完整ACS5中文配置手册详解.docx
《完整ACS5中文配置手册详解.docx》由会员分享,可在线阅读,更多相关《完整ACS5中文配置手册详解.docx(15页珍藏版)》请在冰点文库上搜索。
完整ACS5中文配置手册详解
ACS5.1配置步骤详解
2010年3月26日
MaMin
1、ACS登录方式
ACS可以通过GUI和CLI两种方式登录,以下介绍均采用GUI方式
通过IE浏览器键入https:
//acsipaddressACS登录方式https:
//10.232。
1.71/
2、配置网络资源
需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置Location和设备所属类型DeviceType规划,这个在将来认证和授权时会用到。
网络资源组〉网络设备组NDG下配置位置Location例子
网络资源组〉网络设备组NDG下配置设备类型DeviceType例子
配置需要实施认证的设备,包括NCM服务器本身.
网络资源组〉网络设备组NDG下配置网络设备和AAA客户端NetworkDevicesandAAAClients例子
以配置设备6509为例,将此设备分配到”北京”站点和”思科”设备组,指定IP地址,选择TACACS+协议,配置TACACS+KEY,选择singleconnectdevice将所有的TACACS+协议交互信息在单一TCP连接中传输。
以配置北电设备为例,选择RADIUS协议。
3、配置用户和用户组
配置身份组别例子,建立办公网运维管理、生产网运维管理、生产网配置监控三个组别
创建用户名,密码,分配用户到某个组别中。
4、配置策略元素
配置授权和许可策略,其中设备管理包括shellprofiles和CommandSets
对于客户端接入包括网络接入(AuthorizationProfiles)和命名的许可对象(DownloadableACLs)
以下是定义一个下载ACL的例子
配置ACL—CISCO的例子
配置时间段策略元素,可以控制某个时间对设备的访问权限。
创建一个fulltime的例子
在网络控制条件NetworkConditions中定义设备过滤策略元素
定义了两个过滤策略元素的例子,一个是基于LOCATION,一个是基于IP地址。
基于LOCATION的设备过滤元素,定义限制为北京的过滤条件
定义基于IP地址的过滤策略元素
定义授权AuthorizationProfile和许可,在这里调用预先配置的ACL下载的策略元素。
PermitAccess是缺省的不可修改的配置元素。
在公共任务中选择需要授权的行为,这里调用预先配置好的DownloadACL策略。
在设备授权操作中配制shellprofiles,其中permitaccess是缺省的,我们又定义了授权级别为15级(完全控制)、10级(部分限制操作)、5级(只读操作)的操作。
定义授权级别为15级的操作例子。
在设备授权操作中配置可执行的命令集控制,分别创建15级别、10级别、5级别的授权命令集,其中Denyallcommands是缺省的配置。
以下是思科15级授权的为例配置可执行的命令集.
以下是思科10级授权为例配置可执行的命令集。
以下是思科5级授权为例配置可执行的命令集。
5、配置接入访问策略
缺省情况下存在设备管理和网络接入控制两个预先配置,通常使用设备管理。
凡是在服务选择规则中被调用的接入访问策略会显示绿色.如下图所示。
配置的最后一步是配置服务选择规则。
下图中创建了规则3,同时disable其它的规则,并且选择定制方式.
将前面定义的位置、设备、访问时间以及协议方式做为认证过滤规则。
如果认证成功,则可以看到HitCount数量增加,如果没有任何rule匹配,则系统使用缺省的rule,缺省行为是拒绝任何认证操作。
如果认证成功后,选择Monitor选项,ACS自动调用ACSView选项。
点击Authentications-TACACS–Today记录
会看到详细的认证记录过程,并可以输出报告。
授权操作
在缺省设备管理的访问策略中配置授权操作,创建授权规则并选择定制化.
选择最多8个授权限制条件和定制化结果
进入定制化的配置细节,根据前面定义的策略根据需要选择授权认证方式。
通过上述选择,我们先前定义的两个用户michael和thomas分别授予了不同权限
虽然michael和thomas都可以登录所属生产网的设备c6509,但是由于授权不同,具备生产网分组的michael最终拥有对设备的操作权限,而具备办公网权限的用户thomas无法在c6509上执行任何命令。
在ACSView上选择TACACS_Accounting和TACACS_Authorization可以看到所有操作命令。
我们在EMCVC上添加michael和thomas用户。
系统提示无法登录,原因是EMCVC在ACS上的网络设备的AAA客户端配置没有匹配规则.解决方案有两种,一种是添加新的规则,一种是将EMCVC的服务器添加到和c6509相同的网络设备的AAA客户端中.
现在用户michael可以登录EMCVC。
在EMCVC上创建michael和thomas账户,添加到某个组中,并赋予VC本地管理NCM权限。
用michael帐户登录VC后,选择c6509设备然后选择cutthrough的inband方式直接登录到c6509设备的#下
以thomas账号登录VC,然后选择c6509设备然后选择cutthrough的inband方式直接登录,出现下述提示