CISCO ACS40安装配置指导.docx

1、CISCO ACS40安装配置指导CISCO ACS4.0安装配置指导一安装CISCO ACS4.0CISCO ACS4.0运行环境要求windows server 2003，IE6.0 SP1以上，JAVA组件，在运行ACS之前要确认已安装Java组件 (java下载.java./)。1.双击CISCO_ACS4.0 安装文件目录下的Setup.exe，弹出对话框，选ACCEPT，如下图所示：2.在弹出的对话框中单击Next，继续安装，如下图所示：3.安装前确保符合以下条件：(1).接入终端用户能够连接到AAA设备。(2).安装ACS的Windows服务器能够ping通AAA接入设备(3).

2、AAA接入设备运行的IOS最低版本为11.1(4).使用的浏览器版本最低是IE v6 SP1或Netscape v8.0弹出对话框安装时需要将4个复选框全部选中才能够单击Next，继续安装，如下图所示：4.选择安装路径，ACS安装完成后，一般的都是文本的方式保存细信息，不需要多大的硬盘空间，保持默认路径，单击Next，继续安装，如下图所示：5.选择ACS账户类型，ACS单独的账户管理或者使用Windows账户管理，默认选择ACS账号管理，单击Next继续安装，如下图所示：6.开始安装，如下图所示：7.弹出对话框选择ACS全部功能，单击Next，继续安装，如下图所示：User Level Net

3、work access Restrictions ACS账号访问设备时可以设定级别group level network access restrictions ACS过组来设定用户访问的级别Max Sessions 最大的会话数Default Time of day/day of week speciftication 设置用户访问的时间Distributed system settings 分布式的系统设置Database Replication 数据库复制8.弹出对话框有两个选项：(1)Enable登陆是否检测，选择全部。(2)提醒，选择时需要输入服务器和发送的账号，放弃发送, 单击Ne

4、xt，继续安装，如下图所示：9.弹出对话框输入ACS的账号数据的密码，单击Next，继续安装，如下图所示：10.弹出对话框三个选项：(1)启动新装的ACS服务；(2)安装从IE配置ACS的功能，这样以后就可以直接通过IE登陆和配置ACS服务器；(3)查看说明文件,默认选择，单击Next，继续安装，如下图所示：11.弹出对话框点Finish安装完成，如下图所示：12. 安装完成后桌面会生成一个ACS Admin的IE快捷方式，可以登录ACS服务，同时可以在浏览器中输入127.0.0.1:2002登录打开ACS软件。需要注意如果服务器的ie安全等级设定太高将无法打开ACS界面，建议将IE安全等级设

5、定为中等，如下图所示： 二. 设置ACS管理员账号默认情况下，已安装ACS的本地服务器无需使用管理员，即可使用ACS。如果要进行远程管理，就必须设置ACS管理员，远程管理通过和http：/ACS服务器IP地址：2002的方式登录。1.单击ACS左边功能选择区的“Administrator Control”按钮，中间配置区显示详细配置，如下图所示：2.单击“Add Administrator”按钮添加管理员账户，设置管理员账户和密码，然后在“Administrator Privileges”属性框中单击“Grant all”按钮赋予全部权限，最后单击“Submit”按钮。如下图所示： 3.ACS

6、管理员用户创建完成后在“Administrator Control”页面“Administrators”栏下可以看到管理员用户dcp，如下图所示：三添加TACACS+接入设备1.登录ACS 服务器在浏览器输入http：/ACS服务器IP地址：2002打开Web登录页面，输入Web登录用户名和密码，单击“Login”按钮，即可登录ACS服务器，如下图所示：2.在左侧导航栏中选择Network Configuration，打开网络配置界面，单击，进入AAA Client 的编辑页面，如下图所示：# 在AAA Client 的编辑页面中进行如下配置： 输入接入设备名称，接入设备 IP 地址和交互TA

7、CACS+ 报文的共享密钥； 选择认证协议类型为“TACACS+ (Cisco IOS)”； 单击“Submit + Apply”按钮完成操作。如下图所示：3. 添加高级选项# 在左侧导航栏中选择Interface Configuration，打开接口配置界面，单击“TACACS+(Cisco IOS)”，进入TACACS+的高级属性页面，如下图所示：# 选中高级配置选项中的“Advanced TACACS+ Features”项，让用户配置界面中隐藏的高级选项显示出来，该高级选项中包含了Enable 密码的相关配置，单击“Submit”按钮完成操作，如下图所示：四. 添加RADIUS添加接入

8、设备1.在左侧导航栏中选择Network Configuration，打开网络配置界面，单击，进入AAA Client 的编辑页面,如下图所示：# 在AAA Client 的编辑页面中进行如下配置： 输入接入设备名称，接入设备 IP 地址和交互RADIUS 报文的共享密钥； 选择认证协议类型为“RADIUS+ (IETF)”； 单击“Submit + Apply”按钮完成操作。如下图所示：五：配置用户1.在左侧导航栏中选择User Setup，打开用户配置界面，点击Find按钮或者List all users按钮可以在右边的列表栏查看到当前已经建立的所用用户，在文本框中输入用户名“dcp”，单

9、击“Add/Edit”后，进入该用户的编辑页面,如下图所示：# 输入用户的相关辅助信息，配置Password Authentication用户登录密码为“123456”，此处密码为telnet登录密码，如下图所示：用户默认在Default Group组，可点击下拉框选择用户组，如下图所示：2. 配置级别切换密码# 继续在用户dcp 的编辑页面中进行下面的高级TACACS+设置。 选中“Max Privilege for any AAA Client”，在下拉框中选择“Level 15”。该配置表示级别切换后，用户可执行的命令的最高级别为15。 选择“Use separate password”

10、，输入级别切换TACACS+ Enable密码“ABCabc123”。 单击“Submit”按钮完成操作。如下图所示：六.配置用户组1.在左侧导航栏中选择Group Setup，打开用户组配置界面，点击“Rename Group”可以对用户组的名称进行编辑，点击“Edit Settings”，如下图所：2.点击Group栏的下拉框可以看到数据库默认创建了500个组，可根据需要使用“Rename Group”更名，点击“Edit Settings”进入组配置界面，根据需要定制相关配置，Enable Options定义权限级别，输入enable授权用户的最高权限级，如果选择 No Enable P

11、rivilege，将只能是在Level 0这个级别中，此处必选，否则console无法登录，如下图所示：七.ACS 审讯查看(ACS可以自动网络设备记录的用户的操作，包括各个用户登录时间，登录后使用的命令，登录验证失败的记录以及当前各个设备上活动的用户，在左侧导航栏中选择Reports and Activity，打开用户活动报告页面，如下图所示：选择Reports栏的TACACS+ Accounting和RADIUS Accounting选项，右边界面可以选择某天TACACS+和 RADIUS用户登录的Accounting记录信息，如下图所示：Reports栏点击TACACS+ Adminis

12、tration可以查看tacacs用户登录后使用的所有命令，右侧选择某天的Tacacs+ Administration文件查看，如下图所示：八Log信息的设置1.在左侧导航栏中选择system configuration栏目，并点击Service Contorl选项：# 在Services Log File Configuration的编辑页面中进行如下配置：Level of detail选择Full，记录所有级别的日志；Generate New File选择Every day，每天产生一个日志文件；Manage Directory选择Delete files older than 7 days，7天后删除日志文件；点击Restart按钮重启ACS服务如下图所示：