ACS完全配置手冊

1、成都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒第1章章目錄第1章目錄......13ACS 的配置ACS 的配置11AAA 的配置超級用戶的配置定義管理策略配置使用外部 Windows 數(shù)據(jù)庫接口（Interface）的配置系統(tǒng)備份日志的配置創(chuàng)建網(wǎng)絡設備組（Network Device Group）配置冗余服務器（Backup Server）配置命令授權創(chuàng)建用戶內(nèi)外數(shù)據(jù)庫映射數(shù)據(jù)庫的映射匿名用戶策略(Unknown User Policy)224111

2、2141517212531333536TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1 AAA 的配置1.1.1 超級用戶的配置在 Cisco ACS Engine 上首先進行管理員（administrator user）或超級用戶（super user）的設置。此用戶擁有使用 ACS 所有功能的權限，因此此賬戶消息必須進行保密，它是管理所有 ACS 應用資源的關鍵。請參考如下的配置步驟進行管理員用戶的創(chuàng)建：第 一 步 ： 在 Aministration Control 菜 單 下 ， 點 擊 AddAdministrator 按鈕添加管理員。

3、插圖 0-1 ACS 添加管理員TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒第二步：鍵入管理員的名字及密碼并點擊 Grant All 按鈕，然后點擊 Submit。插圖 0-2 ACS 添加管理員（續(xù)）添加管理員（TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.2 定義管理策略起初 Cisco ACS Engine 只能通過 Console 來進行本地訪問，一旦管理策略建立好后，Cisco ACS Engine 可以通過配置的管理策略進行遠程訪問。管理 策略包括訪問策略（Access Polic

4、y），會 話策略（Session Policy），和審計策略（Audit Policy）。首先進行訪問策略的配置，使其只允許用 HTTPS 進行遠程訪問，并且限制訪問端口范圍為 2000-2999 從而制定相應的防火墻策略。HTTPS 需要證書進行認證，因此用 Cisco ACS Engine 來提供自簽署證書，下面是自簽署證書的配置方法。在 System Control 菜單下，點擊 ACS Certificate Setup然后點擊 Generate Self-Signed Certificate。TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部插圖

5、0-3 提供自簽署證書陳雪寒當系統(tǒng)完成自簽署證書后，ACS 服務需要進行重啟。插圖 0-4 ACS 自簽署證書TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒在 System Control 菜單下，點擊 Service Control，重啟 ACS 服務，服務重啟后，確認其狀態(tài)為 running。插圖 0-5 ACS 服務重啟TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒當系統(tǒng)重啟后，點擊 Administration Control 菜單，然后點擊Access Policy。插圖 0-6 ACS 管理

6、員界面TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒在 IP Address Filtering 中選擇允許所有 IP Address to access，然后在 HTTP Configuration 中選擇限制端口范圍為 2000-2999，最后選擇 使 用 HTTPS 并 點 擊 Submit 。 在 完 成 如 下 配 置 后 ， 可 以 通 過https:/ip address:2002 進行遠程訪問。插圖 0-7 ACS 管理員界面 （續(xù)）TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒在 Ad

7、ministration Control 菜單下，選擇 Session Policy 配置會話策略使其當會話空閑 10 分鐘以上時，自動退出，同時迫使進行本地認證。插圖 0-8 會話策略的設置TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒在 Administration Control 菜單下，選擇 Audit Policy 審計策略使其刪除老于七天的日志。插圖 0-9 日志的配置TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.3 配置使用外部 Windows 數(shù)據(jù)庫使用 Windows AD 系

8、統(tǒng)上的已有用戶賬戶消息進行用戶認證。在External User Database 菜單下選擇 Database Configuration 然后點擊Windows Database。插圖 0-10 ACS 使用外部數(shù)據(jù)庫TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.4 接口（Interface）的配置配置用戶定義域的接口配置，在 Internafce Configuration 下，選擇 Configure user defined fields:插圖 0-11 Interface 的設置TEL都全碼科技有限公司

9、-技術部成都全碼科技有限公司 技術部陳雪寒配置用戶定義域的接口配置，在 Internafce Configuration 下，選擇 Advanced Options，確認如下的用戶接口已經(jīng)被 enable。插圖 0-12 Interface 的 Advanced OptionsTEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.5 系統(tǒng)備份配置系統(tǒng)每個工作日進行一次備份，周五進行兩次備份。在System Configuration 下，選擇 ACS Backup，進行如下配置。插圖 0-13 ACS 系統(tǒng)備份設置TEL都

10、全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.6 日志的配置在 System Control 下，選擇 logging 確認如下日志服務是開啟的。插圖 0-14 日志的設置TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒插圖 0-15 日志的設置（續(xù)）日志的設置（TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.7 創(chuàng)建網(wǎng)絡設備組（Network Device Group）在 Network Configuration 菜 單 下 ， 選 擇 添 加 Network DeviceG

11、roup。插圖 0-16 創(chuàng)建網(wǎng)絡設備組TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒鍵入網(wǎng)絡組名字及密鑰（key）。插圖 0-17 創(chuàng)建網(wǎng)絡設備組（續(xù)）創(chuàng)建網(wǎng)絡設備組（TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒增加 AAA Clients 到 Network Device Group 中去。點擊相應的Network Device Group 然后點擊 Add AAA Clients。插圖 0-18 增加網(wǎng)絡設備組的設備TEL都全碼科技有限公司-技術部成都全碼科技有限公司

12、技術部陳雪寒鍵入 AAA Client 的 IP 地址（可使用網(wǎng)段來簡化配置）及密鑰并選擇適當?shù)?Network Device Group。插圖 0-19 增加網(wǎng)絡設備組的設備（續(xù)）增加網(wǎng)絡設備組的設備（TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.8 配置冗余服務器（Backup Server）從 Network Configuration 菜單中，點擊 Not Assigned NetworkDevice Group，選擇添加 AAA Server。（本 AAA Server 應當已經(jīng)在列表中）插圖 0-20 配置冗余服務器TEL:13

13、438836708成都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒鍵入 backup AAA Server 的信息。插圖 0-21 配置冗余服務器（續(xù) ）配置冗余服務器（TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒配置服務器間的數(shù)據(jù)庫復制：在 System Configuration 中，選擇 ACS Internal Database Replication。在主服務器上選擇發(fā)送數(shù)據(jù)庫，在備份服務器上選擇接收數(shù)據(jù)庫。選擇復制時間為備份時間后一小時。插圖 0-22 配置冗余服務器備份選項TEL都全碼科技有限

14、公司-技術部成都全碼科技有限公司 技術部陳雪寒在備份 ACS 上進行相同的配置，但是選擇 Receive。注意：不要把主服務器加入 Replication Partner 列表中。插圖 0-23 備份服務器列表設置TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.9 配置命令授權在 Shared Profile Components 菜單下，選擇 Shell AuthorizationCommand Sets；然后點擊 Add。插圖 0-24 配置 Shared ProfileTEL都全碼科技有限公司-技術部成都全碼科

15、技有限公司 技術部陳雪寒在 Add command 中鍵入 show 并選擇 Permit Unmatched Args同時 deny config;deny start;deny config插圖 0-25 配置 shared profile 命令集TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒創(chuàng)建用戶組：在 Group Setup 菜單下，選擇 Group1 然后點擊Rename Group 進行相應的命名。插圖 0-26 工作組命名TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒配置用戶組：點擊 E

16、dit Settings 對相應的用戶組進行編輯。在TACACS+ Settings 中，點中 Shell(exec)，點中 Privilege level 并填入15。在 Shell Authorization Command Sets 中，選擇相應的 NetworkAccess Group 與 Command Set。在 IETF RADIUS Attributes 中，選擇006Service-type 下選擇 Login。插圖 0-27 工作組配置TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒插圖 0-28 工作組配置（續(xù)）工作組配置（TE

17、L都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒插圖 0-29 工作組配置（續(xù)）工作組配置（TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.10創(chuàng)建用戶在 User Setup 菜單下，增加用戶。插圖 0-30 創(chuàng)建用戶TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒在 Password Authentication 下選擇 Windows Database 然后并選擇適當?shù)挠脩艚M。插圖 0-31 創(chuàng)建用戶（續(xù)）創(chuàng)建用戶（TEL都全碼

18、科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.11內(nèi)外數(shù)據(jù)庫映射的賬戶信息存放在 Microsoft AD 上，因此要進行與 Microsoft AD 上數(shù)據(jù)庫關聯(lián)的配置。在 External User Database 下，點擊 Database Configuration，然后選擇 WindowsDatabase 點擊 Configure。TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒選擇 Windows Domain。TEL都全碼科技有限公司-技術部成都全碼科技有限公司 技術部陳雪寒1.1.12數(shù)據(jù)庫的映射選擇 Database Mapping，然后選擇相應的 Windows 用戶組映射為 ACS 用戶組。T