使用ACS配置TACACS+.doc

使用ACS配置TACACS+ Yewei_2009126.com 注意：1、需要安裝在Server版本上，最好是在域的環(huán)境下2、需要安裝JAVA虛擬機(jī)根據(jù)上面的拓?fù)湓O(shè)置網(wǎng)絡(luò)環(huán)境，并安裝ACS4.0一、設(shè)置ACS管理員帳號(hào)1、點(diǎn)擊ACS界面左邊的Administration control 按鈕 ，然后點(diǎn)擊Administrator control界面中的Add Administrator。2、點(diǎn)擊Add administrator 后出現(xiàn)此賬戶的諸多選項(xiàng)，逐一填寫后點(diǎn)擊Submit。3、設(shè)置了管理員后就可以通過web界面登錄到ACS服務(wù)器對(duì)ACS進(jìn)行配置。二、ACS網(wǎng)絡(luò)設(shè)置（添加Tacacs+ 客戶端）1、點(diǎn)擊ACS界面的Network Configuration按鈕 ，出現(xiàn)網(wǎng)絡(luò)配置界面，然后點(diǎn)擊Add Entry。2、設(shè)添加Tacacs+客戶端，添加客戶端名稱和IP地址及KEY（ACS中必須指定Tacacs+客戶端的IP地址），選擇認(rèn)證方式。Tacacs+設(shè)置3、點(diǎn)擊ACS界面左邊Interface configuration 按鈕 ，選擇TACACS+ (Cisco IOS)。4、根據(jù)個(gè)人具體應(yīng)用，在Tacacs+相關(guān)項(xiàng)目中打勾(如果沒有將tacacs+相關(guān)項(xiàng)目選中，則在用戶組/用戶屬性中將不會(huì)出現(xiàn)tacacs+相關(guān)項(xiàng)目)。三、添加用戶組1、在ACS界面左邊點(diǎn)擊Group Setup在下拉列表中選取某個(gè)組，給這個(gè)組重命名，接著選擇Edit setting進(jìn)入組的屬性配置在組的enable option 中的Max privilege for any AAA Client設(shè)置組的級(jí)別四、添加用戶1、在ACS界面的左邊點(diǎn)擊user setup 按鈕在user方框中填寫用戶名，然后點(diǎn)擊ADD/Edit 2、在出現(xiàn)的用戶屬性中逐一填寫，選擇用戶屬于哪個(gè)用戶組，選擇用戶屬于的級(jí)別（可以定義單個(gè)用戶級(jí)別，也可以和所屬的用戶組級(jí)別一樣）。設(shè)置用戶的enable 密碼。五、ACS授權(quán)(authorization)ACS中可以通過設(shè)置用戶組/用戶的級(jí)別privilege來實(shí)現(xiàn)不同用戶登錄設(shè)備后可用的命令的不同，也可以通過使用ACS的命令授權(quán)來實(shí)現(xiàn)不同用戶登錄設(shè)備的可用命令條目，以下介紹ACS的命令授權(quán)。1、在ACS的界面左邊的按鈕點(diǎn)擊shell command authorization sets2、點(diǎn)擊Add添加命令集 頁面下方有兩個(gè)方框，左邊填寫命令的前綴，右邊填寫命令的后綴，命令后綴填寫的語法格式是：permit/deny *3、將命令集運(yùn)用到用戶組或者用戶 點(diǎn)擊用戶組屬性的tacacs+ setting項(xiàng)目給用戶組/用戶的屬性commands15中選擇用戶組/用戶的級(jí)別，然后點(diǎn)擊submit+restart六、ACS審計(jì)(accounting)點(diǎn)擊ACS界面左邊的按鈕，然后選擇TACACS+ Accounting,七、客戶端的配置aaa new-modelaaa authentication login default group tacacs+aaa authorization commands 15 default group tacacs+ aaa accounting exec default start-stop group tacacs+tacacs-server