Cisco Secure ACS认证系统
Cisco Secure ACS认证系统
1.1.1 Cisco Secure ACS认证系统Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。
思科NAC是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。
通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等),并可限制违规设备的访问。
思科NAC是思科自防御网络计划的一部分,为在第二层和第三层网络上实现网络准入控制奠定了基础。
我们计划进一步扩展端点和网络安全性的互操作性,以便将动态的事故抑制功能包含在内。
这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。
因此,用户可将受感染的系统与其他网络部分动态隔离开,从而大大减少病毒、蠕虫及混合攻击的传播。
AAA管理系统Cisco Secure ACS是功能强大的访问控制服务器,为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。
表1列出了Cisco Secure ACS的主要优势。
Cisco Secure ACS的主要优势Cisco Secure ACS 4.0提供以下全新特性和优势:Cisco NAC 支持— Cisco Secure ACS 4.0用作NAC部署中的策略决策点。
使用可配置的策略,它能评估Cisco Trust Agent 提交的证书、决定主机状态、并向网络访问设备发送逐用户的授权信息:ACL、基于策略的ACL或专用的VLAN分配。
评估主机证书可执行许多特定策略,如操作系统补丁级别和防病毒DAT文件版本等。
Cisco Secure ACS记录策略评估结果以供监控系统使用。
Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查,然后再决定是否准许它访问网络。
您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。
Cisco+ACS安装与应用详解
Cisco ACS安装与应用详解目 录(v2.0)准备工作 (3)1.安装操作系统(win2003)2.安装JA V A EDK3.安装IIS4.安装证书服务器第一章:CiscoSecure ACS v3.3的安装和配置 (7)第一部分:安装ACS v3.31.安装ACS v3.32.创建ACS管理员帐户第二部分:配置ACS相关选项1.Interface Configurationa. User Data Configurationb. TACACS+ (Cisco IOS)c. Advanced Options2. System Configurationa.Service Controlb.loggingc.Date Format Controld.Local Password Managemente.CiscoSecure Database Replicationf.ACS Backupg.ACS Restoreh.ACS Service Managementi.ACS Certificate Setupj.Global Authentication Setup第三部分:安装ACS 证书1. Generate Self-Signed Certificate2. Install ACS Certificate3. ACS Certification Authority Setup4. Edit Certificate Trust List5. Use HTTPS Transport for Administration Access第二章:CiscoSecure ACS v3.3的应用范例 (14)第一部分:Network Configuration第二部分:User Setup第三部分:Group Setup第四部分:SharedProfile Components第三章:在交换机上配置AAA认证、授权、记账 (22)1.现在交换机上创建本地用户2.开启AAA服务3.在接口上激活配置第四章:Cisco User Changeable Password安装与配置 (24)第一部分:.新建站点第二部分:.创建站点虚拟目录第三部分:.申请、颁发、安装站点(IIS)证书第四部分:.安装UCP准备工作本文所有内容都是在windows2003操作系统上完成的,对于其他操作系统的操作如果有不同的地方,请自行参考解决!本文稍后介绍的软件或服务版本要求:Internet Explorer 6.0 SP1 或更新版本Internet Information Service 6.0(win2003)CiscoSecure ACS v3.3Cicso User Changeable Password v3.3安装Cisco ACS前的准备工作:1.安装操作系统win20003,打全补丁;2.安装java EDK,安装后尽量更新到最新版本;3.安装IIS。
图文】Cisco Secure ACS 5.2使用教程
1、ACS配置ACS的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下:按照如图1-1所示的方法打开用户添加界面图 1-1用户添加界面打开后如图1-2所示,里面的内容比较复杂,对我们来说最重要的部分是用户名、密码以及用户组,添加用户界面中的项目作用如图1—3:图中标“1”的部分:用户名字段,登录的时候这个就是Username图中标“2”的部分:用户组,之前我们说过ACS的策略权限等的定义都是基于用户组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里图中标“3”的部分:登录密码,登录的时候这个就是password图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码(思科的设备经测试有效)图中标“5"的部分:使能密码,也就是我们常说的enable密码,这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证(暂未测试)图 1-2图 1-3配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。
2、网络设备的配置不同的网络设备配置命令是不一样的,具体的配置需要参考相关设备的配置手册,由于ACS本来就是Cisco的东西,所以Cisco的设备相对来说兼容性是最好的。
2。
1、Cisco设备的配置//AAA服务配置aaa new—model //定义新的AAA实例aaa authentication login MAGIgroup tacacs+ local—case //命名一个名为MAGI的登录认证规则,且如果tacacs+服务不可达,则自动使用本地数据库信息认证aaa authorization exec MAGI grouptacacs+ local //命名一个名为MAGI的特权授权规则,且如果Tacacs+服务不可达,则自动使用本地数据库信息授权tacacs-server host 192。
ciscoacs替代方案
ciscoacs替代方案随着网络安全的日益重要,越来越多的组织开始寻求替代思科ACS (Access Control Server)的解决方案。
ACS是一款广泛使用的网络访问控制和安全认证系统,然而,它的高成本、复杂性和性能限制使得许多企业寻求更好的替代方案。
在本文中,我们将探讨替代ACS的一些可行方案,并分析它们的优点和限制。
一、Radius服务器Radius是一种基于客户/服务器模型的认证协议,广泛用于网络访问控制。
它通过认证中心进行身份验证和授权,可以与多种网络设备和应用程序集成。
相对于ACS而言,Radius服务器的成本较低,配置较为简单,适用于小型和中型企业。
然而,该解决方案的性能可能不如ACS,且功能相对有限。
二、TACACS+服务器TACACS+(Terminal Access Controller Access Control System Plus)是一种用于网络管理和认证的协议。
与Radius不同,TACACS+基于分离的认证、授权和账务(AAA)过程,提供更高级的访问控制和灵活性。
TACACS+服务器与各种网络设备兼容,并且可以用于实现细粒度的访问控制。
然而,相对于ACS而言,TACACS+的部署和配置可能更加复杂,需要更多的技术知识。
三、FreeRADIUSFreeRADIUS是一个开源的Radius服务器,具有广泛的功能和可定制性。
它可以作为ACS的替代方案,提供强大的认证和授权功能,支持多种网络设备。
FreeRADIUS的优点是免费、开源且具有活跃的社区支持,可以适应各种企业需求。
然而,相对于ACS而言,FreeRADIUS的部署和配置可能需要更多的技术知识和精力。
四、ISE(Identity Services Engine)ISE是思科推出的一种全面的网络访问控制解决方案,可以替代ACS并提供更多功能。
ISE集成了Radius、TACACS+以及其他安全特性,可以为企业提供集中化的身份验证、访问控制和安全策略管理。
思科acs使用指南
思科acs使用指南English:CISCO ACS (Access Control System) is a powerful and comprehensive network access control solution that is widely used in enterprises and organizations of all sizes. It provides a secure and efficient way to authenticate, authorize, and account for users and devices trying to connect to a network.CISCO ACS offers a range of features that make it a versatile and valuable tool for network administrators. Firstly, it supports a wide variety of authentication methods, including local database, LDAP, RADIUS, and TACACS+. This flexibility allows organizations to choose the most suitable authentication method for their needs. Additionally, it supports multiple authorization and accounting protocols, ensuring compatibility with different network devices and services.Another key feature of CISCO ACS is its central management and administration capabilities. With a user-friendly web-based interface, administrators can easily configure and manage user access policies,authentication methods, and network devices. This centralized management streamlines the process of managing user access privileges and ensures consistency across the network.Furthermore, CISCO ACS provides robust auditing and reporting features. It keeps detailed logs of all authentication and access events, allowing administrators to track and investigate any suspicious activities. The reporting functionality allows administrators to generate reports on user access patterns, device usage, and other important network statistics. These reports are invaluable for network troubleshooting, capacity planning, and compliance monitoring.Additionally, CISCO ACS integrates seamlessly with other network security solutions. It can be integrated with CISCO Identity Services Engine (ISE) for advanced posture assessment and endpoint profiling. It can also be integrated with CISCO Adaptive Security Appliance (ASA) for advanced firewall and VPN capabilities. These integrations enhance the overall security and control of the network.In conclusion, CISCO ACS is a highly capable network access control solution that provides a secure and efficient way to authenticate, authorize, and account for users and devices. Its extensive features, centralized management, auditing capabilities, and integration options make it a valuable tool for network administrators in ensuring the security and compliance of their networks.中文翻译:思科ACS(Access Control System)是一种功能强大且综合的网络访问控制解决方案,在各类企业和组织中广泛应用。
Cisco Secure ACS for Windows 常见问题
Cisco Secure ACS for Windows 常见问题问题前言如何更正“User Access Filtered”错误?64位操作系统(OS)与ACS产品一起使用?我不能用一个外部Windows数据库连接ACS解决方案引擎(SE)。
为什么?ACS Express 中是否支持授权命令?如何在 Cisco Secure ACS 上启用 IETF 对 # 80 - 成帧池?如何确定“Authen failed”消息类型的含义?为什么在 ACS 上使用 RADIUS 对 WLC 进行身份验证会失败,以及为什么 ACS 不显示任何失败的尝试?用户无法使用 ACS Express 对子域进行身份验证。
为什么会发生这种情况?VMWare ESX 服务器是否支持 Windows ACS 4.1 和 4.2?在设置身份验证后尝试执行身份验证时,我收到 Chpass is currently disabled. 错误。
如何修复此问题?当我尝试使用 csutil.exe -d 命令下载数据库时,命令生成错误消息“Failed to initialize crypto API”。
这是什么意思?当我尝试从 Cisco Secure ACS for Windows 3.0.3 升级到 3.2 时,我收到“ACS FOLDER IS LOCKED BY ANOTHER APPLICATION”错误消息。
我需要采取什么行动?日志是否以本地 ACS 格式进行转换,或是否转换为 syslog?如何在 Cisco Secure ACS SE 上每天生成一个日志文件?有没有可用于访问和/或整理文件的任何工具?什么时候是与Microsoft点对点加密(MPPE)的点对点隧道协议(PPTP)加密支持已添加对Cisco Secure ACS for Windows ?ACS 是否支持 Microsoft 质询握手身份验证协议 (MS-CHAP)?ACS记帐信息是否(任何更改发生)解析到监听、分析和答复系统(MARS) ?ACS 已进行重新配置,本地登录需要提供用户名和口令。
Cisco Secure ACS 购买指南说明书
Ordering GuideCisco Secure ACSThis document provides guidance on how to order Cisco Secure Access Control System (ACS) family products. It includes information on upgrade scenarios as well as information on software and hardware service offerings.OverviewCisco® ACS is designed to address both current and future corporate network access policy challenges. The world’s most trusted enterprise access and policy platform, it is used by more than 40,000 enterprises worldwide.The Cisco Secure ACS family includes:●Cisco Secure ACS: The Cisco flagship access and policy system, Cisco Secure ACSsupports up to hundreds of thousands of users and tens of thousands of network devices and is ideal for medium or large enterprises.●Cisco Secure ACS View: A dedicated reporting and monitoring device designed tocomplement Cisco Secure ACS, View helps ensure the highest level of network accesscontrol and compliance.●Cisco Secure ACS Express: Ideal for small and medium-sized businesses (SMBs) ormedium/small enterprises, ACS Express is an easy-to-deploy device with built-in reporting and monitoring. It supports up to 50 devices and 350 users.Cisco Secure ACSCisco Secure ACS is available as software for Windows servers (ACS for Windows) and as a dedicated appliance (ACS Solution Engine). Product part numbers are shown in Table 1. For guidelines on Cisco Secure ACS deployment, see the deployment guide at/en/US/products/sw/secursw/ps2086/prod_white_papers_list.html.Table 1. Cisco Secure ACS New Order Part NumbersPart Number DescriptionCSACS-4.2-WIN-K9 Cisco Secure ACS 4.2 for WindowsCSACSE-1113-K9 Cisco ACS Solution Engine – Cisco 1113 hardware with ACS version 4.2 preinstalledFor ACS for Windows, Software Application Support (SAS) is available. SAS entitles customers to maintenance and minor updates, plus access to online resources and support services.For ACS Solution Engine, SAS is required for software coverage and SMARTnet® is required for hardware coverage. SMARTnet has various service options to provide the hardware replacement coverage desired. For more information on SAS and SMARTnet, please visit/en/US/products/svcs/ps3034/ps2827/serv_category_home.html.Software upgrades are available for current ACS for Windows and ACS Solution Engine customers. Customers that have SAS contracts are entitled to minor upgrades. For example, a customer with SAS running ACS version 4.0 software would be entitled to ACS 4.1 and 4.2 upgrades. Customers that do not have SAS contracts can purchase minor upgrades. Part numbers for minor upgrades are identified by the “MR” designation.Customers that have SAS contracts can obtain upgrade kits using the Product Upgrade Tool (requires login) at /upgrade.SAS contracts do not cover major upgrades and these upgrades must always be purchased. For example, customers running ACS for Windows version 3.3 software that want to upgrade to ACS version 4.2 must purchase the upgrade part number CSACS-4.2-WINUP-K9.Upgrade part numbers are shown in Table 2. Note that there are different part numbers for ACS for Windows and ACS Solution Engine software upgrades.Table 2. Cisco Secure ACS Upgrade Part NumbersPart Number DescriptionCSACS4.2-WIN-MR-K9 ACS for Windows minor upgrade for customers with ACS for Windows versions 4.0 or 4.1 CSACS-4.2-WINUP-K9 ACS for Windows major upgrade for customers with ACS for Windows versions earlier than 4.0 CSACSE4.2-SW-MR-K9 ACS Solution Engine minor upgrade for customers with versions 4.0 or 4.1 (1112 or 1113hardware required)CSACSE-4.2-SWUP-K9 ACS Solution major upgrade for customers with versions earlier than 4.0 (1112 or 1113hardware required)CSACSE-1113-UP-K9 ACS Solution Engine hardware and software upgrade – for customers with 1111 or 1112hardware; includes Cisco 1113 hardware with ACS version 4.2 installedImportant: ACS Solution Engine version 4.2 is only supported on Cisco 1112 and 1113 hardware. Customers with Cisco 1111 hardware should consider upgrading to 1113 by purchasing CSACSE-1113-UP-K9. Trade-in credit may also be available through the Cisco Technology Migration Program (TMP).Cisco Secure ACS ViewCisco Secure ACS View collects and correlates data from multiple Cisco Secure ACS servers and logs to provide aggregate views of system activity as well as detailed information at the transaction level for both network access and device administration. Cisco Secure ACS View provides essential information for network monitoring and planning, access problem detection and troubleshooting, and entitlement and compliance reporting.Cisco Secure ACS View is recommended for all ACS 4.2 deployments. For guidelines on Cisco Secure ACS View deployment, see the deployment guide at/en/US/products/ps9302/prod_white_papers_list.html.Cisco Secure ACS View part numbers are shown in Table 3.Table 3. Cisco Secure ACS View Part NumbersPart Number DescriptionCSACS4.0-VIEW-K9 Cisco Secure ACS View appliance with ACS View 4.0 software and license for managing twoACS servers (version 4.1.4 or 4.2 required). ACS View does not support ACS Express.CSACS4.0-VIEWLIC License for managing an additional ACS server with Cisco Secure ACS View 4.0.For the ACS View appliance, an SAS contract is required for software coverage and SMARTnet isrequired for hardware coverage. SAS entitles customers to maintenance and minor updates, plusaccess to online resources and support services.Cisco Secure ACS ExpressCisco Secure ACS Express offers a comprehensive yet simplified feature set, a user-friendlygraphical user interface, and an attractive price point that allows placement of this product insituations where Cisco Secure ACS for Windows or Cisco Secure ACS Solution Engine may notbe suitable.Cisco Secure ACS Express part numbers are shown in Table 4.Table 4. Cisco Secure ACS Express Part NumbersPart Number DescriptionCSACS-5.0-EXP-K9 Cisco Secure ACS Express 5.0 applianceFor ACS Express, an SAS contract is required for software coverage and SMARTnet is requiredfor hardware coverage. SAS entitles customers to maintenance and minor updates, plus access toonline resources and support services.For More InformationPlease check the Cisco Secure ACS homepage at /go/acs for the latestinformation about Cisco Secure ACS.For more information contact the ACS marketing team at *****************, or contact youraccount representative.Printed in USA C07-500695-00 10/08。
HUAWEI_S系列交换机AAA特性与Cisco_Secure_ACS对接指导
HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导文档版本01发布日期2014-12-23版权所有 © 华为技术有限公司 2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:对接指导前言前言概述本文档针对HUAWEI S系列交换机AAA特性与Cisco Secure ACS进行了对接分析,并结合实例给出了对接指导。
读者对象本文档(本指南)主要适用于以下工程师:l网络规划工程师l技术支持工程师l维护工程师修改记录1背景交换机提供用户的接入功能,用户分为管理员用户和接入用户两大类。
如图1-1所示,管理员用户需要接入交换机对其进行管理,接入用户需要接入交换机使用视频、语音、上网等网络应用业务。
图1-1交换机的用户当用户接入交换机时,交换机需要对这些用户进行接入控制管理。
如对用户进行身份认证(Authentication),授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting),即AAA管理机制。
AAA提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
l认证:验证用户是否可以获得网络访问权。
ccie网络安全acs
ccie网络安全acs
CCIE网络安全ACS是思科认证的高级网络专家,ACS指的
是访问控制服务器。
它是一种用于网络访问控制和身份验证的强大工具。
ACS提供了一个集中管理和控制网络访问的平台,可以帮助组织保护其网络资源免受未经授权的访问。
CCIE网络安全ACS的功能非常强大,包括身份验证、授权、审计和账户管理等功能。
它可以与各种网络设备和应用程序集成,如交换机、路由器、防火墙等。
通过使用ACS,网络管
理员可以有效地管理用户的访问权限,控制其对网络资源的访问,并且可以跟踪和审计用户的行为。
ACS还支持多种身份验证方法,包括基于用户名和密码的身
份验证、数字证书、单点登录等。
它还可以根据用户的身份和访问要求,向其提供不同的网络服务,以满足不同用户的需求。
在实际应用中,CCIE网络安全ACS可以用于许多场景,如企业内部网络的访问控制、远程访问控制、无线网络的访问控制等。
通过使用ACS,组织可以有效地管理网络访问,提高网
络的安全性和可管理性。
总之,CCIE网络安全ACS是一款非常重要和实用的网络安全工具,它可以帮助组织有效地管理和控制网络访问,并保护网络资源免受未经授权的访问。
cisco_ACS产品介绍
• high x wide x deep (44.5 mm x 440.0 mm x 559.0 mm). 重量 11.0 kg 到 12.7 kg 之间 • CPU :Intel Core 2 Duo 2.4-GHz processor with an 800-MHz front side bus (FSB) and 2 MB of Layer 2 cache. •Four synchronous dynamic RAM (SDRAM) slots that are installed with 4 GB. •Two 250-GB SATA hard drives installed. •A fixed RJ-45 10BASE-T/100BASE-TX/1000BASE-T network interface connector (located on the rear panel). •One DVD-ROM drive (located on the front panel).
数 量 1 1 1 1 1 1
单价 $31,490 $0 $21,000 $21,000 $0 $0 $73,490
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
cisco网络安全认证
cisco网络安全认证Cisco网络安全认证(Cisco Certified Network Associate Security,简称CCNA Security)是由思科官方提供的网络安全认证。
该认证是针对拥有一定的网络知识和技能的网络工程师、网络管理员和网络技术支持人员设计的,旨在通过培养掌握网络安全基本概念、了解安全技术和解决方案的专业人才,提高网络安全防护能力。
CCNA Security认证的主要内容包括网络安全原则、安全威胁和防范措施、安全设备和技术、安全策略和管理等方面的知识。
认证的核心内容包括:1. 网络安全基础知识:了解网络安全的基本概念、原则和方法,包括网络攻击类型、安全威胁、攻击检测与防御等。
2. 安全设备和技术:掌握常用的网络安全设备和技术,如防火墙、入侵检测系统(IDS)、防病毒软件和虚拟专用网络(VPN)等。
3. 安全策略和管理:学习制定和实施有效的安全策略,包括安全策略制定、安全策略的执行和管理、安全事件和风险管理等。
CCNA Security认证考试采用单项选择题和实验题相结合的形式,考察考生在实际应用中对安全技术的理解和应用能力。
除了通过考试,考生还需要参加实验室实践,验证和应用所学的知识和技能。
获得CCNA Security认证后,考生能够独立进行网络安全的评估和保护工作,具备构建安全网络的能力,能够掌握安全配置、安全策略和安全管理等技能,提高网络的安全性,保护网络免受各种网络攻击。
总结起来,CCNA Security认证是一种权威的网络安全认证,对于网络工程师、网络管理员和网络技术支持人员来说,具有重要的意义。
除了拥有CCNA Security认证,还可以进一步深入学习和研究网络安全领域的知识,从事网络安全相关的工作,为企业和组织提供更加安全可靠的网络环境。
史上最完整ACS安装教程
一、Cisco Secure ACS1.前期准备工作:VMworkstation-100GB虚拟硬盘,从光盘启动,系统选择Linux-Centos;ACS5.4-光盘介质;破解文件-flexlm-10.9.jar,acs50base.lic,acs50feat.lic;centos7-光盘介质;2.开始安装:2.1先安装VMworkstation,已经很熟悉,不用再重复记录;2.2安装ACS5.4,较为简单,按照提示完成安装即可(时区UTC);3.激活平台:3.1解锁grub把centos7 的安装光盘放入光驱,从光盘重新启动系统;选择第一条,按TAB键->输入linux rescue,等待一小会儿;挂在至/mnt/sysimage);接着进入rescue模式,输入vi /mnt/sysimage/etc/grub.conf,将密码行注释掉;3.2激活ACS进入grub界面然后按e键进选择第2行,再按e,然后输入-空格single,回车然后按b,静静等待,进入单用户模式然后复制文件flexlm-10.9.jar至路径/opt/CSCOacs/mgmt/apache-tomcat-6.0.18/lib/覆盖原有文件,重启系统;输入show application status acs查看ACS各服务的状态,如果都显示running即表示所有的服务均已正常运行,登录web页面选择acs50base.lic进行基本激活。
进入页面后,按照System Administration Licensing Feature Options Add/Upgrade LicenseFile顺序选择acs50feat.lic文件,然后点击Submit进行完整版激活。
至此,ACS完成激活。
解决成功安装ACS以后显示空白的问题
欢迎大家光临我的博客 在服务器上面进入 ACS,进去以后,点击“Administrator Control”然后点击台中间的“Add Administrator”来添加一个新的管理员。
在这里中间输入“Administrator Name”后面输入“用户名”,与下面的 password。在“Administrator Privileges”下面选择“Grant All”将下面 所有的选项全部选中。点击“submit”进行添加。
欢迎大家光临我的博客 这个问题可能很多人都遇到过!我当时遇见这个问题,也不知道是什么原因,JAVA 虚拟机也正常安装了,ACS 也是正常安装了的没 有出现任何问题?而且通过远程访问这个 ACS 时也能正常打开,提示输入用户名密码,但是就是在本机显示空白。 那么下在我们再来重头带着大家来解决这个问题?我们先从安装一步一步做起! 1、下载 JAVA 虚拟机: 现在 CISCO 的很多产品基本上都要使用到这东西(如 ACS,SDM,ASDM 等),我觉得对于我们学 cisco 产品来说,随时把这东西准 备一个比较好一点。下面这里给大家一个下载地址,这个是 1.5 版的,现在有 1.6 大家可以去下载一个来用用。 /members/jross/jdk/jdk-1_5_0-windows-i586.exe 2、下载 Cisco Secure ACS 现在最新的好像是 4.2 的吧!
欢迎大家光临我的博客 这里就开始在安装我们的 ACS,从图片上端的文字我们可以看得出,这个 ACS 只能使用 90 天。 这一步就是叫你设置用户的优先级,组的优先组,最大支持多少个会话的连接之类的,这里你可以什么都不先直接“下一步(Next)”
欢迎大家光临我的博客
但是当我们现在看到,为什么显示空白呢?在这里有很多人也正在纳闷呢,而且在网上很多地方都搜不到相关的答案。
CISCO ACS简单介绍
Cisco ACS配置手册
• 共享配置組建
Cisco ACS配置手册
• 網絡配置
Cisco ACS配置手册
• 系統配置
Cisco ACS配置手册
• 接口配置
CisHale Waihona Puke o ACS配置手册• 管理控制
Cisco ACS配置手册
• 報告和活動
設備端配置
• 啟用AAA,并添加本地帳戶 • aaa new-model • username xxx privilege 15 password yyy
ACS 4.X應用
摘要
• 本次分享課程從實用角度出發,介紹 CISCO ACS服務器安裝配置和管理。 • 主要內容包括:ACS工作原理;安装ACS 服務器;ACS配置;ACS用戶帳戶管理。 • 本次課程時長一个小时。
內容
• • • • ACS工作原理 ACS服務器安装 ACS在交換機上配置 ACS用戶帳戶管理
設備端配置
• • • • • • • • • 记录用户行为审计 aaa accounting send stop-record authentication failure aaa accounting exec default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 5 default start-stop group tacacs+ aaa accounting commands 10 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ aaa accounting network default start-stop group tacacs+ aaa accounting connection default start-stop group tacacs+
CCSP认证介绍
CCSP认证介绍CCSP(Cisco Certified Security Professional)思科认证网络安全工程师,是思科安全方向的专业认证。
通过三门必考(Required Exams)(SNRS, SNAF, IPS.)和一门任选(Elective Exams)课程(CANAC,MARS,SNAA三门之一),获得CCSP认证。
如下表:课程介绍:必考(Required Exam)课程:使用思科路由器与交换机构建安全网络(SNRS)(Securing Networks with Cisco Routers and Switches)本课程中,要求如何利用思科路由器和交换机的IOS内置高级安全特性来实现一体化防御体系结构,对网络进行安全设置。
使用ASA构建安全网络-基础(SNAF)(Securing Networks with ASA Foundation)本课程中,讲述如何配置、操作和管理Cisco ASA 5500自适应安全设备(Adaptive Security Appliances)。
利用高级访问控制、内容过滤、VPN等高级安全特性来实现企业网络边界安全。
实施思科入侵防护系统(IPS)( Securing Networks Using Intrusion Prevention Systems )本课程中,要求分析如何使用 Cisco入侵检测/保护系统对网络中未知的网络攻击或网络威胁作出响应和采取相应的安全控制动作,建立对网络整体的流量进行监控、管理平台。
任选(Elective Exams)课程:实施思科NAC(网络准入控制)设备(CANAC)(Implementing Cisco NAC Appliance)本课程中,讲述如何配置、操作和管理Cisco (NAC),防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC 、服务器、PDA )接入网络,而不允许其它设备接入。
ciscoacs替代方案
Cisco ACS替代方案1. 简介Cisco ACS(Cisco Secure Access Control System)是思科公司提供的一种用于网络访问控制和身份验证的解决方案。
然而,随着网络技术的发展和安全需求的不断增加,许多组织和企业正在寻找更先进和功能更强大的替代方案。
本文将介绍一些替代Cisco ACS的方案,以满足不同组织的需求。
2. RADIUS服务器RADIUS(Remote Authentication Dial-In User Service)是一种网络协议,用于提供用户身份验证、授权和账号计费服务。
许多厂商提供了自己的RADIUS服务器产品,可以作为Cisco ACS的替代方案。
常见的RADIUS服务器包括:•FreeRADIUS: 免费且开源的RADIUS服务器,具有强大的扩展性和灵活性。
•Microsoft NPS: 在Windows Server操作系统上提供的RADIUS服务器,方便与Active Directory集成。
•Radisys NPS: 提供高性能和可靠性的RADIUS服务器,适用于大规模网络环境。
这些RADIUS服务器可以提供与Cisco ACS类似的身份验证、授权和账号计费功能,同时支持多种身份认证协议和网络设备。
3. AAA服务器AAA(Authentication, Authorization, and Accounting)服务器是一种用于网络访问控制和身份验证的综合解决方案。
它可以替代Cisco ACS,并提供更多功能和灵活性。
以下是一些常见的AAA服务器:•ClearPass: Aruba Networks提供的AAA服务器,支持广泛的网络设备和认证协议,具有强大的访问控制和身份验证功能。
•ISE(Identity Services Engine): Cisco自家的AAA服务器,集成了对网络访问控制、终端安全和身份认证的全面支持。
•FreeRADIUS + daloRADIUS: 使用FreeRADIUS作为认证和授权服务器,并结合daloRADIUS作为用户界面和管理工具,提供灵活的AAA解决方案。
cisco-AAA
Cisco AAA 服务本章介绍Cisco Secure ACS 产品以及Cisco 路由器和防火墙中的AAA 服务,主要包含以下几个部分:1、Cisco Secure ACS 产品介绍2、Cisco Secure ACS 安装以及基本配置3、AAA 概述4、配置AAA 认证5、配置AAA 授权6、配置AAA 审计7、AAA 高级配置及应用4.1 Cisco Secure ACS 产品介绍Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件,它可以对用户进行认证、授权和审计。
Cisco Secure ACS 分为Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 两个版本,下表是两个版本所支持的操作系统:版本所支持的操作系统Cisco Secure ACS 管理起来十分简单,用户可以使用web 浏览器完成对它的所有管理,本章只介绍Cisco Secure ACS for windows version 3.3 的管理。
4.2 Cisco Secure ACS 安装及基本配置Cisco Secure ACS 安装很简单,本节讲述Cisco Secure ACS for windows 的安装流程、注意事项以及ACS 的基本配置。
Cisco Secure ACS for windows 的安装过程如下:步骤1、检查并调整计算机硬件配置,使其满足以下要求:Pentium Ⅲ 550MHz 以上256M 内存250M 以上的剩余硬盘空间步骤2、检查windows 配置,安装Java run time(JRE)。
(JRE 的最新版本可以去 上下载)步骤3、检查服务器到Cisco 设备的网络连接。
步骤4、插入Cisco Secure ACS for windows 光盘,点击“Install”开始安装,然后按照windows 的提示一步步地完成安装。
Cisco secure ACS v4.0 中文简易说明书
中文简易使用手册编著:邱杨qiuy.mail@福建富士通2007-4-25目录1.ACS基本配置 (3)1.1设置ACS管理员帐号 (3)1.2 ACS网络设置(添加Tacacs+ 客户端) (4)1.3 Tacacs+设置 (6)1.4设备端tacacs+服务器的指定 (7)2.ACS用户组/用户添加 (7)2.1添加用户组 (7)2.2添加用户 (8)3.ACS功能设置 (11)3.1 ACS认证(authentication) (11)3.2 ACS授权(authorization) (11)3.3 ACS审计(accounting) (14)1.ACS基本配置1.1设置ACS管理员帐号Step 1>点击ACS界面左边的Administration control 按钮,然后点击Administrator control界面中的Add AdministratorStep 2>点击Add administrator 后出现此账户的诸多选项,逐一填写后点击SubmitStep3>设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置1.2 ACS网络设置(添加Tacacs+ 客户端)Step1>点击ACS界面的Network Configuration按钮,出现网络配置界面,然后点击Add Entry,Step2>填写设备组的名称以及keyStep3>设备组定义了之后,点击此设备组属性就可以在此设备组中添加Tacacs+客户端(ACS 中必须指定Tacacs+客户端的IP地址)1.3 Tacacs+设置Step1>点击ACS界面左边Interface configuration 按钮,选择TACACS+ (Cisco IOS)Step2>根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现tacacs+相关项目)1.4 设备端tacacs+服务器的指定在cisco设备端用以下命令指定ACS tacacs+服务器tacacs-server host 202.101.110.110tacacs-server directed-requesttacacs-server key test2.ACS用户组/用户添加2.1 添加用户组Step1>在ACS界面左边点击Group SetupStep2>在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置Step3>在组的enable option 中的Max privilege for any AAA Client设置组的级别2.2 添加用户Step1>在ACS界面的左边点击user setup 按钮Step2>在user方框中填写用户名,然后点击ADD/Edit Step3>在出现的用户属性中逐一填写Step4>选择用户属于哪个用户组Step5>选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)Step6>设置用户的enable 密码3.ACS功能设置3.1 ACS认证(authentication)Step1>在设备端定义tacacs+服务器地址以及keytacacs-server host 202.101.110.110tacacs-server directed-requesttacacs-server key testStep2>在ACS端定义设备的IP地址Step3>在ACS上面建立用户名和用户组Step4>在设备端配置AAA认证aaa new-modelaaa authentication login default group tacacs+ localaaa authentication enable default group tacacs+ enableline vty 0 4login authentication default3.2 ACS授权(authorization)ACS中可以通过设置用户组/用户的级别privilege来实现不同用户登录设备后可用的命令的不同,也可以通过使用ACS的命令授权来实现不同用户登录设备的可用命令条目,以下介绍ACS的命令授权。
ACS
一、安装ACS前需要先安装 Jre选择“典型安装”二、安装JRE之后安装Cisco Secure ACS1.点击2.进度条百分百后跳出3.Accept 后 NEXT,紧接跳出4.全部勾选,然后Next5.默认路径安装,再选择Next,跳出,选择第一个 Check the………6.选Next后跳出这里可以随意填写,后期在软件中可以修改(这里我的填写,依次为 RADIUS(Cisco IOS/PIX),test,192.168.1.2,192.168.1.254,test)7.选择Next,开始安装,进度条满后跳出8.全部勾选,然后Next,跳出只选择第一个 enable log-in Monitoring ,*Restart All 9.之后跳出,不选,Next,最后跳出选前两项即可,最后finish10.如果跳出网页,并不能显示相应的网页,则应检查IE浏览器的安全级别是否太高点击“工具”—“Internet 选项”—“安全”—安全级降低到“高”以下配置与实验1.安装好ACS后,在桌面会有一个ACS Admin的网页,双击打开2.点击网页左侧导航条中的Network configuration、建立AAA client输入Client Hostname、IP、key、选择AuthenticateUsing为Radius (Cisco IOS/PIX)然后直接submit+ Restart(注意:这里建立的客户端即要进行认证的交换机的IP,因此IP要输入提供验证服务的交换机的IP,key要和交换机上设置的key 相同)3.建立完Client后,要更改AAA Servers ,IP为提供aaa验证的服务器IP,一般即本机Key 和前面的key 相同,填写完,submit+restart4.在Internet Configuration中对RADIUS(IETF)进行配置,在组用户属性中选中[64]Tunnel-Type、Tunnel-Medium-Type、[81]Tunnel-private -group-ID5.用户组设置:在Group Setup中(以Group 10为例)对RADIUS Vendor-Specific Attributes值进行编辑:勾选[64]Tunnel-Type,将tag1的值选为VLAN;勾选[65]Tunnel-Medium-Type,将tag 1的值选为802;勾选[81]Tunnel-private-group-ID,将tag 1的值设为2,表明为VLAN 40,即认证成功后划入VLAN 40,设置完后,Submit + Restart6.创建用户test并划入Group10,密码123456实验测试1.首先要保证客户端开启了Wired AutoConfig如果没开,进入服务,开启即可,这样才能保证有身份验证选项2.实验拓扑3.配置命令EnConf tIntvlan 1Ip add 192.168.1.1 255.255.255.0No shuExitDot1x system-auth-control // 全局下开启dot.1x 认证功能,然后还需要到具体某个接口下制定认证的方式Aaa new-model // 启用AAA 认证功能Aaa authentication dot1x default group radius //aaa通过802.1x 认证radius 服务器Aaa authorization network default radius //aaa通过radius 授权给网络Radius-server host 192.168.1.254 auth-port 1645 acct-port 1646 key test // 指定radius 服务的ip地址认证端口和授权以及口令Radius-server vsa send authentication // 允许交换使用和识别VSA 值,vsa是Vendor -Specific attributesSpecific的缩写Int f0/0Switchport mode accessDot1x port-control auto//设置dot1x控制模式为自动,//auto启用802.1x协议认证方式4. 配置完成后先在交换机上输入test aaa group radius test 123456(即认证用户名和密码) legacy如果配置成功,则会出现图中的两行英文,表示成功输入用户名和密码,即可可以看到交换机上端口由down 状态变为up 在客户端上ping 服务器,可以连通。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1.1 Cisco Secure ACS认证系统
Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。
思科NAC是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。
通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等),并可限制违规设备的访问。
思科NAC是思科自防御网络计划的一部分,为在第二层和第三层网络上实现网络准入控制奠定了基础。
我们计划进一步扩展端点和网络安全性的互操作性,以便将动态的事故抑制功能包含在内。
这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。
因此,用户可将受感染的系统与其他网络部分动态隔离开,从而大大减少病毒、蠕虫及混合攻击的传播。
AAA管理系统
Cisco Secure ACS是功能强大的访问控制服务器,为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。
表1列出了Cisco Secure ACS的主要优势。
Cisco Secure ACS的主要优势
Cisco Secure ACS 4.0提供以下全新特性和优势:
Cisco NAC 支持— Cisco Secure ACS 4.0用作NAC部署中的策略决策点。
使用可配置的策略,它能评估Cisco Trust Agent 提交的证书、决定主机状态、并向网络访问设备发送逐用户的授权信息:ACL、基于策略的ACL或专用的VLAN分配。
评估主机证书可执行许多特定策略,如操作系统补丁级别和防病毒DAT文件版本等。
Cisco Secure ACS记录策略评估结果以供监控系统使用。
Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查,然后再决定是否准许它访问网络。
您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。
例如,防病毒供应商特定的证书可被转发至供应商的防病毒策略服务器,审查策略请求可被转发至审查供应商。
可扩展性改进— Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS 系统,将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。
同时也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。
基于资料库的策略— Cisco Secure ACS 4.0支持名为网络访问资料库的新
特性,允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类,可将验证、访问控制和授权策略映射到特定的资料库中。
例如,基于资料库的策略允许为无线访问与远程 (VPN)访问采用不同的访问策略。
扩展的复制组件— Cisco Secure ACS 4.0 改进并增强了复制功能。
管理员现已能够复制网络访问资料库和所有相关的配置,包括状态验证设置、AAA 客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享资料库组件和其他登录属性。
EAP- FAST增强支持— EAP-FAST是思科开发的可供公开访问的新型IEEE 802.1x EAP,用于支持无法执行强大的密码策略或希望部署无需数字证书的802.1x EAP的客户。
它支持各类用户和密码数据库并支持密码到期和变更机制,是易于部署、易于管理的灵活EAP。
例如,未实施强大的密码策略且不希望使用证书的客户可移植到EAP-FAST以防词典攻击。
Cisco Secure ACS 4.0在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。
可下载的IP ACL — Cisco Secure ACS 4.0将每用户的ACL支持扩展到了支持这个特性的所有第三层网络设备,包括Cisco PIX® 安全产品、思科VPN解决方案和Cisco IOS路由器。
您可定义每用户或每用户群应用的一系列ACL。
这个特性允许执行适当的ACL策略,藉此补充了NAC支持。
当与网络访问过滤器一起使用时,您可通过不同方式每设备的应用可下载的ACL,从而每用户或每访问设备的定制ACL。
认证撤销列表(CRL)比较— Cisco Secure ACS 4.0 使用X.509 CRL资料库支持证书撤销机制。
CRL是记录已撤销证书的加盖时间标记的列表,由证书授权机构或CRL发放人签字并免费提交到公共信息库中。
Cisco Secure ACS
4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL,并保存它们以便在
EAP传输层安全性(EAP-TLS)验证中使用。
如果用户在EAP-TLS验证期间提供
的证书位于已检索的CRL中,将无法通过Cisco Secure ACS验证,Cisco Secure ACS将拒绝用户访问网络。
这个功能对组织变更频繁的客户来说非常重要,可防止宝贵的网络资产遭到欺骗性的使用。
设备访问限制—作为Windows设备验证的增强特性,Cisco Secure ACS 4.0提供设备访问限制功能。
当打开Windows设备验证功能时,您可使用设备访问限制机制来控制EAP-TLS授权,以及通过Windows外部用户数据库验证的Microsoft受保护的可扩展身份验证协议(PEAP)的用户。
如果用户用于访问网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证,您可根据需要为用户配置访问权限限制。
您也可选择拒绝用户访问网络。
网络访问过滤器(NAF) — Cisco Secure ACS 4.0包括NAF,作为新型的共享资料库组件。
NAF为在网络设备名、网络设备组或其IP地址上应用网络访问控制及可下载的ACL提供了灵活的方法。
根据IP地址应用的NAF可使用IP地址范围和通配符。
这个特性提供精确的应用网络访问限制及可下载的ACL,而在以前,所有设备只能应用相同的访问限制或ACL。
NAF允许定义灵活的网络设备限制策略,满足大型环境中最常见的要求。
思科硬件设备的其他支持— Cisco Secure ACS 4.0 支持思科无线局域网控制器和思科自适应安全产品。