ACS中文配置手册
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1章ACS的配置
目录
第1章ACS的配置1
目录1
1.1AAA的配置1
1.1.1超级用户的配置1
1.1.2定义管理策略3
1.1.3配置使用外部Windows数据库10
1.1.4接口(Interface)的配置11
1.1.5系统备份13
1.1.6日志的配置14
1.1.7创建网络设备组(Network Device Group)16
1.1.8配置冗余服务器(Backup Server)20
1.1.9配置命令授权24
1.1.10创建用户30
1.1.11内外数据库映射32
1.1.12数据库的映射34
1.1.13匿名用户策略(Unknown User Policy) 35
1.1 AAA的配置
1.1.1 超级用户的配置
在Cisco ACS Engine 上首先进行管理员(administrator user)或超级用户(super user)的设置。此用户拥有使用ACS所有功能的权
限,因此此账户消息必须进行保密,它是管理所有ACS应用资源的
关键。请参考如下的配置步骤进行管理员用户的创建:
第一步:在Aministration Control 菜单下,点击Add Administrator 按钮添加管理员。
插图 0-1 ACS添加管理员
第二步:键入管理员的名字及密码并点击Grant All按钮,然后点击Submit。
插图 0-2 ACS添加管理员(续)
1.1.2 定义管理策略
起初Cisco ACS Engine只能通过Console来进行本地访问,一旦管理策略建立好后,Cisco ACS Engine可以通过配置的管理策略进行
远程访问。管理策略包括访问策略(Access Policy),会话策略
(Session Policy),和审计策略(Audit Policy)。首先进行访问策略
的配置,使其只允许用HTTPS进行远程访问,并且限制访问端口范
围为2000-2999从而制定相应的防火墙策略。HTTPS需要证书进行
认证,因此用Cisco ACS Engine来提供自签署证书,下面是自签署证
书的配置方法。在System Control 菜单下,点击ACS Certificate Setup
然后点击Generate Self-Signed Certificate。
插图 0-3提供自签署证书
当系统完成自签署证书后,ACS服务需要进行重启。插图 0-4 ACS自签署证书
在System Control菜单下,点击Service Control,重启ACS服务,服务重启后,确认其状态为running。
插图 0-5 ACS服务重启
当系统重启后,点击Administration Control菜单,然后点击Access Policy。
插图 0-6 ACS管理员界面
在IP Address Filtering 中选择允许所有IP Address to access,然后在HTTP Configuration中选择限制端口范围为2000-2999,最后选
择使用HTTPS并点击Submit。在完成如下配置后,可以通过
https://ip address:2002进行远程访问。
插图 0-7 ACS管理员界面(续)
在Administration Control 菜单下,选择Session Policy配置会话策略使其当会话空闲10分钟以上时,自动退出,同时迫使进行本
地认证。
插图 0-8会话策略的设置
在Administration Control 菜单下,选择Audit Policy审计策略使其删除老于七天的日志。
插图 0-9 日志的配置
1.1.3 配置使用外部Windows数据库
使用Windows AD系统上的已有用户账户消息进行用户认证。在External User Database菜单下选择Database Configuration然后点击
Windows Database。
插图 0-10 ACS使用外部数据库
1.1.4 接口(Interface)的配置
配置用户定义域的接口配置,在Internafce Configuration下,选择Configure user defined fields:
插图 0-11 Interface的设置
配置用户定义域的接口配置,在Internafce Configuration下,选择Advanced Options,确认如下的用户接口已经被enable。
插图 0-12 Interface的Advanced Options
1.1.5 系统备份
配置系统每个工作日进行一次备份,周五进行两次备份。在System Configuration下,选择ACS Backup,进行如下配置。
插图 0-13 ACS系统备份设置
1.1.6 日志的配置
在System Control下,选择logging确认如下日志服务是开启的。
插图 0-14日志的设置
插图 0-15日志的设置(续)
1.1.7 创建网络设备组(Network Device Group)
在Network Configuration菜单下,选择添加Network Device Group。
插图 0-16创建网络设备组