完整ACS5中文配置手册详解.docx

完整ACS5中文配置手册详解.docx

《完整ACS5中文配置手册详解.docx》由会员分享，可在线阅读，更多相关《完整ACS5中文配置手册详解.docx（15页珍藏版）》请在冰点文库上搜索。

完整ACS5中文配置手册详解

ACS5.1配置步骤详解

2010年3月26日

MaMin

1、ACS登录方式

ACS可以通过GUI和CLI两种方式登录，以下介绍均采用GUI方式

通过IE浏览器键入https：

//acsipaddressACS登录方式https：

//10.232。

1.71/

2、配置网络资源

需要预先规划好网络设备组NDG的分配方式，比如按照设备所处位置Location和设备所属类型DeviceType规划，这个在将来认证和授权时会用到。

网络资源组〉网络设备组NDG下配置位置Location例子

网络资源组〉网络设备组NDG下配置设备类型DeviceType例子

配置需要实施认证的设备,包括NCM服务器本身.

网络资源组〉网络设备组NDG下配置网络设备和AAA客户端NetworkDevicesandAAAClients例子

以配置设备6509为例,将此设备分配到”北京”站点和”思科”设备组，指定IP地址,选择TACACS+协议，配置TACACS+KEY，选择singleconnectdevice将所有的TACACS+协议交互信息在单一TCP连接中传输。

以配置北电设备为例,选择RADIUS协议。

3、配置用户和用户组

配置身份组别例子，建立办公网运维管理、生产网运维管理、生产网配置监控三个组别

创建用户名，密码，分配用户到某个组别中。

4、配置策略元素

配置授权和许可策略，其中设备管理包括shellprofiles和CommandSets

对于客户端接入包括网络接入（AuthorizationProfiles）和命名的许可对象（DownloadableACLs）

以下是定义一个下载ACL的例子

配置ACL—CISCO的例子

配置时间段策略元素，可以控制某个时间对设备的访问权限。

创建一个fulltime的例子

在网络控制条件NetworkConditions中定义设备过滤策略元素

定义了两个过滤策略元素的例子,一个是基于LOCATION，一个是基于IP地址。

基于LOCATION的设备过滤元素,定义限制为北京的过滤条件

定义基于IP地址的过滤策略元素

定义授权AuthorizationProfile和许可,在这里调用预先配置的ACL下载的策略元素。

PermitAccess是缺省的不可修改的配置元素。

在公共任务中选择需要授权的行为，这里调用预先配置好的DownloadACL策略。

在设备授权操作中配制shellprofiles,其中permitaccess是缺省的，我们又定义了授权级别为15级（完全控制）、10级（部分限制操作）、5级（只读操作）的操作。

定义授权级别为15级的操作例子。

在设备授权操作中配置可执行的命令集控制，分别创建15级别、10级别、5级别的授权命令集，其中Denyallcommands是缺省的配置。

以下是思科15级授权的为例配置可执行的命令集.

以下是思科10级授权为例配置可执行的命令集。

以下是思科5级授权为例配置可执行的命令集。

5、配置接入访问策略

缺省情况下存在设备管理和网络接入控制两个预先配置,通常使用设备管理。

凡是在服务选择规则中被调用的接入访问策略会显示绿色.如下图所示。

配置的最后一步是配置服务选择规则。

下图中创建了规则3,同时disable其它的规则，并且选择定制方式.

将前面定义的位置、设备、访问时间以及协议方式做为认证过滤规则。

如果认证成功，则可以看到HitCount数量增加，如果没有任何rule匹配，则系统使用缺省的rule，缺省行为是拒绝任何认证操作。

如果认证成功后,选择Monitor选项，ACS自动调用ACSView选项。

点击Authentications-TACACS–Today记录

会看到详细的认证记录过程,并可以输出报告。

授权操作

在缺省设备管理的访问策略中配置授权操作，创建授权规则并选择定制化.

选择最多8个授权限制条件和定制化结果

进入定制化的配置细节，根据前面定义的策略根据需要选择授权认证方式。

通过上述选择，我们先前定义的两个用户michael和thomas分别授予了不同权限

虽然michael和thomas都可以登录所属生产网的设备c6509，但是由于授权不同,具备生产网分组的michael最终拥有对设备的操作权限，而具备办公网权限的用户thomas无法在c6509上执行任何命令。

在ACSView上选择TACACS_Accounting和TACACS_Authorization可以看到所有操作命令。

我们在EMCVC上添加michael和thomas用户。

系统提示无法登录，原因是EMCVC在ACS上的网络设备的AAA客户端配置没有匹配规则.解决方案有两种，一种是添加新的规则，一种是将EMCVC的服务器添加到和c6509相同的网络设备的AAA客户端中.

现在用户michael可以登录EMCVC。

在EMCVC上创建michael和thomas账户，添加到某个组中，并赋予VC本地管理NCM权限。

用michael帐户登录VC后,选择c6509设备然后选择cutthrough的inband方式直接登录到c6509设备的#下

以thomas账号登录VC，然后选择c6509设备然后选择cutthrough的inband方式直接登录，出现下述提示