第二部分ACS配置.docVIP

第二部分ACS配置 2.1 通用配置 ACS已经安装在服务器上，ACS的IP地址为00。安装完后会在桌面产生一个ACS管理页面。 点击即可登录进ACS进行管理操作。如：配置管理员帐号，数据库管理等等。 2.1.1 创建管理员 点击界面左侧的安钮进入到管理页面 点击安钮，添加管理员帐户。 输入管理员的名称和密码，并点击安钮，使该管理员拥有全部的管理权限，当然也可以为单独的管理员设置单独的权限。 2.1.2 远程登录 添加完管理员用户后，远程的客户端主机就可以远程登录ACS进行管理了。 在远程PC上使用浏览器，在地址栏里输入00:2002即可访问ACS服务器，输入管理员用户和密码即可登录ACS。 2.1.3 数据库设置 ACS 在安装过程中会提示使用ACS数据库还是使用Windows数据库。可以选择使用Windows数据库，并且把下面的dialin选项选上。安装的最后提 示创建密码，建议不要太复杂，否则sybase数据库会报告ODBC错误，会造成安装终止。如果安装终止，在控制面板中的添加删除程序里面是无法删除的， 须使用专用的ACS删除软件删除，然后从新安装。本次的acs是使用security数据库进行。 也可以在安装完后再进行数据库配置，在主页面左侧的安钮即可进和数据库配置界面。然后选择数据库配置即可进行相应的操作。 2.1.4 网络设备配置 管理员和数据库配置完后需要在ACS上配置做AAA客户端的网络设备，在本例中我们将要添加三个厂家的网络设备。 首先点击主页面下安钮进入到网络设备配置页面。 点击增加一个条目，输入AAA client主机名、IP地址并点击“Submit + Apply”安钮。 可以看到名字为Cisco的AAA Client设备已经建立起来了。 注：建议使用交换机的loopback0接口地址作客户端的接口，比使用互连物理接口运行相对更加稳定。 　　我们再建立一个Juniper的AAA Client设备。在“Authenticate Using”一栏中选择RADIUS (Juniper),然后确定。 　　注意在建立AAA Client中选择“Authenticate Using”中 可以选择思科的无线产品、VPN3000系列、PIX/ASA7.x、IETF、Nortel等厂家的设备，但是没有NetScreen和H3C的产品, 这需要添加第三方网络设备厂商的字典文件，才能支持该厂家的网络设备，在后面的章节中会专门介绍如何添加第三方厂家设备字典文件。 2.1.5 用户接口配置 在主页面下点击“Interface Configuration”进入用户接口策略配置。 本例中我们以设置TACAS＋为从例，点击TACACS+(Cisco IOS)，配置基于TACACS+的用户接口策略。 注：选择需要在User Setup和Group Setup里面显示的属性，注意添加shell（exec）以增加对使用命令的控制。其余的如果在交换机中配置了，可以不用作多余更改。 2.1.6 添加用户 点击 UserSetup按钮，进入用户配置模式页面。点击Find按钮或者list安钮可以在右边的列表拦内查看到当前已经建立的所有用户，包括该用户当前的状态和所属的分组。 我们添加一个”test”用户，密码为”test”。 输入用户名，点击add/edit进入用户配置界面，可以对新增加用户权限进行编辑。 　　设置该用户密码、归属的用户组、回拨、地址关联以及高级TACACS＋设置 2.1.7 配置用户组 在主页面下点击GroupSetup进入用户组配置界面。 点击“Rename”可以对用户组的名称进行编辑。这里已经可以看到在用户数据库中建立的组别，在下拉列表中选择需要进行配置的组别并可根据需要使用Rename Group更名后，点击Edit Settings进入 进 入组配置的页面之后，选择上面跳转下拉菜单中的TACACS+选项，直接进行TACACS+相关的配置。需要在shell（exec）选项前勾中，以打开 对该用户可用命令进行控制的功能。在Privilege level选项前勾中，并且在后面的输入框中输入在交换机或其他网络设备中设置的enable权限等级。权限等级并不重要，只是这里设置的等级在网络设备 中同样要设置，以作一个匹配的条件，用户登录后直接进入相应的enable权限等级下，同时也在登陆权限上预先对用户进行了权限控制。两项选择好后，拉动 滚动条向下，进行用户操作命令权限的设置。 在 下面找到per group command authorization选项，进行选择。 之后开始实际设置用户命令权限。这里采用了层次化的结构