CISCO ACS安裝配置指導(dǎo)

1、CISCO ACS4.0安裝配置指導(dǎo)一安裝CISCO ACS4.0CISCO ACS4.0運(yùn)行環(huán)境要求windows server 2003，IE6.0 SP1以上，JAVA組件，在運(yùn)行ACS之前要確認(rèn)已安裝Java組件 (java下載)。1. 雙擊CISCO_ACS4.0 安裝文件目錄下的Setup.exe，彈出對(duì)話框，選ACCEPT，如下圖所示：2. 在彈出的對(duì)話框中單擊Next，繼續(xù)安裝，如下圖所示：3. 安裝前確保符合以下條件：(1).接入終端用戶能夠連接到AAA設(shè)備。(2).安裝ACS的Windows服務(wù)器能夠ping通AAA接入設(shè)備(3).AAA接入設(shè)備運(yùn)行的IOS最低版本為11.

2、1(4).使用的瀏覽器版本最低是IE v6 SP1或Netscape v8.0彈出對(duì)話框安裝時(shí)需要將4個(gè)復(fù)選框全部選中才能夠單擊Next，繼續(xù)安裝，如下圖所示：4. 選擇安裝路徑，ACS安裝完成后，一般的都是文本的方式保存細(xì)信息，不需要多大的硬盤(pán)空間，保持默認(rèn)路徑，單擊Next，繼續(xù)安裝，如下圖所示：5. 選擇ACS賬戶類型，ACS單獨(dú)的賬戶管理或者使用Windows賬戶管理，默認(rèn)選擇ACS賬號(hào)管理，單擊Next繼續(xù)安裝，如下圖所示：6. 開(kāi)始安裝，如下圖所示：7. 彈出對(duì)話框選擇ACS全部功能，單擊Next，繼續(xù)安裝，如下圖所示：User Level Network access Restr

3、ictions ACS賬號(hào)訪問(wèn)設(shè)備時(shí)可以設(shè)定級(jí)別group level network access restrictions ACS中通過(guò)組來(lái)設(shè)定用戶訪問(wèn)的級(jí)別Max Sessions 最大的會(huì)話數(shù)Default Time of day/day of week speciftication 設(shè)置用戶訪問(wèn)的時(shí)間Distributed system settings 分布式的系統(tǒng)設(shè)置Database Replication 數(shù)據(jù)庫(kù)復(fù)制8. 彈出對(duì)話框有兩個(gè)選項(xiàng)：(1)Enable登陸是否檢測(cè)，選擇全部。(2)郵件提醒，選擇時(shí)需要輸入郵件服務(wù)器和發(fā)送郵件的賬號(hào)，放棄郵件發(fā)送, 單擊Next，繼續(xù)安

4、裝，如下圖所示：9. 彈出對(duì)話框輸入ACS的賬號(hào)數(shù)據(jù)的密碼，單擊Next，繼續(xù)安裝，如下圖所示：10. 彈出對(duì)話框三個(gè)選項(xiàng)：(1)啟動(dòng)新裝的ACS服務(wù)；(2)安裝從IE配置ACS的功能，這樣以后就可以直接通過(guò)IE登陸和配置ACS服務(wù)器；(3)查看說(shuō)明文件,默認(rèn)選擇，單擊Next，繼續(xù)安裝，如下圖所示：11. 彈出對(duì)話框點(diǎn)Finish安裝完成，如下圖所示：12. 安裝完成后桌面會(huì)生成一個(gè)ACS Admin的IE快捷方式，可以登錄ACS服務(wù)，同時(shí)可以在瀏覽器中輸入:2002登錄打開(kāi)ACS軟件。需要注意如果服務(wù)器的ie安全等級(jí)設(shè)定太高將無(wú)法打開(kāi)ACS界面，建議將IE安全

5、等級(jí)設(shè)定為中等，如下圖所示： 二. 設(shè)置ACS管理員賬號(hào)默認(rèn)情況下，已安裝ACS的本地服務(wù)器無(wú)需使用管理員帳號(hào)，即可使用ACS。如果要進(jìn)行遠(yuǎn)程管理，就必須設(shè)置ACS管理員帳號(hào)，遠(yuǎn)程管理通過(guò)和http：/ACS服務(wù)器IP地址：2002的方式登錄。1.單擊ACS左邊功能選擇區(qū)的“Administrator Control”按鈕，中間配置區(qū)顯示詳細(xì)配置，如下圖所示：2.單擊“Add Administrator”按鈕添加管理員賬戶，設(shè)置管理員賬戶和密碼，然后在“Administrator Privileges”屬性框中單擊“Grant all”按鈕賦予全部權(quán)限，最后單擊“Submit”按鈕。如下圖所示

6、： 3.ACS管理員用戶創(chuàng)建完成后在“Administrator Control”頁(yè)面“Administrators”欄下可以看到管理員用戶dcp，如下圖所示：三添加TACACS+接入設(shè)備1.登錄ACS 服務(wù)器在瀏覽器輸入http：/ACS服務(wù)器IP地址：2002打開(kāi)Web登錄頁(yè)面，輸入Web登錄用戶名和密碼，單擊“Login”按鈕，即可登錄ACS服務(wù)器，如下圖所示：2.在左側(cè)導(dǎo)航欄中選擇Network Configuration，打開(kāi)網(wǎng)絡(luò)配置界面，單擊<Add Entry>，進(jìn)入AAA Client 的編輯頁(yè)面，如下圖所示：# 在AAA Client 的編輯頁(yè)面中進(jìn)行如下配置：

7、輸入接入設(shè)備名稱，接入設(shè)備 IP 地址和交互TACACS+ 報(bào)文的共享密鑰； 選擇認(rèn)證協(xié)議類型為“TACACS+ (Cisco IOS)”； 單擊“Submit + Apply”按鈕完成操作。如下圖所示：3. 添加高級(jí)選項(xiàng)# 在左側(cè)導(dǎo)航欄中選擇Interface Configuration，打開(kāi)接口配置界面，單擊“TACACS+(Cisco IOS)”鏈接，進(jìn)入TACACS+的高級(jí)屬性頁(yè)面，如下圖所示：# 選中高級(jí)配置選項(xiàng)中的“Advanced TACACS+ Features”項(xiàng)，讓用戶配置界面中隱藏的高級(jí)選項(xiàng)顯示出來(lái)，該高級(jí)選項(xiàng)中包含了Enable 密碼的相關(guān)配置，單擊“Submit”按鈕

8、完成操作，如下圖所示：四. 添加RADIUS添加接入設(shè)備1.在左側(cè)導(dǎo)航欄中選擇Network Configuration，打開(kāi)網(wǎng)絡(luò)配置界面，單擊<Add Entry>，進(jìn)入AAA Client 的編輯頁(yè)面,如下圖所示：# 在AAA Client 的編輯頁(yè)面中進(jìn)行如下配置： 輸入接入設(shè)備名稱，接入設(shè)備 IP 地址和交互RADIUS 報(bào)文的共享密鑰； 選擇認(rèn)證協(xié)議類型為“RADIUS+ (IETF)”； 單擊“Submit + Apply”按鈕完成操作。如下圖所示：五：配置用戶1.在左側(cè)導(dǎo)航欄中選擇User Setup，打開(kāi)用戶配置界面，點(diǎn)擊Find按鈕或者List all users

9、按鈕可以在右邊的列表欄查看到當(dāng)前已經(jīng)建立的所用用戶，在文本框中輸入用戶名“dcp”，單擊“Add/Edit”后，進(jìn)入該用戶的編輯頁(yè)面,如下圖所示：# 輸入用戶的相關(guān)輔助信息，配置Password Authentication用戶登錄密碼為“123456”，此處密碼為telnet登錄密碼，如下圖所示：用戶默認(rèn)在Default Group組，可點(diǎn)擊下拉框選擇用戶組，如下圖所示：2. 配置級(jí)別切換密碼# 繼續(xù)在用戶dcp 的編輯頁(yè)面中進(jìn)行下面的高級(jí)TACACS+設(shè)置。 選中“Max Privilege for any AAA Client”，在下拉框中選擇“Level 15”。該配置表示級(jí)別切換后，

10、用戶可執(zhí)行的命令的最高級(jí)別為15。 選擇“Use separate password”，輸入級(jí)別切換TACACS+ Enable密碼“ABCabc123”。 單擊“Submit”按鈕完成操作。如下圖所示：六.配置用戶組1.在左側(cè)導(dǎo)航欄中選擇Group Setup，打開(kāi)用戶組配置界面，點(diǎn)擊“Rename Group”可以對(duì)用戶組的名稱進(jìn)行編輯，點(diǎn)擊“Edit Settings”，如下圖所：2.點(diǎn)擊Group欄的下拉框可以看到數(shù)據(jù)庫(kù)默認(rèn)創(chuàng)建了500個(gè)組，可根據(jù)需要使用“Rename Group”更名，點(diǎn)擊“Edit Settings”進(jìn)入組配置界面，根據(jù)需要定制相關(guān)配置，Enable Option

11、s定義權(quán)限級(jí)別，輸入enable授權(quán)用戶的最高權(quán)限級(jí)，如果選擇 No Enable Privilege，將只能是在Level 0這個(gè)級(jí)別中，此處必選，否則console無(wú)法登錄，如下圖所示：七.ACS 審訊查看(ACS可以自動(dòng)網(wǎng)絡(luò)設(shè)備記錄的用戶的操作，包括各個(gè)用戶登錄時(shí)間，登錄后使用的命令，登錄驗(yàn)證失敗的記錄以及當(dāng)前各個(gè)設(shè)備上活動(dòng)的用戶，在左側(cè)導(dǎo)航欄中選擇Reports and Activity，打開(kāi)用戶活動(dòng)報(bào)告頁(yè)面，如下圖所示：選擇Reports欄的TACACS+ Accounting和RADIUS Accounting選項(xiàng)，右邊界面可以選擇某天TACACS+和 RADIUS用戶登錄的Accounting記錄信息，如下圖所示：Reports欄點(diǎn)擊TACACS+ Administration可以查看tacacs用戶登錄后使用的所有命令，右側(cè)選擇某天的Tacacs+ Administration文件查看，如下圖所示：八Log信息的設(shè)置1.在左側(cè)導(dǎo)航欄中選擇system configuration欄目，并點(diǎn)擊Service Contorl選項(xiàng)：# 在Services Log Fil