admin 管理员组文章数量: 887019
2024年3月28日发(作者:vb种逻辑运算符的优先级)
1、ACS配置
ACS的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要
创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下:
按照如图1-1所示的方法打开用户添加界面
图 1-1
用户添加界面打开后如图1-2所示,里面的内容比较复杂,对我们来说最重要的部分
是用户名、密码以及用户组,添加用户界面中的项目作用如图1-3:
图中标“1”的部分:用户名字段,登录的时候这个就是Username
图中标“2”的部分:用户组,之前我们说过ACS的策略权限等的定义都是基于用户
组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里
图中标“3”的部分:登录密码,登录的时候这个就是password
图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要
修改新的密码(思科的设备经测试有效)
图中标“5”的部分:使能密码,也就是我们常说的enable密码,这个密码如果需
要使用则需要在设备上开启enable使用AAA服务器做认证(暂未测试)
图 1-2
图 1-3
配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为
AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还
可以根据用户组中定义的授权信息对登录上来的用户做授权。
2、网络设备的配置
不同的网络设备配置命令是不一样的,具体的配置需要参考相关设备的配置手册,由
于ACS本来就是Cisco的东西,所以Cisco的设备相对来说兼容性是最好的。
2.1、Cisco设备的配置
//AAA服务配置
aaa new-model //定义新的AAA实例
aaa authentication login MAGI group tacacs+ local-case //命名一个名为
MAGI的登录认证规则,且如果tacacs+服务不可达,则自动使用本地数据库信息认证
aaa authorization exec MAGI group tacacs+ local //命名一个名为MAGI的特
权授权规则,且如果Tacacs+服务不可达,则自动使用本地数据库信息授权
tacacs-server host 192.168.255.2 key TacacsKey //定义Tacacs+服务器的IP地
址以及Key
//线程下调用名为MAGI的登录认证规则和特权授权规则
line vty 0 4
authorization exec MAGI
login authentication MAGI
2.2、华为9300系列交换机的配置
hwtacacs-server template MAGI //定义一个hwtacacs服务模板
hwtacacs-server authentication 192.168.255.2 //定义hwtatacs认证服务器地
址
hwtacacs-server authorization 192.168.255.2 //定义hwtatacs授权服务器地址
hwtacacs-server shared-key TacacsKey //定义与共享key
undo hwtacacs-server user-name domain-included //关闭“包括域名”规
则,如果不关闭,那么用户名需要以“用户名@域名”的形式出现
//AAA服务的配置
aaa //进入AAA配置模式
authentication-scheme MAGI
authentication-mode hwtacacs local //定义认证实例以及认证方式,同时做本
地保护,防止tacacs服务不可达的时候无法登录设备
authorization-scheme MAGI
authorization-mode hwtacacs local //定义授权实例以及授权方式,同时做本
地保护,防止tacacs服务不可达的时候无法登录设备
//认证域的配置
domain default_admin
authentication-scheme MAGI //定义认证使用名为MAGI的认证实例
authorization-scheme MAGI //定义授权使用名为MAGI的授权实例
hwtacacs-server MAGI //定义hwtacacs服务使用名为MAGI的模板
//线程下启用AAA模式认证
user-interface vty 0 4
authentication-mode aaa
3.3、华为S3000系列交换机的配置
//定义名为MAGI的Radius实例
radius scheme MAGI
primary authentication 192.168.255.2 1812 //定义主认证服务器IP地址和端口
key authentication RadiusKey //定义Radius预共享密钥
user-name-format without-domain //定义用户名不包括域名,如果不输入这条
命令用户名要表现为“用户名@域名”的形式
//定义域名,并作号域名和Radius实例的映射关系
domain AAA
radius-scheme MAGI
//线程下启用AAA模式认证
user-interface vty 0 4
authentication-mode scheme
3.4、中兴ZXR系列交换机的配置
config nas //进入NAS配置模式
radius nasname MAGI //定义名为MAGI的radius实例
radius isp MAGI enable //启用这个实例
radius isp MAGI defaultisp enable //
radius isp MAGI sharedsecret RadiusKey //定义预共享密钥
radius isp MAGI add authentication 192.168.255.2 1812 //定义Radius服务器
地址和端口
exit
set login radius //选择使用Radius服务认证
版权声明:本文标题:图文】Cisco Secure ACS 5.2使用教程 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1711570392h603145.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论