ACS5.6客户端和服务器完整配置和解析

硬件安装要求

要求分配80G以上硬盘空间

安装过程

选[1]

根据提示输入setup,根据提示输入相关配置信息

安装完成后可以查看acs服务的状态 show application

show application version acs show application status acs

修改时区和时间

（config）#clock timezone Asia/Shanghai #clock set AUG 15 08:56:00 2016

License

https://ip地址

默认web账号 acsadmin/default

进入web页面会提示上传lic文件，点浏览，选择上传acs5.6_base

成功进入管理页面后，选择“System Administration”、“Configuration”、“Licensing”、“Feature Options”，上传acs5.6_feature

ACS配置逻辑：

根据收到的请求的认证类型（radius还是tacacs），由ServicesSelectionRules的设置交给指定的AccessServices处理。由Identity指定的用户数据库（内部/外部）和请求中的用户名比对，根据用户和设备的分类交给指定的Shell Profile和command set

授权应和认证配合使用，假设对vty启用本地认证和aaa授权，则无法telnet，提示授权失败。

浏览器

IE11不能查看报告，火狐配置“接入策略”不能保存，建议结合使用

1.设备分组

网络结构默认将网络设备即AAA client分为2个网络设备组，分别为Location位置、Device Type设备类型。根据需求依次点击Network

Resources >Network Device Group> Create 在根组下创建子组，更明细的划分网络设备所在组。

2.用户组

依次点击Users and Identity Stores > Identity Groups > Create新增用户组。此用户组只是用于区分用户所在的组别，实际的组名并无实质的区别。在策略调用时才用到用户组来控制权限。

3.新建用户

依次点击Users and Identity Stores > Internal Identity Stores > Users> Create新增用户，并将用户划分进已存在的用户组中，为创建的用户选择适当的用户组。Name代表telnet设备的用户名，Identity Group代表用户属于上步中定义的哪个用户组，Password代表telnet设备的密码，Enable Password代表特权密码。

4.用户等级Shell Profiles

依次点击Policy Elements > Authorization and Permissions >Device Administration >Shell Profiles>Create创建策略规则 建议都设置为默认15最大15 经过测试

1.如果最大登陆级别不是15，无法enable进入特权模式，提示认证失败，因为默认是“enable 15”

2.如果不配user的enable密码，但启用了enable的acs认证，可以用user的密码代替

4.show running-config要在优先级15下运行，如果下放到其它优先级运行会缺少内容，具体表现为只能show出此等级有权配置的内容。

5.命令集Command Set

依次点击Policy Elements > Authorization and Permissions >Device Administration >Command Sets，点击Create新增命令授权。

给管理员放开所有的命令（ \below\打勾允许所有命令）。

给受限制管理员指定可用的命令: show，ping，telnet， ssh等，enable和exit属于0级命令，客户端配置不做授权， 故不用指定。

本文来源：https://www.bwwdw.com/article/agar.html