ACS中文配置手册.doc

ACS的配置 目录 第1章 ACS的配置 1 目录 1 1.1 AAA的配置 1 1.1.1 超级用户的配置 1 1.1.2 定义管理策略 3 1.1.3 配置使用外部Windows数据库 10 1.1.4 接口（Interface）的配置 11 1.1.5 系统备份 13 1.1.6 日志的配置 14 1.1.7 创建网络设备组（Network Device Group） 16 1.1.8 配置冗余服务器（Backup Server） 20 1.1.9 配置命令授权 24 1.1.10 创建用户 30 1.1.11 内外数据库映射 32 1.1.12 数据库的映射 34 1.1.13 匿名用户策略(Unknown User Policy) 35 AAA的配置 超级用户的配置 在Cisco ACS Engine 上首先进行管理员（administrator user）或超级用户（super user）的设置。此用户拥有使用ACS所有功能的权限，因此此账户消息必须进行保密，它是管理所有ACS应用资源的关键。请参考如下的配置步骤进行管理员用户的创建： 第一步：在Aministration Control 菜单下，点击Add Administrator 按钮添加管理员。 插图 41 ACS添加管理员 第二步：键入管理员的名字及密码并点击Grant All按钮，然后点击Submit。 插图 42 ACS添加管理员（续） 定义管理策略 起初Cisco ACS Engine只能通过Console来进行本地访问，一旦管理策略建立好后，Cisco ACS Engine可以通过配置的管理策略进行远程访问。管理策略包括访问策略（Access Policy），会话策略（Session Policy），和审计策略（Audit Policy）。首先进行访问策略的配置，使其只允许用HTTPS进行远程访问，并且限制访问端口范围为2000-2999从而制定相应的防火墙策略。HTTPS需要证书进行认证，因此用Cisco ACS Engine来提供自签署证书，下面是自签署证书的配置方法。在System Control 菜单下，点击ACS Certificate Setup然后点击Generate Self-Signed Certificate。 插图 43提供自签署证书 当系统完成自签署证书后，ACS服务需要进行重启。 插图 44 ACS自签署证书 在System Control菜单下，点击Service Control，重启ACS服务，服务重启后，确认其状态为running。 插图 45 ACS服务重启 当系统重启后，点击Administration Control菜单，然后点击Access Policy。 插图 46 ACS管理员界面 在IP Address Filtering 中选择允许所有IP Address to access，然后在HTTP Configuration中选择限制端口范围为2000-2999，最后选择使用HTTPS并点击Submit。在完成如下配置后，可以通过https://ip address:2002进行远程访问。 插图 47 ACS管理员界面 （续） 在Administration Control 菜单下，选择Session Policy配置会话策略使其当会话空闲10分钟以上时，自动退出，同时迫使进行本地认证。 插图 48会话策略的设置 在Administration Control 菜单下，选择Audit Policy审计策略使其删除老于七天的日志。 插图 49 日志的配置 配置使用外部Windows数据库 使用Windows AD系统上的已有用户账户消息进行用户认证。在External User Database菜单下选择Database Configuration然后点击Windows Database。 插图 410 ACS使用外部数据库 接口（Interface）的配置 配置用户定义域的接口配置，在Internafce Configuration下，选择Configure user defined fields: 插图 411 Interface的设置 配置用户定义域的接口配置，在Internafce Configuration下，选择Advanced Options，确认如下的用户接口已经被enable。 插图 412 Interface的Advanced Options 系统备份 配置系统每个工作日进行一次备份，周五进行两次备份。在System Configuration下，选择ACS Backup，进行如下配置。 插图 413 ACS系统备份设置 日志的配置 在System Con