ACS完全配置基础手册.docVIP

成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 第1章章 目录 第1章 目录 1.1 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 1.1.9 1.1.10 1.1.11 1.1.12 1.1.13 ACS 配置 ACS 配置 1 1 AAA 配置 超级用户配置 定义管理策略 配置使用外部 Windows 数据库 接口（Interface）配置 系统备份 日志配置 创建网络设备组（Network Device Group） 配置冗余服务器（Backup Server） 配置命令授权 创建用户 内外数据库映射 数据库映射 匿名用户策略(Unknown User Policy) 2 2 4 11 12 14 15 17 21 25 31 33 35 36 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 1.1 AAA 配置 1.1.1 超级用户配置 在 Cisco ACS Engine 上首优异行管理员（administrator user）或 超级用户（super user）设置。此用户拥有使用 ACS 全部功效权 限，所以此账户消息必需进行保密，它是管理全部 ACS 应用资源 关键。请参考以下配置步骤进行管理员用户创建： 第 一 步 ： 在 Aministration Control 菜 单 下 ， 点 击 Add Administrator 按钮添加管理员。 插图 0-1 ACS 添加管理员 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 第二步：键入管理员名字及密码并点击 Grant All 按钮，然后 点击 Submit。 插图 0-2 ACS 添加管理员（续）添加管理员（ TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 1.1.2 定义管理策略 起初 Cisco ACS Engine 只能经过 Console 来进行当地访问，一旦 管理策略建立好后，Cisco ACS Engine 能够经过配置管理策略进行 远程访问。管理 策略包含访问策略（Access Policy），会 话策略 （Session Policy），和审计策略（Audit Policy）。首优异行访问策略 配置，使其只许可用 HTTPS 进行远程访问，而且限制访问端口范 围为 -2999 从而制订对应防火墙策略。HTTPS 需要证书进行 认证，所以用 Cisco ACS Engine 来提供自签署证书，下面是自签署证 书配置方法。在 System Control 菜单下，点击 ACS Certificate Setup 然后点击 Generate Self-Signed Certificate。 TEL: 成全部全码科技---技术部成全部全码科技 技术部 插图 0-3 提供自签署证书 陈雪寒 当系统完成自签署证书后，ACS 服务需要进行重启。 插图 0-4 ACS 自签署证书 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 在 System Control 菜单下，点击 Service Control，重启 ACS 服 务，服务重启后，确定其状态为 running。 插图 0-5 ACS 服务重启 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 当系统重启后，点击 Administration Control 菜单，然后点击 Access Policy。 插图 0-6 ACS 管理员界面 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 在 IP Address Filtering 中选择许可全部 IP Address to access，然 后在 HTTP Configuration 中选择限制端口范围为 -2999，最终选 择 使 用 HTTPS 并 点 击 Submit 。 在 完 成 如 下 配 置 后 ， 可 以 通 过 https://ip address: 进行远程访问。 插图 0-7 ACS 管理员界面 （续） TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 在 Administration Control 菜单下，选择 Session Policy 配置会 话策略使其当会话空闲 10 分钟以上时，自动退出，同时迫使进行本 地认证。 插图 0-8 会话策略设置 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪寒 在 Administration Control 菜单下，选择 Audit Policy 审计策略使 其删除老于七天日志。 插图 0-9 日志配置 TEL: 成全部全码科技---技术部成全部全码科技 技术部 陈雪