ACS完全配置手冊(cè)

1、成都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒第1章章目錄第1章目錄......13ACS 的配置ACS 的配置11AAA 的配置超級(jí)用戶的配置定義管理策略配置使用外部 Windows 數(shù)據(jù)庫(kù)接口（Interface）的配置系統(tǒng)備份日志的配置創(chuàng)建網(wǎng)絡(luò)設(shè)備組（Network Device Group）配置冗余服務(wù)器（Backup Server）配置命令授權(quán)創(chuàng)建用戶內(nèi)外數(shù)據(jù)庫(kù)映射數(shù)據(jù)庫(kù)的映射匿名用戶策略(Unknown User Policy)224111

2、2141517212531333536TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1 AAA 的配置1.1.1 超級(jí)用戶的配置在 Cisco ACS Engine 上首先進(jìn)行管理員（administrator user）或超級(jí)用戶（super user）的設(shè)置。此用戶擁有使用 ACS 所有功能的權(quán)限，因此此賬戶消息必須進(jìn)行保密，它是管理所有 ACS 應(yīng)用資源的關(guān)鍵。請(qǐng)參考如下的配置步驟進(jìn)行管理員用戶的創(chuàng)建：第 一 步 ： 在 Aministration Control 菜 單 下 ， 點(diǎn) 擊 AddAdministrator 按鈕添加管理員。

3、插圖 0-1 ACS 添加管理員TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒第二步：鍵入管理員的名字及密碼并點(diǎn)擊 Grant All 按鈕，然后點(diǎn)擊 Submit。插圖 0-2 ACS 添加管理員（續(xù)）添加管理員（TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.2 定義管理策略起初 Cisco ACS Engine 只能通過(guò) Console 來(lái)進(jìn)行本地訪問(wèn)，一旦管理策略建立好后，Cisco ACS Engine 可以通過(guò)配置的管理策略進(jìn)行遠(yuǎn)程訪問(wèn)。管理 策略包括訪問(wèn)策略（Access Polic

4、y），會(huì) 話策略（Session Policy），和審計(jì)策略（Audit Policy）。首先進(jìn)行訪問(wèn)策略的配置，使其只允許用 HTTPS 進(jìn)行遠(yuǎn)程訪問(wèn)，并且限制訪問(wèn)端口范圍為 2000-2999 從而制定相應(yīng)的防火墻策略。HTTPS 需要證書進(jìn)行認(rèn)證，因此用 Cisco ACS Engine 來(lái)提供自簽署證書，下面是自簽署證書的配置方法。在 System Control 菜單下，點(diǎn)擊 ACS Certificate Setup然后點(diǎn)擊 Generate Self-Signed Certificate。TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部插圖

5、0-3 提供自簽署證書陳雪寒當(dāng)系統(tǒng)完成自簽署證書后，ACS 服務(wù)需要進(jìn)行重啟。插圖 0-4 ACS 自簽署證書TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒在 System Control 菜單下，點(diǎn)擊 Service Control，重啟 ACS 服務(wù)，服務(wù)重啟后，確認(rèn)其狀態(tài)為 running。插圖 0-5 ACS 服務(wù)重啟TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒當(dāng)系統(tǒng)重啟后，點(diǎn)擊 Administration Control 菜單，然后點(diǎn)擊Access Policy。插圖 0-6 ACS 管理

6、員界面TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒在 IP Address Filtering 中選擇允許所有 IP Address to access，然后在 HTTP Configuration 中選擇限制端口范圍為 2000-2999，最后選擇 使 用 HTTPS 并 點(diǎn) 擊 Submit 。 在 完 成 如 下 配 置 后 ， 可 以 通 過(guò)https:/ip address:2002 進(jìn)行遠(yuǎn)程訪問(wèn)。插圖 0-7 ACS 管理員界面 （續(xù)）TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒在 Ad

7、ministration Control 菜單下，選擇 Session Policy 配置會(huì)話策略使其當(dāng)會(huì)話空閑 10 分鐘以上時(shí)，自動(dòng)退出，同時(shí)迫使進(jìn)行本地認(rèn)證。插圖 0-8 會(huì)話策略的設(shè)置TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒在 Administration Control 菜單下，選擇 Audit Policy 審計(jì)策略使其刪除老于七天的日志。插圖 0-9 日志的配置TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.3 配置使用外部 Windows 數(shù)據(jù)庫(kù)使用 Windows AD 系

8、統(tǒng)上的已有用戶賬戶消息進(jìn)行用戶認(rèn)證。在External User Database 菜單下選擇 Database Configuration 然后點(diǎn)擊Windows Database。插圖 0-10 ACS 使用外部數(shù)據(jù)庫(kù)TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.4 接口（Interface）的配置配置用戶定義域的接口配置，在 Internafce Configuration 下，選擇 Configure user defined fields:插圖 0-11 Interface 的設(shè)置TEL都全碼科技有限公司

9、-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒配置用戶定義域的接口配置，在 Internafce Configuration 下，選擇 Advanced Options，確認(rèn)如下的用戶接口已經(jīng)被 enable。插圖 0-12 Interface 的 Advanced OptionsTEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.5 系統(tǒng)備份配置系統(tǒng)每個(gè)工作日進(jìn)行一次備份，周五進(jìn)行兩次備份。在System Configuration 下，選擇 ACS Backup，進(jìn)行如下配置。插圖 0-13 ACS 系統(tǒng)備份設(shè)置TEL都

10、全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.6 日志的配置在 System Control 下，選擇 logging 確認(rèn)如下日志服務(wù)是開(kāi)啟的。插圖 0-14 日志的設(shè)置TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒插圖 0-15 日志的設(shè)置（續(xù)）日志的設(shè)置（TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.7 創(chuàng)建網(wǎng)絡(luò)設(shè)備組（Network Device Group）在 Network Configuration 菜 單 下 ， 選 擇 添 加 Network DeviceG

11、roup。插圖 0-16 創(chuàng)建網(wǎng)絡(luò)設(shè)備組TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒鍵入網(wǎng)絡(luò)組名字及密鑰（key）。插圖 0-17 創(chuàng)建網(wǎng)絡(luò)設(shè)備組（續(xù)）創(chuàng)建網(wǎng)絡(luò)設(shè)備組（TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒增加 AAA Clients 到 Network Device Group 中去。點(diǎn)擊相應(yīng)的Network Device Group 然后點(diǎn)擊 Add AAA Clients。插圖 0-18 增加網(wǎng)絡(luò)設(shè)備組的設(shè)備TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司

12、技術(shù)部陳雪寒鍵入 AAA Client 的 IP 地址（可使用網(wǎng)段來(lái)簡(jiǎn)化配置）及密鑰并選擇適當(dāng)?shù)?Network Device Group。插圖 0-19 增加網(wǎng)絡(luò)設(shè)備組的設(shè)備（續(xù)）增加網(wǎng)絡(luò)設(shè)備組的設(shè)備（TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.8 配置冗余服務(wù)器（Backup Server）從 Network Configuration 菜單中，點(diǎn)擊 Not Assigned NetworkDevice Group，選擇添加 AAA Server。（本 AAA Server 應(yīng)當(dāng)已經(jīng)在列表中）插圖 0-20 配置冗余服務(wù)器TEL:13

13、438836708成都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒鍵入 backup AAA Server 的信息。插圖 0-21 配置冗余服務(wù)器（續(xù) ）配置冗余服務(wù)器（TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒配置服務(wù)器間的數(shù)據(jù)庫(kù)復(fù)制：在 System Configuration 中，選擇 ACS Internal Database Replication。在主服務(wù)器上選擇發(fā)送數(shù)據(jù)庫(kù)，在備份服務(wù)器上選擇接收數(shù)據(jù)庫(kù)。選擇復(fù)制時(shí)間為備份時(shí)間后一小時(shí)。插圖 0-22 配置冗余服務(wù)器備份選項(xiàng)TEL都全碼科技有限

14、公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒在備份 ACS 上進(jìn)行相同的配置，但是選擇 Receive。注意：不要把主服務(wù)器加入 Replication Partner 列表中。插圖 0-23 備份服務(wù)器列表設(shè)置TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.9 配置命令授權(quán)在 Shared Profile Components 菜單下，選擇 Shell AuthorizationCommand Sets；然后點(diǎn)擊 Add。插圖 0-24 配置 Shared ProfileTEL都全碼科技有限公司-技術(shù)部成都全碼科

15、技有限公司 技術(shù)部陳雪寒在 Add command 中鍵入 show 并選擇 Permit Unmatched Args同時(shí) deny config;deny start;deny config插圖 0-25 配置 shared profile 命令集TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒創(chuàng)建用戶組：在 Group Setup 菜單下，選擇 Group1 然后點(diǎn)擊Rename Group 進(jìn)行相應(yīng)的命名。插圖 0-26 工作組命名TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒配置用戶組：點(diǎn)擊 E

16、dit Settings 對(duì)相應(yīng)的用戶組進(jìn)行編輯。在TACACS+ Settings 中，點(diǎn)中 Shell(exec)，點(diǎn)中 Privilege level 并填入15。在 Shell Authorization Command Sets 中，選擇相應(yīng)的 NetworkAccess Group 與 Command Set。在 IETF RADIUS Attributes 中，選擇006Service-type 下選擇 Login。插圖 0-27 工作組配置TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒插圖 0-28 工作組配置（續(xù)）工作組配置（TE

17、L都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒插圖 0-29 工作組配置（續(xù)）工作組配置（TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.10創(chuàng)建用戶在 User Setup 菜單下，增加用戶。插圖 0-30 創(chuàng)建用戶TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒在 Password Authentication 下選擇 Windows Database 然后并選擇適當(dāng)?shù)挠脩艚M。插圖 0-31 創(chuàng)建用戶（續(xù)）創(chuàng)建用戶（TEL都全碼

18、科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.11內(nèi)外數(shù)據(jù)庫(kù)映射的賬戶信息存放在 Microsoft AD 上，因此要進(jìn)行與 Microsoft AD 上數(shù)據(jù)庫(kù)關(guān)聯(lián)的配置。在 External User Database 下，點(diǎn)擊 Database Configuration，然后選擇 WindowsDatabase 點(diǎn)擊 Configure。TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒選擇 Windows Domain。TEL都全碼科技有限公司-技術(shù)部成都全碼科技有限公司 技術(shù)部陳雪寒1.1.12數(shù)據(jù)庫(kù)的映射選擇 Database Mapping，然后選擇相應(yīng)的 Windows 用戶組映射為 ACS 用戶組。T