ACS安装指南.docVIP

ACS安装指南 Cisco ACS软件是集认证、授权、审计于一体的认证软件，部署ACS认证服务器可安全、有效的管理和审计各个登陆账户并保存登陆和配置痕迹。目前，北京营运中心的网络设备都只有单一的用户名和密码，安全等级比较低，所以部署ACS有一定的必要性。先将ACS服务器配置好，并通过2950管理交换机测试，测试通过后则可应用于所有网络设备。 准备工作 准备一台装有正版windows 2003 server操作系统的PC机，并将其连接到2950管理交换机 准备好CiscoSecure ACS v2.3安装软件 准备好windows 2003 server版java软件安装程序 软件安装 第一步，安装windows 2003 server版java软件 第二步，安装CiscoSecure ACS v2.3软件： 点击setup.exe开始安装 点击ACCETP接受相关协议 点击next 确保一个ACS客户和服务器相连，服务器可以ping通该ACS客户，网络设备的IOS版本高于11.1，安装有IE3.02以上版本后，勾选4个方框点next 在access server name填入2950管理交换机的hostname，在access server ip address填入2950管理交换机的管理IP地址，在windows NT server ip address 填入服务器的ip地址192.168.89.251，在KEY填入与设备配置相同的的密钥ssccservice，点击next 随后按照默认的选项点击next，直到完成安装。 配置ACS服务器端 双击桌面的ACS Admin图标打开ACS配置界面，出现以下界面表示安装成功 用户创建 点击，进入用户配置界面 在user处输入要创建的用户名，点击add/edit 在ciscosecure PAP 下的password输入登陆密码，最后点击最下方的submit完成用户的创建。 用户组设置 点击进入组设置界面，点击编辑组属性，勾选和并输入相应用户组的权限等级，最后点击下方的submit+restart 完成设置 ACS客户端配置 在2950交换机设备端配置AAA认证： 全局模式下： (config)#aaa new-model (config)#tacacs-server host 192.168.89.251 (config)#tacacs-server key ssccservice (config)#aaa authentication login vty group tacacs+ local (config)#aaa authentication enable default enable (config)#aaa accounting exec vty start-stop group tacacs+ (config)#aaa accounting commands 15 vty start-stop group tacacs+ (config)#aaa accounting connection vty start-stop group tacacs+ (config)#aaa accounting system default start-stop group tacacs+ Vty模式下： (config-line)# accounting connection vty (config-line)# accounting commands 15 vty (config-line)# accounting exec vty (config-line)# login authentication vty 测试用户认证与审计 通过监控机telnet到2950交换机，使用新创建的用户名和密码进行登陆，如果成功表示用户认证成功 在ACS的WEB配置界面点击进入审计，点击进入登陆用户审计界面： 出现上图表示成功记录了登陆用户的信息，点击进入登陆用户输入命令审计页面： 出现上图表示成功记录了登陆用户输入的命令。至此，acs服务器已经初步架设成功。