《ACS56客户端和服务器完整配置和解析.docx》由会员分享,可在线阅读,更多相关《ACS56客户端和服务器完整配置和解析.docx(15页珍藏版)》请在三一办公上搜索。
1、硬件安装要求要求分配80G以上硬盘空间安装过程C iscoC isco选1Secure ACS 5.6 Installat ion (Keyboard/Monitor Secure ACS 5.6 Installat ion (Serial Console)fidMinistrator Password (Heyboard/Mon it orJ fidMinistrator Password (Seria1 Conso1&) Boot frow hard d isk根据提示输入setup,根据提示输入相关配置信息Press 1Ctrl-C1 to abort setupEnter hostna
2、me 1:11lega1 characters in the hostnameH1 ptianinneric and 一 only in the liostnameEnter hostname1: ACS5-6Enter IP address!J: 10.1.1.Z50Enter IP netmask!J: Z55.255.Z55.0Enter IP def au.lt gateuay J : 10.1.1. Z54Enter defauIt DNS domain:Doma in name needs to be between 2 .nd 65 chars lonqEnter default
3、 DNS domain: 114.114.114.114Dorna in name 匚* not be an IP addressEnter defauIt DM3 domain: testdomainEnter primary nameseruer: 114 . Ill.114.114Add secondary namesepuer? Y/N M:Enter IITF server It ime . nist. goul :Add another MT? server? Y/M MJ:安装完成后可以查看acs服务的状态show applicationshow application vers
4、ion acsshow application status acs修改时区和时间(config) #clock timezone Asia/Shanghai #clock set AUG 15 08:56:00 2016Licensehttps:/ip 地址默认 web 账号 acsadmin/default进入web页面会提示上传lic文件,点浏览,选择上传acs5.6_base成功进入管理页面后,选择“System Administration”、“Configuration ”、“Licensing”、“Feature Options”,上传 acs5.6_featureACS配置逻辑
5、:根据收到的请求的认证类型(radius还是tacacs),由ServicesSelectionRules 的设置交给指定的AccessServices处理。由Identity指定的用户数据库(内部 /外部)和请求中的用户名比对,根据用户和设备的分类交给指定的Shell Profile 和 command set授权应和认证配合使用,假设对vty启用本地认证和aaa授权,则无法telnet, 提示授权失败。浏览器IE11不能查看报告,火狐配置“接入策略”不能保存,建议结合使用1. 设备分组网络结构默认将网络设备即AAA client分为2个网络设备组,分别为Location位置、Device
6、Type设备类型。根据需求依次点击NetworkResources Network Device Group Create在根组下创建子组,更明细的划分网络设备所在组。2. 用户组依次点击 Users and Identity Stores Identity Groups Create新 增用户组。此用户组只是用于区分用户所在的组别,实际的组名并无实质的区别。在策略调 用时才用到用户组来控制权限。Identity GroupsInternal Identity StaresI UsersHostsExternal Identity Stare-sLDAPActive DirectoryRSA
7、SecurlD Taken Se-rversQ A rl I Q IHcniltw cnrtripName人Description All 媚Idet ?/ Gfoud RwtGF Admin所有权限GP Limit受限制管理员,可以酬置指定命令GF Uwmr只能肺酬j3. 新建用户依次点击 Users and Identity Stores Internal Identity Stores UsersCreate新增用户,并将用户划分进已存在的用户组中,为创建的用户选择适当 的用户组。Name代表telnet设备的用户名,Identity Group代表用户属于上 步中定义的哪个用户组,Pa
8、ssword代表telnet设备的密码,Enable Password 代表特权密码。srs aniIdentity Groups Internal Identity Stor&sUsersHosts External Identity St Authorization and Permissions DeviceAdministration Shell ProfilesCreate 创建策略规贝 U建议都设置为默认15最大15 经过测试1.如果最大登陆级别不是15 ,无法enable进入特权模式,提示认证失败,因为默认是enable 15”2.如果不配user的enable密码,但启用了 e
9、nable的acs认证,可以用user 的密码代替4. show running-config要在优先级15下运行,如果下放到其它优先级运行会 缺少内容,具体表现为只能show出此等级有权配置的内容。*1 Network ResourcesPolicy Elements5MII ProfilesFilter:v Match if:UseTs and Identity Storest Session ConditionsDate and TimeCustomNetwork Oondiiians-End Station F Ite-rsDevice FiltersDevice Port F Ite
10、-rst Authorization and Permissionst Network AccessAuthorization ProfilesSecurity Groupst Device Administration人 DescriptionF巳mil 麻 cess口 15默认1碍大15S:hel I Profil&sCanmand Sets5.命令集 Command Set依次点击 Policy Elements Authorization and Permissions DeviceAdministration Command Sets,点击 Create 新增命令授权。给管理员放开所
11、有的命令(Permit any command that is not in the table below打勾允许所有命令)。给受限制管理员指定可用的命令:show ,ping , telnet, ssh等,enable和exit 属于0级命令,客户端配置不做授权,故不用指定。Gm住间营 Name:Com ALLXDescription:廊有命令0 P&rnnit any tommand that is not in ttie table belowGrantGonrnandArgjmentsAddftEditVR&pJac-e fDeleteGrantCommandArgumentsPer
12、mitSelect Command/Arguments from Cornmand Set:Com_ALL7SelectName:Description:|Com_LlnirtX只能sh国湘划分雨nPermit any command that is net in the table belowGrantCommandArgjmentsDeny AlwaysDeny AlwaysPnriitPermitPermitPerm tinterface inberfaGa show configure interface switchpartloopback vlanterm mlaccessGene
13、ralN ame:|Ccm_Sh qwALLDescription: |只能show, sliow所有Pe-rmit any eorrimand that is not in the table trelowGna ntComma ndArajmentsPerm itPerm itPerm tshowping traceroute6.接入策略-接入服务修改策略之前建议先停用此策略再编辑,否则可能卡死默认有两种接入服务“Device Admin”规定用户等级和命令行,理解为命令行的授权等相关“Network Access” 规定 acl、vlan 接入、qos、dotlx 等,理解为 dotlx
14、 相 关依次点击 Access PoliciesAccess ServicesDefault Device Admin,确认服务类型使用身份识别和授权,允许协议选择PAP/ASCII,否则验证无法通过。识别依次点击 Access Policies Access Services Default Device Admin Identity 选择内部数据Internal Users进行认证。授权依次点击 Access Policies Access Services Default DeviceAdmin Authorization根据“用户所属的组和设备所属的分类”选择“优先级 和命令集”。点击
15、customize,把command set调到界面上%wAccess po-iciesvAccess Services V Service se-ecuon Ru-es、陛wsIs、is Husain Defa&Device麟 匚侦 SWJand-dITInaty siQres, AcxmMcfis n/wtDs,者 FQIMYE-CDImCDInK21Tomfa_iDm.c0Ad3.n 一以伯昌Auihclrizai-clnsCDrv_ccpECDCDsDn R.U.SS8莲尊ffi2LCDCDR c_ 石 2R cCD iInn-atch Radiusmatch TacacsProtoc
16、-olCondition 与Kffr!Siafus c=e2.sftsliK 、fflTACACS+-fl-泠 Ks沸舰潞。NEtwcxk Resources Metaortt Devices and AAA Clients Edit: 10.1.1.11t Name:Description:也,Network Dewice GroupsLocationllAJI Locations;YCTCII SelectDevice TypeAJI Device Types: ROUT ER.SelectIP Address:: Single IP Address Q IP Subneta Q lp R
17、ange-sAuWenticalioii 0tk TACACS+ gS hare-d Secnet: Single C&nn& Legacy TAC/TACA-CS- Dl卜 RADIUS Security卜 Gtoud i-iAccess(SGA)9.查看报告客户端配置思科路由交换设备1. 新建本地账户,以防万一username ADMIN privilege 15 secret ADMINenable secret ENABLE没有 enable 密码的话,telnet 用户不能 enable2. 开启aaa功能aaa new-model3. 配置aaa服务器iptacacs source
18、-interface指定进彳亍tacacs 认证的源端口,建议选择lo 口或者svi 口,所指定接口的地址要配置到acs服务器里tacacs-server host 10.1.1.250 key CISCO指定 tacacs 服务器的地址和密码,密码要和acs服务器上设置的相同tacacs-server directed-request/默认启用,只发送用户名到 TACACS服务端,而不是全名usernamehost,如果用户指定的hostname不匹配TACACS 服务器上配置上配置的客户端IP地址,则请求被拒绝tacacs-server timeout 2设定等到tacacs服务器的回复过
19、期时间为2秒,默认5秒,现实环境中可设置的大一些4. 认证登录账号认证方法一,明细aaa authentication login VTY group tacacs+ local/定义名字为VTY的tacacs+认证,在需要的地方调用。首选tacacs+,若不可达则启用本 地。linevty 0 15login authentication VTY/telnet 登录方式登录调用 tacacs+认证方法二,全局aaa authentication login default group tacacs+ local/全局所有方式登录都使用aaa认证aaa authentication login
20、 NOACS local none/定义NOACS用于本地console保护,console不使用aaa。首选local密码,若无则 不认证line con 0login authentication NOACS/本地 console 保护enable认证aaa authentication enable default group tacacs+ enable /使用 ACS 认证enable密码,密码是acs里user的enable密码,acs不通时使用本地enable 密码。此时在console 口 enable会要求输入acs中user账号。所以建议不配5授权默认通过console 口
21、登录后输入命令是无需授权的aaa authorization exec default group tacacs+ none /应用 acs 月艮务器上 配置的default privilege level,如无此命令,则忽略acs的这个配置aaa authorization commands 0 default group tacacs+ local/在ACS服务器上查询级别0能够使用的命令,级别0包含五条命令:disable, enable exit. help. logout,如果配置了此条级别0授权,那么要求在ACS 上放过这几条命令。如果不配置此条,那么不认证,无需在ACS放过。建议
22、不配 aaa authorization commands 1 default group tacacs+ local/在ACS服务器上查询属于级别1的命令aaa authorization commands 15 default group tacacs+ local/在ACS服务器上查询属于级别15的命令2-14有无皆可,表示授权属于2-14级的命令,默认没有命令属于2-14。并不是 授权2-14级的用户所敲的命令。aaa authorizationcommands2defaultgrouptacacs+localaaa authorizationcommands3defaultgroup
23、tacacs+localaaa authorizationcommands4defaultgrouptacacs+localaaa authorizationcommands5defaultgrouptacacs+localaaa authorizationcommands6defaultgrouptacacs+localaaa authorizationcommands7defaultgrouptacacs+localaaa authorizationcommands8defaultgrouptacacs+localaaa authorizationcommands9defaultgroup
24、tacacs+localaaa authorizationcommands11defaultgrouptacacs+localaaa authorizationcommands12defaultgrouptacacs+localaaa authorizationcommands13defaultgrouptacacs+localaaa authorizationcommands14defaultgrouptacacs+localaaa authorization config-commands/默认 config模式下的配置命令不送到acs查询,这句命令是使其也送到acsno aaa auth
25、orization console通过 console 输入的命令不要经过授权,默认就是无需授权的。如果未启用console登录认证,又启用了 console 授权,极易被锁在外面6.审计aaa accounting exec default start-stop group tacacs+/审计,在acs服务器上记录登录和登出的时间aaa accounting commands 0 default start-stop group tacacs+/审计,在acs服务器上记录0级用户使用过的命令,例如enable”aaa accounting commands 1 default start-
26、stop group tacacs+/审计,在acs服务器上记录1级用户使用过的命令aaa accounting commands 15 default start-stop grouptacacs+审计,在acs服务器上记录15级用户使用过的命令2-14有无皆可,表示审计属于2-14级的命令,默认没有命令属于2-14。并不是 审计2-14级的用户所敲的命令。aaa accounting commands 2 default start-stop grouptacacs+aaa accounting commands 3 default start-stop grouptacacs+aaa a
27、ccounting commands 4 default start-stop grouptacacs+aaa accounting commands 5 default start-stop grouptacacs+aaa accounting commands 6 default start-stop grouptacacs+aaa accounting commands 7 default start-stop grouptacacs+aaa accounting commands 8 default start-stop grouptacacs+aaa accounting comma
28、nds 9 default start-stop grouptacacs+aaa accounting commands 10 default start-stop grouptacacs+aaa accounting commands 11 default start-stop grouptacacs+aaa accounting commands 12 default start-stop grouptacacs+aaa accounting commands 13 default start-stop grouptacacs+aaa accounting commands 14 defa
29、ult start-stop grouptacacs+思科ASA防火墙设备username cisco password cisco aaa-serveracs protocol tacacs+ reactivation-mode timedaaa-serveracs (outside) host 168.5.41.21key ciscoaaa authentication ssh console acs LOCALaaa authentication enable console acs LOCAL aaa authentication http console acs LOCAL测试命令#
30、test aaa group tacacs+ ADMIN ADMIN new-code密码恢复如果系统默认用户acsadmin密码忘记,可SSH到ACS上,使用如 下命令将acsadmin密码恢复到初始化状态ACS/admin# acs reset-passwordThis command resets the 'ACSAdmin' password to its original value.Are you sure you want to continue? (yes/no) yPassword was reset successfullyACS/admin#默认web用户名acsadmin密码default如果系统cli密码忘记,可进入单用户模式cd /storedconfig/startup-config.vi startup-config把username修改为以下行,保存后重启username admin password hash$1$L5XQE46c$reJnFjYJExv7cYAj.VJC. role admin用admin账号登录,密码是Xx349821213恢复出厂化设置acs reset-config
