返回
acs基本配置-权限等级管理(笔记)

acs基本配置-权限等级管理(笔记)

ID:16501740

大小:913.00 KB

页数:17页

时间:2018-08-10

acs基本配置-权限等级管理(笔记)_第1页
acs基本配置-权限等级管理(笔记)_第2页
acs基本配置-权限等级管理(笔记)_第3页
acs基本配置-权限等级管理(笔记)_第4页
acs基本配置-权限等级管理(笔记)_第5页
资源描述:

《acs基本配置-权限等级管理(笔记)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、ACS基本配置-权限等级管理(笔记)1,ACS基本配置ACS的安装这里不讲了,网上google一下就有很多。这里主要讲一下ACS的基本配置,以便于远程管理访问。ACS正确安装后应该可以通过http://ip:2002/远程访问,当然要确保中间是否有防火墙等策略。然后就是通过正确的帐号和密码进行登录管理。下面是建立ACS管理帐户的图示。a,本地登录ACS界面,点击左边的“AdministrationControl”按钮,进入下一个界面;b,点击“AddAdministrator”,进入配置界面;c,根据提示填写,

2、一般选择全部权限,方便管理,当然如果有特殊管理帐户,可以分给不同权限,比如说只能管理某些group等;d,然后“Submit”,就可以通过这个账户进行远程管理了。2,ACS访问原理ACS主要是应用于运行CiscoIOS软件的思科网络设备,当然,ACS也全部或部分地适用于不运行CiscoIOS软件的各种其他思科网络设备。这其中包括:·CiscoCatalyst交换机(运行CiscoCatalyst操作系统[CatOS])·CiscoPIX防火墙·CiscoVPN3000系列集中器不运行CiscoIOS软件的思科设

3、备(如运行CatOS的CiscoCatalyst交换机、运行CiscoPIX操作系统的CiscoPIX防火墙或CiscoVPN3000集中器)可能也支持启用特权、TACACS+(验证、授权和记帐[AAA])命令授权或以上两者。随着对集中管理控制和审计的需求的增加,本文作者预计目前不支持TACACS+命令授权的其他思科网络设备将得以改进,支持TACACS+命令授权。为最快了解思科设备的支持水平,请查看有关设备的最新文档。运行CiscoIOS软件的思科设备提供了两个网络设备管理解决方案:·启用权利(Enablepr

4、iviledges)·AAA命令授权CiscoIOS软件有16个特权级别,即0到15(其他思科设备可能支持数目更少的特权级别;例如,CiscoVPN3000集中器支持两个级别)。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行启用命令,提供用户的启用口令和请求的新特权级别。如果口令正确,即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。表1为思科供货时CiscoIOS设备的缺省特权级别。这些等级缺省是有命令集的,比如说等级

5、1只有一些基本的show命令等,而等级15是全部命令的集合。其他诸于2~14共13个等级的命令集是要用户自己在认证设备本地定义的。表1缺省级别特权级别说明0包括disable,enable,exit,help和logout命令1包括router>提示值时的所有用户级命令15包括router#提示值时的所有启用级命令可修改这些级别并定义新级别,如图1所示。图1启用命令特权级别示例每个设备上都有静态本地口令与特权级别相关联,这样有一个重要的内在缺陷:每个用户的启用口令必须在用户需访问的每个设备上进行配置。为缓解这种

6、情况提出的管理可扩展性问题,TACACS+可从中央位置提供特权级别授权控制。TACACS+服务器通常允许各用户有自己的启用口令并获得特定特权级别。这样即可从单一中央位置禁用用户或改变其特权级别,而不会影响其他管理员。因为特权级别需在网络中每个设备上正确配置,以便管理员能在其管理的设备上有一致的体验,这就引发了另一个主要的问题。而不幸的是,使用TACACS+实现的启用特权级别控制的集中化,并不能解决这一规模管理可扩展性问题。为解决此问题,可在TACACS+服务器中定位命令授权。凭借此设置,设备上键入的任意命令都首

7、先会针对当前特权级别进行检查,如果检查通过,它就会提交给TACACS+服务器进一步检查。图2为此设备用来判断是否用户得到执行命令行授权的逻辑。注意图中的红框标注,标明先要经过本地的登记命令认证,然后再通过ACS的认证。下面授权部分还会具体讲到。图2设备逻辑,用户被TACACS+验证;失败;用户登出;壳式授权…;用户输入CiscoIOS命令行;命令是否允许…;下一命令;授权命令行…;设备执行命令行。作为通用T+壳式服务授权(priv-lvl=)的一部分,TACACS+能在用户登录设备时预定义用户获得的初始特权。这

8、使管理员能在连接至设备时就能立即获得特权级别15。3,认证配置3.1,添加AAA客户端a,点击左边“NetworkConfiguration”,进入分组管理后,点击“AddEntry”,进入如下界面,按提示输入。这里要主要的是“key”,这个必须与客户端配置一致,才能进行通信。然后点击“Submit+Restart”即可。b,客户端上面配置如下即可:aaanew-modeltacacs

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。