ACS安装&配置手册
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
可以看到名字为Cisco的AAA Client设备已经建立起来了。
注:建议使用交换机的loopback0接口地址作客户端的接口,比使用互连物理接口运行相对更加稳定。
我们再建立一个Juniper的AAA Client设备。在“Authenticate Using”一栏中选择RADIUS (Juniper),然后确定。
Ø 100网卡
操作系统:
Ø Windows 2000 Server English version (SP3)
Ø Windows 2000 Advanced Server English version (SP 4)
Ø Windows Server 2003,EnterpriseEdition or Standard Edition (SP1)
进入某一天的相应条目后,在右面的栏内可以察看当天具体的每个用户具体时间所使用过的命令、用户当时的登陆等级以及用户当时登陆的设备地址。
Ø Japanese Windows Server 2003 (SP1)
文件系统:
Ø NTFS
1.1.2 ACS for Windows Web Client
硬件要求:
Ø IBM兼容机CPU为Pentium IV
Ø256M内存,虚拟内存400M
Ø1G硬盘空间或更多
Ø 256色彩显,800 x 600分辨率
2.1.5用户接口配置
在主页面下点击“Interface Configuration”进入用户接口策略配置。
本例中我们以设置TACAS+为从例,点击TACACS+(Cisco IOS),配置基于TACACS+的用户接口策略。
注:选择需要在User Setup和Group Setup里面显示的属性,注意添加shell(exec)以增加对使用命令的控制。其余的如果在交换机中配置了,可以不用作多余更改。
Java:
Ø Sun JRE1.4.2_04
1.1.3 ACS for Windows Server UCP
Ø Microsoft IIS 5.0
Ø Apache 1.3 web server
1.2 升级要求
ACS支持下面几个升级途径:
Ø Cisco Secure ACS for Windows, release3.3.3to ACS 4.1
Ø Japanese Windows Server 2003 (Service Pack 1)
浏览器:
Ø Microsoft Internet Explorer 6 Service Pack 1 and 5.5 for Windows–English and Japanese version
Ø Netscape Web Browser 7.0, 7.1, and 7.2 for Windows–English and Japanese version
default 1024
through 65535
1.5 ACS安装
AC安装&配置手册 第二部分 ACS配置
第二部分ACS配置
2.1 通用配置
ACS已经安装在服务器上,ACS的IP地址为11.156.198.200。安装完后会在桌面产生一个ACS管理页面。
点击即可登录进ACS进行管理操作。如:配置管理员帐号,数据库管理等等。
也可以在安装完后再进行数据库配置,在主页面左侧的 安钮即可进和数据库配置界面。然后选择数据库配置即可进行相应的操作。
2.1.4网络设备配置
管理员和数据库配置完后需要在ACS上配置做AAA客户端的网络设备,在本例中我们将要添加三个厂家的网络设备。
首先点击主页面下 安钮进入到网络设备配置页面。
点击 增加一个条目,输入AAA client主机名、IP地址并点击“Submit + Apply”安钮。
UDP
1645, 1812
RADIUS accounting
UDP
1646, 1813
TACACS+
TCP
49
Cisco Secure Database Replication
TCP
2000
RDBMS Synchronization with synchronization partners
TCP
2000
在最后还有Unlisted arguments的选项,不在上面arguments列表内的,同一主命令下的其它命令(这里表示其它的show命令)是否允许使用,如果为permit是允许使用,反之是deny。 配置完成之后需要点Submit+Restart,进行应用和刷新,之后才可以再继续设置下面的其他命令权限。在页面同样位置新出现的command配置区域按照之前的配置语法增加配置就可以了。
2.1.3数据库设置
ACS在安装过程中会提示使用ACS数据库还是使用Windows数据库。可以选择使用Windows数据库,并且把下面的dialin选项选上。安装的最后提示创建密码,建议不要太复杂,否则sybase数据库会报告ODBC错误,会造成安装终止。如果安装终止,在控制面板中的添加删除程序里面是无法删除的,须使用专用的ACS删除软件删除,然后从新安装。本次的acs是使用security数据库进行。
进入某一天的相应条目后,在右面的栏内可以察看当天具体的用户登陆情况,包括有登陆时间、登陆用户名、用户所属分组、用户的ip地址、当前时间状态是登陆还是注销离开、注销离开则会带有该用户登录时长,向右拉动滚动条在最后面还会有用户所登陆的地址。
2.2.2察看用户使用过的命令
在reports and activity页面内,选择reports栏的TACACS+ Administration选项,右面同样会有日期栏,点击每个日期可以察看当天的用户使用命令记录。
Ø CD-ROM
Ø 100网卡
操作系统:
Ø Windows 2000 (Service Pack4)
Ø Windows XP (Service Pack2)
Ø Windows 2000 Server 或Advanced Server (Service Pack4)
Ø Windows Server 2003,EnterpriseEdition or Standard Edition
Ø Token-card clients
1.4 网络和端口
部署ACS需要的网络环境如下:
Ø Cisco运行IOS的设备支持TACACS+ 和RADIUS, AAA clients 需要运行 的Cisco IOS版本为11.1或更新的版本
Ø 非Cisco IOS AAA clients 必须配置TACACS+, RADIUS,都配
2.1.1创建管理员
点击界面左侧的 安钮进入到管理页面
点击 安钮,添加管理员帐户。
输入管理员的名称和密码,并点击 安钮,使该管理员拥有全部的管理权限,当然也可以为单独的管理员设置单独的权限。
2.1.2远程登录
添加完管理员用户后,远程的客户端主机就可以远程登录ACS进行管理了。
在远程PC上使用浏览器,在地址栏里输入http://11.156.198.200:2002即可访问ACS服务器,输入管理员用户和密码即可登录ACS。
ACS安装&配置手册--第一部分
第一部分Windows上安装ACS
1.1 系统要求
1.1.1 ACS for Windows Server
硬件要求:
Ø IBM兼容机CPU为Pentium IV, 1.8 GHz或更高
Ø1G内存或更高
Ø1G硬盘空间或更多
Ø 256色彩显,800 x 600分辨率
Ø CD-ROM
进入组配置的页面之后,选择上面跳转下拉菜单中的TACACS+选项,直接进行TACACS+相关的配置。需要在shell(exec)选项前勾中,以打开对该用户可用命令进行控制的功能。在Privilege level选项前勾中,并且在后面的输入框中输入在交换机或其他网络设备中设置的enable权限等级。权限等级并不重要,只是这里设置的等级在网络设备中同样要设置,以作一个匹配的条件,用户登录后直接进入相应的enable权限等级下,同时也在登陆权限上预先对用户进行了权限控制。两项选择好后,拉动滚动条向下,进行用户操作命令权限的设置。
在下面找到per group command authorization选项,进行选择。 之后开始实际设置用户命令权限。这里采用了层次化的结构选项,首先是标题下面的“Unmatched cisco ios commands”选项,分别是permit和deny,表示如果下面设定的命令列表中不存在的命令是否允许(类似cisco访问表最后的那条默认是允许还是禁止其它),permit为允许deny为禁止,如果所有命令都允许使用则选择permit,反之选择deny。之后继续往下设置,在“Command”选项上勾选,在下面的输入框内打上主命令,如:show或者configure等命令,在arguments输入框内加入允许操作的扩展命令,语法是permit或者deny加上扩展命令。如:允许进行show vlan等命令禁止show run、show configuration命令操作,需要在上面设置show命令以外,还需要在下面设置: permit vlan和deny run,以及其他permit和deny的设置,设置先后顺序没有区别。例如下图:
Ø Cisco Secure ACS for Windows, release 4.0 to ACS 4.1
Ø 如果是早3.3.3的版本, 需要先升级到ACS 3.3.3, 然后再升级到4.1
1.3 第三方软件要求
需要如下应用软件:
Ø Web浏览器
Ø JAVA虚拟机
Ø Novell Directory Server (NDS) clients
设置该用户密码、归属的用户组、回拨、地址关联以及高级TACACS+设置
2.1.7配置用户组
在主页面下点击GroupSetup进入用户组配置界面。
点击“Rename”可以对用户组的名称进行编辑。这里已经可以看到在用户数据库中建立的组别,在下拉列表中选择需要进行配置的组别并可根据需要使用Rename Group更名后,点击Edit Settings进入
注意在建立AAA Client中选择“Authenticate Using”中可以选择思科的无线产品、VPN3000系列、PIX/ASA7.x、IETF、Nortel等厂家的设备,但是没有NetScreen和H3C的产品,这需要添加第三方网络设备厂商的字典文件,才能支持该厂家的网络设备,在后面的章节中会专门介绍如何添加第三方厂家设备字典文件。
2.1.6添加用户
点击UserSetup按钮,进入用户配置模式页面。点击Find按钮或者list安钮可以在右边的列表拦内查看到当前已经建立的所有用户,包括该用户当前的状态和所属的分组。
我们添加一个”test”用户,密码为”test”。
输入用户名,点击add/edit进入用户配置界面,可以对新增加用户权限进行编辑。
Ø 拨号用户、VPN或无线客户端必须可以连接到应用AAA的客户端
Ø 运行ACS的主机必须可以ping通所有AAA客户端
Ø 网关设备必须允许在ACS和其它网络设备之间的相关协议和相应端口进行通信(见/Protocol
UDP or TCP
Ports
RADIUS authentication and authorization
2.2 察看记录
ACS可以自动接收网络设备记录的用户的操作,包括各个用户登陆的时间、每个用户登陆后使用的命令、用户登录验证失败的记录以及当前在各个设备上面的用户。ACS界面左边功能项区选择reports and activity,进入察看记录界面。
2.2.1察看用户登录时间
在reports and activity页面内,选择reports栏的TACACS+ Accounting选项,右面进入accounting页面,是acs生效之后的日期列表,分别每天一个记录保存登陆的信息,可以点任意一天的条目进入具体察看当天的登陆记录。
User-Changeable Password web application
TCP
2000
Logging
TCP
2001
Administrative HTTP port for new sessions
TCP
2002
Administrative HTTP port range
TCP
Configurable;
注:建议使用交换机的loopback0接口地址作客户端的接口,比使用互连物理接口运行相对更加稳定。
我们再建立一个Juniper的AAA Client设备。在“Authenticate Using”一栏中选择RADIUS (Juniper),然后确定。
Ø 100网卡
操作系统:
Ø Windows 2000 Server English version (SP3)
Ø Windows 2000 Advanced Server English version (SP 4)
Ø Windows Server 2003,EnterpriseEdition or Standard Edition (SP1)
进入某一天的相应条目后,在右面的栏内可以察看当天具体的每个用户具体时间所使用过的命令、用户当时的登陆等级以及用户当时登陆的设备地址。
Ø Japanese Windows Server 2003 (SP1)
文件系统:
Ø NTFS
1.1.2 ACS for Windows Web Client
硬件要求:
Ø IBM兼容机CPU为Pentium IV
Ø256M内存,虚拟内存400M
Ø1G硬盘空间或更多
Ø 256色彩显,800 x 600分辨率
2.1.5用户接口配置
在主页面下点击“Interface Configuration”进入用户接口策略配置。
本例中我们以设置TACAS+为从例,点击TACACS+(Cisco IOS),配置基于TACACS+的用户接口策略。
注:选择需要在User Setup和Group Setup里面显示的属性,注意添加shell(exec)以增加对使用命令的控制。其余的如果在交换机中配置了,可以不用作多余更改。
Java:
Ø Sun JRE1.4.2_04
1.1.3 ACS for Windows Server UCP
Ø Microsoft IIS 5.0
Ø Apache 1.3 web server
1.2 升级要求
ACS支持下面几个升级途径:
Ø Cisco Secure ACS for Windows, release3.3.3to ACS 4.1
Ø Japanese Windows Server 2003 (Service Pack 1)
浏览器:
Ø Microsoft Internet Explorer 6 Service Pack 1 and 5.5 for Windows–English and Japanese version
Ø Netscape Web Browser 7.0, 7.1, and 7.2 for Windows–English and Japanese version
default 1024
through 65535
1.5 ACS安装
AC安装&配置手册 第二部分 ACS配置
第二部分ACS配置
2.1 通用配置
ACS已经安装在服务器上,ACS的IP地址为11.156.198.200。安装完后会在桌面产生一个ACS管理页面。
点击即可登录进ACS进行管理操作。如:配置管理员帐号,数据库管理等等。
也可以在安装完后再进行数据库配置,在主页面左侧的 安钮即可进和数据库配置界面。然后选择数据库配置即可进行相应的操作。
2.1.4网络设备配置
管理员和数据库配置完后需要在ACS上配置做AAA客户端的网络设备,在本例中我们将要添加三个厂家的网络设备。
首先点击主页面下 安钮进入到网络设备配置页面。
点击 增加一个条目,输入AAA client主机名、IP地址并点击“Submit + Apply”安钮。
UDP
1645, 1812
RADIUS accounting
UDP
1646, 1813
TACACS+
TCP
49
Cisco Secure Database Replication
TCP
2000
RDBMS Synchronization with synchronization partners
TCP
2000
在最后还有Unlisted arguments的选项,不在上面arguments列表内的,同一主命令下的其它命令(这里表示其它的show命令)是否允许使用,如果为permit是允许使用,反之是deny。 配置完成之后需要点Submit+Restart,进行应用和刷新,之后才可以再继续设置下面的其他命令权限。在页面同样位置新出现的command配置区域按照之前的配置语法增加配置就可以了。
2.1.3数据库设置
ACS在安装过程中会提示使用ACS数据库还是使用Windows数据库。可以选择使用Windows数据库,并且把下面的dialin选项选上。安装的最后提示创建密码,建议不要太复杂,否则sybase数据库会报告ODBC错误,会造成安装终止。如果安装终止,在控制面板中的添加删除程序里面是无法删除的,须使用专用的ACS删除软件删除,然后从新安装。本次的acs是使用security数据库进行。
进入某一天的相应条目后,在右面的栏内可以察看当天具体的用户登陆情况,包括有登陆时间、登陆用户名、用户所属分组、用户的ip地址、当前时间状态是登陆还是注销离开、注销离开则会带有该用户登录时长,向右拉动滚动条在最后面还会有用户所登陆的地址。
2.2.2察看用户使用过的命令
在reports and activity页面内,选择reports栏的TACACS+ Administration选项,右面同样会有日期栏,点击每个日期可以察看当天的用户使用命令记录。
Ø CD-ROM
Ø 100网卡
操作系统:
Ø Windows 2000 (Service Pack4)
Ø Windows XP (Service Pack2)
Ø Windows 2000 Server 或Advanced Server (Service Pack4)
Ø Windows Server 2003,EnterpriseEdition or Standard Edition
Ø Token-card clients
1.4 网络和端口
部署ACS需要的网络环境如下:
Ø Cisco运行IOS的设备支持TACACS+ 和RADIUS, AAA clients 需要运行 的Cisco IOS版本为11.1或更新的版本
Ø 非Cisco IOS AAA clients 必须配置TACACS+, RADIUS,都配
2.1.1创建管理员
点击界面左侧的 安钮进入到管理页面
点击 安钮,添加管理员帐户。
输入管理员的名称和密码,并点击 安钮,使该管理员拥有全部的管理权限,当然也可以为单独的管理员设置单独的权限。
2.1.2远程登录
添加完管理员用户后,远程的客户端主机就可以远程登录ACS进行管理了。
在远程PC上使用浏览器,在地址栏里输入http://11.156.198.200:2002即可访问ACS服务器,输入管理员用户和密码即可登录ACS。
ACS安装&配置手册--第一部分
第一部分Windows上安装ACS
1.1 系统要求
1.1.1 ACS for Windows Server
硬件要求:
Ø IBM兼容机CPU为Pentium IV, 1.8 GHz或更高
Ø1G内存或更高
Ø1G硬盘空间或更多
Ø 256色彩显,800 x 600分辨率
Ø CD-ROM
进入组配置的页面之后,选择上面跳转下拉菜单中的TACACS+选项,直接进行TACACS+相关的配置。需要在shell(exec)选项前勾中,以打开对该用户可用命令进行控制的功能。在Privilege level选项前勾中,并且在后面的输入框中输入在交换机或其他网络设备中设置的enable权限等级。权限等级并不重要,只是这里设置的等级在网络设备中同样要设置,以作一个匹配的条件,用户登录后直接进入相应的enable权限等级下,同时也在登陆权限上预先对用户进行了权限控制。两项选择好后,拉动滚动条向下,进行用户操作命令权限的设置。
在下面找到per group command authorization选项,进行选择。 之后开始实际设置用户命令权限。这里采用了层次化的结构选项,首先是标题下面的“Unmatched cisco ios commands”选项,分别是permit和deny,表示如果下面设定的命令列表中不存在的命令是否允许(类似cisco访问表最后的那条默认是允许还是禁止其它),permit为允许deny为禁止,如果所有命令都允许使用则选择permit,反之选择deny。之后继续往下设置,在“Command”选项上勾选,在下面的输入框内打上主命令,如:show或者configure等命令,在arguments输入框内加入允许操作的扩展命令,语法是permit或者deny加上扩展命令。如:允许进行show vlan等命令禁止show run、show configuration命令操作,需要在上面设置show命令以外,还需要在下面设置: permit vlan和deny run,以及其他permit和deny的设置,设置先后顺序没有区别。例如下图:
Ø Cisco Secure ACS for Windows, release 4.0 to ACS 4.1
Ø 如果是早3.3.3的版本, 需要先升级到ACS 3.3.3, 然后再升级到4.1
1.3 第三方软件要求
需要如下应用软件:
Ø Web浏览器
Ø JAVA虚拟机
Ø Novell Directory Server (NDS) clients
设置该用户密码、归属的用户组、回拨、地址关联以及高级TACACS+设置
2.1.7配置用户组
在主页面下点击GroupSetup进入用户组配置界面。
点击“Rename”可以对用户组的名称进行编辑。这里已经可以看到在用户数据库中建立的组别,在下拉列表中选择需要进行配置的组别并可根据需要使用Rename Group更名后,点击Edit Settings进入
注意在建立AAA Client中选择“Authenticate Using”中可以选择思科的无线产品、VPN3000系列、PIX/ASA7.x、IETF、Nortel等厂家的设备,但是没有NetScreen和H3C的产品,这需要添加第三方网络设备厂商的字典文件,才能支持该厂家的网络设备,在后面的章节中会专门介绍如何添加第三方厂家设备字典文件。
2.1.6添加用户
点击UserSetup按钮,进入用户配置模式页面。点击Find按钮或者list安钮可以在右边的列表拦内查看到当前已经建立的所有用户,包括该用户当前的状态和所属的分组。
我们添加一个”test”用户,密码为”test”。
输入用户名,点击add/edit进入用户配置界面,可以对新增加用户权限进行编辑。
Ø 拨号用户、VPN或无线客户端必须可以连接到应用AAA的客户端
Ø 运行ACS的主机必须可以ping通所有AAA客户端
Ø 网关设备必须允许在ACS和其它网络设备之间的相关协议和相应端口进行通信(见/Protocol
UDP or TCP
Ports
RADIUS authentication and authorization
2.2 察看记录
ACS可以自动接收网络设备记录的用户的操作,包括各个用户登陆的时间、每个用户登陆后使用的命令、用户登录验证失败的记录以及当前在各个设备上面的用户。ACS界面左边功能项区选择reports and activity,进入察看记录界面。
2.2.1察看用户登录时间
在reports and activity页面内,选择reports栏的TACACS+ Accounting选项,右面进入accounting页面,是acs生效之后的日期列表,分别每天一个记录保存登陆的信息,可以点任意一天的条目进入具体察看当天的登陆记录。
User-Changeable Password web application
TCP
2000
Logging
TCP
2001
Administrative HTTP port for new sessions
TCP
2002
Administrative HTTP port range
TCP
Configurable;