ACS安装及使用V2 - 图文
更新时间:2023-03-17 21:37:01 阅读量: 综合文库 文档下载
- acs安装教程推荐度:
- 相关推荐
ACS安装及使用
ACS的安装
1)
硬件需求
? Pentium III处理器,550 MHz或更快 ? 256 MB内存
? 至少250MB硬盘空间,如果在本机上运行数据库,则需要更大的磁
盘空间。
? 显示器:256色,800×600分辨率。
? Windows 2000 Server,Service Pack 1或Service Pack 2(英文
版操作系统)
? Windows NT Server 4.0,Service Pack 6a。
2) 安装步骤
第一步 以管理员身份登录 第二步 插入Cisco ACS光盘
第三步 如果出现Cisco Secure ACS for Windows 2000/NT对话框,按Install。
否则运行光盘根目录下的setup.exe。
第四步 接受软件许可协议,按ACCEPT。 第五步 按Next。
第六步 选择相应的选项,按Next。 第七步 选择安装位置,按Next。
第八步 如果仅通过ACS用户数据库验证用户,选择Check the CiscoSecure ACS
database only。
第九步 如果还需要通过Windows 2000/NT Security Access Manager(SAM)用户
数据库或Windows 2000活动目录用户数据库验证用户,按下面的步骤进 行:
? 选择Also check the Windows 2000/NT User Database选项。 ? 如果需要对windows拨入用户进行验证,选择Yes, refer to \
dialin permission to user。
第十步 按Next。
第十一步 完成下面的选项:
? Authenticate Users Using ? Access Server Name ? Access Server IP Address ? Windows Server IP Address ? TACACS+ or RADIUS Key
第十二步 按Next。
第十三步 选择相应的激活选项,按Next。
第十四步 如果需要监控对用户的认证,选择Enable Log-in Monitoring。 第十五步 如果需要ACS监控到时间时邮件通知,选择 Mail Notification。 第十六步 出现网络访问服务器配置界面,取消Yes, I want to configure Cisco
IOS software now,以后再配置访问服务器,按Next。
第十七步 选择下面的选项
? Yes, I want to start the CiscoSecure ACS Service now ? Yes, I want Setup to launch the CiscoSecure ACS Administrator
from my browser following installation ? Yes, I want to view the Readme file 按Next。
第十八步 按Finish。
完成ACS安装后,还需要对网络设备进行配置,以便ACS能对登录网络设备进行认证。由于网络设备所在机房是安全的,在这里我们建议只对telnet、拨
号、VPN用户和802.1x用户进行ACS认证(RADIUS和TACACS+)认证,对Console口通过网络设备本地数据库进行认证,以免ACS故障不能登录网络设备。
ACS的使用 ACS的管理、授权
在没有添加管理用户前,ACS不能通过远程进行WEB管理,只能通过ACS服务器本机进行配置(http://127.0.0.1:2002)。缺省情况下没有设置管理用户,首先应增加ACS管理员帐号,提高安全性,同时能通过远程进行管理。
配置界面如下:
键入用户名和密码后,要对该管理用户进行授权,授权该用户对那些用户组可以管理。
增加ACS Client
需要通过ACS进行安全控制的网络设备作为ACS的一个client,要将这些client加入到ACS中,才能通过ACS对这些设备认证、授权、记帐。Cisco ACS
支持TACACS+和RADIUS认证协议,在对client的认证协议进行选择时,建议对Cisco网络设备的管理用TACACS认证,方便进行授权,对于VPN、802.1x建议采用RADIUS认证。这里还需要加入ACS Server与Client之间的key。
增加ACS Server
在本网络中,用到两台ACS互为备份,在两台ACS上,都要加入对方,这样
两台ACS服务器上的用户信息才能同步。
增加用户
增加用户,ACS支持多种用户数据库,这里用到Cisco ACS自带的用户数据库。
指定用户所属的组。
对用户进行授权,这里指定用户的shell权限级别,在网络设备上通过
priviledge命令对该级别的权限进行定义。
控制用户对网络设备的访问
不同组的用户,可以对其访问网络设备的权限进行授权,如上面提到的设置用户的priviledge,同时也可对其访问的网络设备、源地址进行控制。可通过Network Access Restrictions(NAR)实现。
如公司总部可管理所有网络设备,其他各分部只能管理本地网络设备。总部IP地址为10.10.10.*,其他分部分别为10.10.(10+n).*。公司总部为group 1,其他分部为group 1+n。同时对网络设备进行分组,总部及各分部分别属于一个组。
具体设置如下 Group 1的配置
Group 2的配置:
这里对用户组、用户所在地的地址、用户访问的设备做了限制,如果不对地址做限制,仅对用户及用户访问的设备组,将方便用户在任何地方管理自己权限范围内的设备。
对VPN用户访问权限的限制
对于VPN用户,不同VPN组分配不同地址,在该用户拨上vpn时,ACS将对应的ACL压到PIX上,该用户只能访问到指定的资源,完成对VPN用户的授权。
首先在ACS上定义ACL。
在用户组上,配置相应的ACL。
数据库复制
在两台ACS上,我们将一台ACS作为主服务器,另一台作为备份服务器,对用户的增、删或修改,只需在主服务器上进行,通过手工或定时的复制,保证两台ACS之间数据库的一致。
在主服务器上,选择为send(发送)。
同时指定定时复制的时间及备份服务器。
在备份服务器上选择为接收及主服务器。
日志文件
日志文件可以便于调试及管理服务器,记录用户的登录时间、使用的命令,认证是否通过等。
802.1x认证
ACS Server与Client之间采用RADIUS协议。
在接口配置界面下,选中RADIUS的64、65、81属性。
正在阅读:
ACS安装及使用V2 - 图文03-17
金融学课外习题及答案(2016上)11-12
中国法学博士点及拥有法学博士后流动站一览06-06
路基路面试验检测技术12-27
高二物理《机械波》单元测试题06-05
八年级上册英语知识点归纳05-30
新人教版必修五《文言词语和句式》教案01-03
化工原理筛板塔精馏实验报告02-25
毛细血管渗漏综合症01-24
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 安装
- 图文
- 使用
- ACS