華誠人壽ACS5.3管理手冊

ACS5.3管理員手冊網(wǎng)絡(luò)部署部署位置部署方式現(xiàn)有部署方式華誠人壽保險(xiǎn)公司ACS的部署方式為主備方式，主服務(wù)器供應(yīng)認(rèn)證，授權(quán)和審計(jì)全部AAA服務(wù)，備份服務(wù)器不供應(yīng)AAA服務(wù)，只有主服務(wù)器不能供應(yīng)服務(wù)時(shí)，備份服務(wù)器才會接替主服務(wù)器，供應(yīng)AAA服務(wù)，在全部client須要配置兩個AAAserver。與第三方集成部署方式詳見ACS與第三方集成章節(jié)管理地址名稱服務(wù)狀態(tài)IP地址管理端口備注ACS-1主用10.443PrimaryACS-2備用10.1.30.2443Standby軟件安裝安裝需求ACS5.3軟件安裝對服務(wù)器硬件要求CONFIGHDDRAMNICIBM11212x250GB4GB4X10.100.1000RJ-45CAM25-1-2-42x250GB4x1GB2x1GEVMWareESX3.5or4.0500GB4GB2NICsVMWareServer2.060GB4GB1or2virtualNICS安裝步驟第一步，將安裝光盤放入服務(wù)器，進(jìn)入啟動頁面后，選擇1安裝ACS5.3,如下圖：其次步，等到出現(xiàn)如下界面，輸入setup，如下圖：第三步，至如下界面依次輸入主機(jī)名，ip地址，用戶名及密碼（這個用戶名密碼是服務(wù)器登陸的用戶名密碼，不是ACSweb界面的用戶名密碼），至此ACS5.3安裝完成安裝License在閱讀器上輸入地址，進(jìn)入ACSweb界面，選擇license文件，如下圖：導(dǎo)入license文件后，即可正常配置ACS，初始用戶名是acsadmin，密碼是default系統(tǒng)管理管理員創(chuàng)建服務(wù)器管理員創(chuàng)建ACS5.3底層是以Linux為基礎(chǔ)，集成了ACS軟件，配置服務(wù)器管理員時(shí)就猶如在cisco路由器上配置用戶名密碼一樣，在配置模式下輸入usernamexxxpasswordxxx吩咐，即可創(chuàng)建服務(wù)器管理員，如下圖：WEB登錄管理員創(chuàng)建在閱讀器中輸入ACS服務(wù)器地址，地址，進(jìn)入ACSweb界面，點(diǎn)擊systemadministration，進(jìn)行帳號創(chuàng)建：第一步，點(diǎn)擊Administrators下的Accounts，進(jìn)入帳號創(chuàng)建界面，點(diǎn)擊create新建一個帳號，如下圖：其次步，進(jìn)入帳號創(chuàng)建界面后，輸入要創(chuàng)建的管理員和密碼，選擇用戶的角色，點(diǎn)擊submit完成管理員的創(chuàng)建，如下圖：雙機(jī)同步華誠目前ACS的部署方式為主備模式，主服務(wù)器供應(yīng)認(rèn)證，授權(quán)和審計(jì)全部AAA服務(wù)，備份服務(wù)器不供應(yīng)AAA服務(wù)，只有主服務(wù)器不能供應(yīng)服務(wù)時(shí)，備份服務(wù)器才會接替主服務(wù)器，供應(yīng)AAA服務(wù)，配置如下：在備份服務(wù)器上點(diǎn)擊systemadministration下的deploymentoperations，輸入主服務(wù)器的IP地址，用戶名密碼，點(diǎn)擊registertoprimary,完成雙機(jī)，如下圖：雙機(jī)配置完成后，在主服務(wù)器上能看到備份服務(wù)器的地址，狀態(tài)，版本等信息，如下圖：證書添加ACS添加證書須要添加兩個證書，一個根證書，一個實(shí)例證書，添加時(shí)須要先添加根證書，再添加實(shí)例證書根證書添加首先在CA服務(wù)器上下載一個根證書，通過usersandidentitystores下的certificateauthorties，添加一個根證書，點(diǎn)擊create，輸入根證書所在路徑，點(diǎn)擊submit，完成根證書添加，如下圖：實(shí)例證書添加添加完根證書后，就可以安裝實(shí)例證書，首先在ACS服務(wù)器上生成一段懇求代碼，我們利用這段懇求代碼去CA服務(wù)器上申請證書。選擇systemadministration下的localcertificates，點(diǎn)擊add，選中，如下圖：點(diǎn)擊next，輸入CN=CHD,KeyLength選擇2048，Digesttosignwith選擇默認(rèn)SHA1即可，點(diǎn)擊finish，完成代碼懇求，如下圖：點(diǎn)擊outstandingsigningrequests，選中剛才生產(chǎn)的代碼，點(diǎn)擊export，將剛才生成的代碼導(dǎo)出到本地，如下圖：將導(dǎo)出的代碼復(fù)制到CA服務(wù)器上，申請證書。選擇systemadministration下的localcertificates，點(diǎn)擊add，選中，點(diǎn)擊next，如下圖：輸入所申請證書的所在路徑，點(diǎn)擊finish，完成實(shí)例證書添加，如下圖：AAACLIENT（TACACS）添加選擇networkresources下的NetworkdevicesandAAAclients,點(diǎn)擊create，新建一個AAAclient，如下圖所示：Name輸入設(shè)備名，IP地址須要輸入設(shè)備nas地址，選擇TACACS+，輸入sharedsecret，點(diǎn)擊submit，完成AAAClient添加，如下圖所示：AAACLIENT（RADIUS）添加選擇networkresources下的NetworkdevicesandAAAclients,點(diǎn)擊create，新建一個AAAclient，如下圖所示：Name輸入設(shè)備名，IP地址須要輸入設(shè)備nas地址，選擇RADIUS，輸入sharedsecret，點(diǎn)擊submit，完成AAAClient添加，如下圖所示：DOT1X第一步，選擇policyelements下的authorizationprofiles，點(diǎn)擊create，新建一個授權(quán)文件，如下圖所示：其次步，輸入一個授權(quán)文件名字，點(diǎn)擊radiusattributes，如下圖所示：第三步，配置dot1x屬性，選擇下面的radius屬性，如下圖所示：第三步，新建一個訪問服務(wù)，選擇CHAPv2，配置訪問服務(wù)，授權(quán)文件選擇剛才新建的dot1x授權(quán)文件，點(diǎn)擊submit，完成dot1x配置，如下圖所示：動態(tài)VLAN下發(fā)動態(tài)VLAN下發(fā)可以為每個用戶給予一個單獨(dú)的VLAN權(quán)限，當(dāng)用戶運(yùn)用802.1X登陸時(shí)，ACS會自動給予這個用戶一個相應(yīng)的VLAN，配置如下圖所示：Dot1x的配置請參照上面dot1x配置，這里只須要配置一個授權(quán)文件，在訪問策略那里調(diào)用即可，如下圖所示：第三方設(shè)備ACL下發(fā)通過在IETFRADIUSAttriutes中的Filter-Id中輸入在第三方設(shè)備中建立的ACL的號，建立一個授權(quán)文件，在訪問策略那里調(diào)用即可，如下圖所示：ACS與第三方集成ACS與LDAP集成ACS支持外部數(shù)據(jù)庫映射，將外部數(shù)據(jù)庫的用戶集成到ACS上，目前華誠ACS數(shù)據(jù)庫的部署，公司有線用戶運(yùn)用ACS內(nèi)部數(shù)據(jù)庫，公司將來無線用戶可能運(yùn)用外部數(shù)據(jù)庫LDAP映射過來的賬戶。ACS與LDAP部署結(jié)構(gòu)ACS與LDAP配置第一步，點(diǎn)擊usersandidentitystores下的LDAP，進(jìn)入LDAP映射界面，點(diǎn)擊create創(chuàng)建一個LDAP映射，如下圖：其次步，在LDAP映射界面輸入映射名字，點(diǎn)擊serverconnection，輸入hostname，port，adminDN，password等相關(guān)參數(shù)，點(diǎn)擊testbindtoserver，進(jìn)行連接測試，如下圖：第三步，點(diǎn)擊directoryorganization，配置以下LDAP參數(shù)，輸入相關(guān)參數(shù)后點(diǎn)擊submit，完成LDAP數(shù)據(jù)庫映射，如下圖：LDAP映射須要輸入的參數(shù)：SubjectobjectclassGroupobjectclassSubjectnameattributeGroupmapattributeSubjectsearchbaseGroupsearchbaseACS與AD集成ACS與AD部署結(jié)構(gòu)ACS與AD配置ACS支持微軟的AD數(shù)據(jù)庫映射，目前華誠部署有這種數(shù)據(jù)庫映射，以下配置是測試配置。詳細(xì)配置須要在現(xiàn)網(wǎng)環(huán)境中去做調(diào)試第一步，點(diǎn)擊usersandidentitystores下的ActiveDirectory,進(jìn)入AD映射界面，如下圖：其次步，在AD映射界面，輸入域名，域限制器用戶名及密碼，點(diǎn)擊submit，完成AD映射，假如映射不勝利，檢查ACS和AD時(shí)間是否同步，時(shí)間假如不一樣，會導(dǎo)致ACS和AD映射不勝利，如下圖：用戶管理創(chuàng)建用戶選擇usersandidentitystores下的users,點(diǎn)擊create，創(chuàng)建一個用戶，如下圖：在用戶界面輸入用戶名密碼，選擇用戶所在的組，點(diǎn)擊submit，完成用戶創(chuàng)建，如下圖所示：注銷用戶注銷用戶時(shí)，選擇usersandidentitystores下的users，選中要注銷的用戶，點(diǎn)擊edit，在status那選擇disabled，點(diǎn)擊submit，完成用戶注銷，如下圖所示：用戶更改登錄密碼修改用戶登錄密碼時(shí)，選擇usersandidentitystores下的users，選中要修改密碼的用戶，點(diǎn)擊changepassword，輸入新的password，點(diǎn)擊submit完成密碼修改，如下圖所示：有線訪問策略配置配置訪問服務(wù)選擇accesspolicies下的accessservices，點(diǎn)擊create創(chuàng)建一個訪問服務(wù)，如下圖所示：進(jìn)入訪問服務(wù)配置界面，輸入服務(wù)名，選擇servicetype，點(diǎn)擊next，如下圖所示：選擇允許的協(xié)議，點(diǎn)擊finish，完成訪問服務(wù)創(chuàng)建，如下圖所示：配置訪問策略配置訪問策略之前首先要調(diào)用剛才創(chuàng)建的訪問服務(wù)，這樣才能激活服務(wù)，否則剛創(chuàng)建的服務(wù)是disabled的，選擇serviceselectionrules,點(diǎn)擊create，創(chuàng)建一個rule，如下圖所示：進(jìn)入rule以后，在results選擇剛創(chuàng)建的訪問服務(wù)，激活訪問服務(wù)，如下圖所示：選擇accesspolicies下的identity，身份源選擇internalusers，點(diǎn)擊savechanges，如下圖所示：配置完身份源之后，選擇authorization，點(diǎn)擊create，新建一天訪問規(guī)則，如下圖所示：進(jìn)入規(guī)則配置界面后，選擇匹配規(guī)則，這里有許多匹配條件，大家可以自己組合，最終選擇authorizationprofiles，點(diǎn)擊ok，完成訪問策略配置，如下圖所示：ACS配置備份與復(fù)原選擇monitoringandreports下的launchmonitoring&reportvi