欢迎来到天天文库
浏览记录
ID:46806979
大小:76.19 KB
页数:7页
时间:2019-11-28
《图文】Cisco Secure ACS 5.2使用教程》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、1、ACS配置ACS的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下:按照如图1-1所示的方法打开用户添加界面图 11 用户添加界面打开后如图1-2所示,里面的内容比较复杂,对我们来说最重要的部分是用户名、密码以及用户组,添加用户界面中的项目作用如图1-3:图中标“1”的部分:用户名字段,登录的时候这个就是Username图中标“2”的部分:用户组,之前我们说过ACS的策略权限等的定义都是基于用户组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里图中标“
2、3”的部分:登录密码,登录的时候这个就是password图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码(思科的设备经测试有效)图中标“5”的部分:使能密码,也就是我们常说的enable密码,这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证(暂未测试)图 12 图 13 配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。
3、 2、网络设备的配置不同的网络设备配置命令是不一样的,具体的配置需要参考相关设备的配置手册,由于ACS本来就是Cisco的东西,所以Cisco的设备相对来说兼容性是最好的。2.1、Cisco设备的配置//AAA服务配置aaanew-model //定义新的AAA实例aaaauthenticationloginMAGIgrouptacacs+local-case //命名一个名为MAGI的登录认证规则,且如果tacacs+服务不可达,则自动使用本地数据库信息认证aaaauthorizationexecMAGIgrouptacacs+local //
4、命名一个名为MAGI的特权授权规则,且如果Tacacs+服务不可达,则自动使用本地数据库信息授权tacacs-serverhost192.168.255.2keyTacacsKey //定义Tacacs+服务器的IP地址以及Key//线程下调用名为MAGI的登录认证规则和特权授权规则linevty04 authorizationexecMAGI loginauthenticationMAGI 2.2、华为9300系列交换机的配置hwtacacs-servertemplateMAGI //定义一个hwtacacs服务模板 hwtacacs-server
5、authentication192.168.255.2 //定义hwtatacs认证服务器地址 hwtacacs-serverauthorization192.168.255.2 //定义hwtatacs授权服务器地址 hwtacacs-servershared-keyTacacsKey //定义与共享key undohwtacacs-serveruser-namedomain-included //关闭“包括域名”规则,如果不关闭,那么用户名需要以“用户名@域名”的形式出现//AAA服务的配置aaa //进入AAA配置模式 authenti
6、cation-schemeMAGI authentication-modehwtacacslocal //定义认证实例以及认证方式,同时做本地保护,防止tacacs服务不可达的时候无法登录设备 authorization-schemeMAGI authorization-mode hwtacacslocal //定义授权实例以及授权方式,同时做本地保护,防止tacacs服务不可达的时候无法登录设备//认证域的配置domaindefault_admin authentication-schemeMAGI //定义认证使用名为MAGI的认证实例 au
7、thorization-schemeMAGI //定义授权使用名为MAGI的授权实例 hwtacacs-serverMAGI //定义hwtacacs服务使用名为MAGI的模板//线程下启用AAA模式认证user-interfacevty04 authentication-modeaaa 3.3、华为S3000系列交换机的配置//定义名为MAGI的Radius实例radiusschemeMAGI primaryauthentication192.168.255.21812 //定义主认证服务器IP地址和端口 keyauthenticationRa
8、diusKey //定义Radius预共享密钥 user-name-formatwithou
此文档下载收益归作者所有