ACS安装及使用V2 - 图文

ACS安装及使用

ACS的安装

1）

硬件需求

? Pentium III处理器，550 MHz或更快 ? 256 MB内存

? 至少250MB硬盘空间，如果在本机上运行数据库，则需要更大的磁

盘空间。

? 显示器：256色，800×600分辨率。

? Windows 2000 Server，Service Pack 1或Service Pack 2（英文

版操作系统）

? Windows NT Server 4.0，Service Pack 6a。

2） 安装步骤

第一步 以管理员身份登录 第二步 插入Cisco ACS光盘

第三步 如果出现Cisco Secure ACS for Windows 2000/NT对话框，按Install。

否则运行光盘根目录下的setup.exe。

第四步 接受软件许可协议，按ACCEPT。 第五步 按Next。

第六步 选择相应的选项，按Next。 第七步 选择安装位置，按Next。

第八步 如果仅通过ACS用户数据库验证用户，选择Check the CiscoSecure ACS

database only。

第九步 如果还需要通过Windows 2000/NT Security Access Manager(SAM)用户

数据库或Windows 2000活动目录用户数据库验证用户，按下面的步骤进 行：

? 选择Also check the Windows 2000/NT User Database选项。 ? 如果需要对windows拨入用户进行验证，选择Yes, refer to \

dialin permission to user。

第十步 按Next。

第十一步 完成下面的选项：

? Authenticate Users Using ? Access Server Name ? Access Server IP Address ? Windows Server IP Address ? TACACS+ or RADIUS Key

第十二步 按Next。

第十三步 选择相应的激活选项，按Next。

第十四步 如果需要监控对用户的认证，选择Enable Log-in Monitoring。 第十五步 如果需要ACS监控到时间时邮件通知，选择 Mail Notification。 第十六步 出现网络访问服务器配置界面，取消Yes, I want to configure Cisco

IOS software now，以后再配置访问服务器，按Next。

第十七步 选择下面的选项

? Yes, I want to start the CiscoSecure ACS Service now ? Yes, I want Setup to launch the CiscoSecure ACS Administrator

from my browser following installation ? Yes, I want to view the Readme file 按Next。

第十八步 按Finish。

完成ACS安装后，还需要对网络设备进行配置，以便ACS能对登录网络设备进行认证。由于网络设备所在机房是安全的，在这里我们建议只对telnet、拨

号、VPN用户和802.1x用户进行ACS认证（RADIUS和TACACS+）认证，对Console口通过网络设备本地数据库进行认证，以免ACS故障不能登录网络设备。

ACS的使用 ACS的管理、授权

在没有添加管理用户前，ACS不能通过远程进行WEB管理，只能通过ACS服务器本机进行配置（http://127.0.0.1:2002）。缺省情况下没有设置管理用户，首先应增加ACS管理员帐号，提高安全性，同时能通过远程进行管理。

配置界面如下：

键入用户名和密码后，要对该管理用户进行授权，授权该用户对那些用户组可以管理。

增加ACS Client

需要通过ACS进行安全控制的网络设备作为ACS的一个client，要将这些client加入到ACS中，才能通过ACS对这些设备认证、授权、记帐。Cisco ACS

支持TACACS+和RADIUS认证协议，在对client的认证协议进行选择时，建议对Cisco网络设备的管理用TACACS认证，方便进行授权，对于VPN、802.1x建议采用RADIUS认证。这里还需要加入ACS Server与Client之间的key。

增加ACS Server

在本网络中，用到两台ACS互为备份，在两台ACS上，都要加入对方，这样

两台ACS服务器上的用户信息才能同步。

增加用户

增加用户，ACS支持多种用户数据库，这里用到Cisco ACS自带的用户数据库。

指定用户所属的组。

对用户进行授权，这里指定用户的shell权限级别，在网络设备上通过

priviledge命令对该级别的权限进行定义。

控制用户对网络设备的访问

不同组的用户，可以对其访问网络设备的权限进行授权，如上面提到的设置用户的priviledge，同时也可对其访问的网络设备、源地址进行控制。可通过Network Access Restrictions（NAR）实现。

如公司总部可管理所有网络设备，其他各分部只能管理本地网络设备。总部IP地址为10.10.10.*，其他分部分别为10.10.(10+n).*。公司总部为group 1，其他分部为group 1+n。同时对网络设备进行分组，总部及各分部分别属于一个组。

具体设置如下 Group 1的配置

Group 2的配置：

这里对用户组、用户所在地的地址、用户访问的设备做了限制，如果不对地址做限制，仅对用户及用户访问的设备组，将方便用户在任何地方管理自己权限范围内的设备。

对VPN用户访问权限的限制

对于VPN用户，不同VPN组分配不同地址，在该用户拨上vpn时，ACS将对应的ACL压到PIX上，该用户只能访问到指定的资源，完成对VPN用户的授权。

首先在ACS上定义ACL。

在用户组上，配置相应的ACL。

数据库复制

在两台ACS上，我们将一台ACS作为主服务器，另一台作为备份服务器，对用户的增、删或修改，只需在主服务器上进行，通过手工或定时的复制，保证两台ACS之间数据库的一致。

在主服务器上，选择为send（发送）。

同时指定定时复制的时间及备份服务器。

在备份服务器上选择为接收及主服务器。

日志文件

日志文件可以便于调试及管理服务器，记录用户的登录时间、使用的命令，认证是否通过等。

802.1x认证

ACS Server与Client之间采用RADIUS协议。

在接口配置界面下，选中RADIUS的64、65、81属性。

本文来源：https://www.bwwdw.com/article/gx8f.html