ACS5中文配置手册详解.doc

ACS 5.1配置步骤详解 2010年3月26日 Ma Min ACS登录方式 ACS可以通过GUI和CLI两种方式登录，以下介绍均采用GUI方式 通过IE浏览器键入https://acs ip address ACS登录方式 1/ 配置网络资源 需要预先规划好网络设备组NDG的分配方式，比如按照设备所处位置Location和设备所属类型Device Type规划，这个在将来认证和授权时会用到。 网络资源组网络设备组NDG下配置位置Location例子 网络资源组网络设备组NDG下配置设备类型Device Type例子 配置需要实施认证的设备，包括NCM服务器本身。 网络资源组网络设备组NDG下配置网络设备和AAA客户端Network Devices and AAA Clients例子 以配置设备6509为例，将此设备分配到”北京”站点和”思科”设备组，指定IP地址，选择TACACS+协议，配置TACACS+ KEY，选择single connect device 将所有的TACACS+协议交互信息在单一TCP连接中传输。 以配置北电设备为例，选择RADIUS协议。 3、配置用户和用户组 配置身份组别例子，建立办公网运维管理、生产网运维管理、生产网配置监控三个组别 创建用户名，密码，分配用户到某个组别中。 4、配置策略元素 配置授权和许可策略，其中设备管理包括shell profiles和Command Sets 对于客户端接入包括网络接入（Authorization Profiles）和命名的许可对象(Downloadable ACLs） 以下是定义一个下载ACL的例子 配置ACL-CISCO的例子 配置时间段策略元素，可以控制某个时间对设备的访问权限。 创建一个full time 的例子 在网络控制条件Network Conditions中定义设备过滤策略元素 定义了两个过滤策略元素的例子，一个是基于LOCATION，一个是基于IP地址。 基于LOCATION的设备过滤元素，定义限制为北京的过滤条件 定义基于IP地址的过滤策略元素 定义授权Authorization Profile和许可，在这里调用预先配置的ACL下载的策略元素。PermitAccess是缺省的不可修改的配置元素。 在公共任务中选择需要授权的行为，这里调用预先配置好的Download ACL策略。 在设备授权操作中配制shell profiles,其中permitaccess是缺省的，我们又定义了授权级别为15级（完全控制）、10级（部分限制操作）、5级（只读操作）的操作。 定义授权级别为15级的操作例子。 在设备授权操作中配置可执行的命令集控制，分别创建15级别、10级别、5级别的授权命令集，其中Denyallcommands是缺省的配置。 以下是思科15级授权的为例配置可执行的命令集。 以下是思科10级授权为例配置可执行的命令集。 以下是思科5级授权为例配置可执行的命令集。 5、配置接入访问策略 缺省情况下存在设备管理和网络接入控制两个预先配置，通常使用设备管理。凡是在服务选择规则中被调用的接入访问策略会显示绿色。如下图所示。 配置的最后一步是配置服务选择规则。 下图中创建了规则3，同时disable其它的规则，并且选择定制方式。 将前面定义的位置、设备、访问时间以及协议方式做为认证过滤规则。 如果认证成功，则可以看到Hit Count数量增加，如果没有任何rule匹配，则系统使用缺省的rule，缺省行为是拒绝任何认证操作。 如果认证成功后，选择Monitor选项，ACS自动调用ACS View选项。 点击Authentications - TACACS – Today记录 会看到详细的认证记录过程，并可以输出报告。 授权操作 在缺省设备管理的访问策略中配置授权操作，创建授权规则并选择定制化。 选择最多8个授权限制条件和定制化结果 进入定制化的配置细节，根据前面定义的策略根据需要选择授权认证方式。 通过上述选择，我们先前定义的两个用户michael和thomas分别授予了不同权限 虽然michael和thomas都可以登录所属生产网的设备c6509，但是由于授权不同，具备生产网分组的michael最终拥有对设备的操作权限，而具备办公网权限的用户thomas无法在c6509上执行任何命令。 在ACS View上选择TACACS_Accounting 和 TACACS_Authorization 可以看到所有操作命令。 我们在EMC VC上添加michael和thomas用户。 系统提示无法登录，原因是EMC VC在ACS上的网络设备的AAA客户端配置没有匹配规则。解决方案有两种，一种是添加新的规则，一种是将EMC VC的服务器添加到和c6509相同的