set login radius   //选择使用Radius服务认证


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。