ACS安装配置手册.docx

ACS安装配置手册.docx

《ACS安装配置手册.docx》由会员分享，可在线阅读，更多相关《ACS安装配置手册.docx（36页珍藏版）》请在冰豆网上搜索。

ACS安装配置手册

ACS安装＆配置手册--第一部分

第一部分Windows上安装ACS

1.1系统要求

1.1.1ACSforWindowsServer

硬件要求：

ØIBM兼容机CPU为PentiumIV,1.8GHz或更高

Ø1G内存或更高

Ø1G硬盘空间或更多

Ø256色彩显，800x600分辨率

ØCD-ROM

Ø100网卡

操作系统:

ØWindows2000ServerEnglishversion（SP3）

ØWindows2000AdvancedServerEnglishversion（SP4）

ØWindowsServer2003,EnterpriseEditionorStandardEdition（SP1）

ØJapaneseWindowsServer2003（SP1）

文件系统：

ØNTFS

1.1.2ACSforWindowsWebClient

硬件要求：

ØIBM兼容机CPU为PentiumIV

Ø256M内存，虚拟内存400M

Ø1G硬盘空间或更多

Ø256色彩显，800x600分辨率

ØCD-ROM

Ø100网卡

操作系统:

ØWindows2000（ServicePack4）

ØWindowsXP（ServicePack2）

ØWindows2000Server或AdvancedServer（ServicePack4）

ØWindowsServer2003,EnterpriseEditionorStandardEdition

ØJapaneseWindowsServer2003（ServicePack1）

浏览器：

ØMicrosoftInternetExplorer6ServicePack1and5.5forWindows–EnglishandJapaneseversion

ØNetscapeWebBrowser7.0,7.1,and7.2forWindows–EnglishandJapaneseversion

Java：

ØSunJRE1.4.2_04

1.1.3ACSforWindowsServerUCP

ØMicrosoftIIS5.0

ØApache1.3webserver

1.2升级要求

ACS支持下面几个升级途径：

ØCiscoSecureACSforWindows,release3.3.3toACS4.1

ØCiscoSecureACSforWindows,release4.0toACS4.1

Ø如果是早3.3.3的版本,需要先升级到ACS3.3.3,然后再升级到4.1

1.3第三方软件要求

需要如下应用软件：

ØWeb浏览器

ØJAVA虚拟机

ØNovellDirectoryServer（NDS）clients

ØToken-cardclients

1.4网络和端口

部署ACS需要的网络环境如下：

ØCisco运行IOS的设备支持TACACS+和RADIUS,AAAclients需要运行的CiscoIOS版本为11.1或更新的版本

Ø非CiscoIOSAAAclients必须配置TACACS+,RADIUS,都配

Ø拨号用户、VPN或无线客户端必须可以连接到应用AAA的客户端

Ø运行ACS的主机必须可以ping通所有AAA客户端

Ø网关设备必须允许在ACS和其它网络设备之间的相关协议和相应端口进行通信（见下表）

表1、ACS使用的端口

Feature/Protocol

UDPorTCP

Ports

RADIUSauthenticationandauthorization

UDP

1645,1812

RADIUSaccounting

UDP

1646,1813

TACACS+

TCP

49

CiscoSecureDatabaseReplication

TCP

2000

RDBMSSynchronizationwithsynchronizationpartners

TCP

2000

User-ChangeablePasswordwebapplication

TCP

2000

Logging

TCP

2001

AdministrativeHTTPportfornewsessions

TCP

2002

AdministrativeHTTPportrange

TCP

Configurable;

default1024

through65535

1.5ACS安装

AC安装＆配置手册　第二部分　ACS配置

第二部分ACS配置

2.1通用配置

ACS已经安装在服务器上，ACS的IP地址为11.156.198.200。

安装完后会在桌面产生一个ACS管理页面。

点击即可登录进ACS进行管理操作。

如：

配置管理员帐号，数据库管理等等。

2.1.1创建管理员

点击界面左侧的

安钮进入到管理页面

点击

安钮，添加管理员帐户。

输入管理员的名称和密码，并点击

安钮，使该管理员拥有全部的管理权限，当然也可以为单独的管理员设置单独的权限。

2.1.2远程登录

添加完管理员用户后，远程的客户端主机就可以远程登录ACS进行管理了。

在远程PC上使用浏览器，在地址栏里输入http:

//11.156.198.200:

2002即可访问ACS服务器，输入管理员用户和密码即可登录ACS。

2.1.3数据库设置

ACS在安装过程中会提示使用ACS数据库还是使用Windows数据库。

可以选择使用Windows数据库，并且把下面的dialin选项选上。

安装的最后提示创建密码，建议不要太复杂，否则sybase数据库会报告ODBC错误，会造成安装终止。

如果安装终止，在控制面板中的添加删除程序里面是无法删除的，须使用专用的ACS删除软件删除，然后从新安装。

本次的acs是使用security数据库进行。

也可以在安装完后再进行数据库配置，在主页面左侧的

安钮即可进和数据库配置界面。

然后选择数据库配置即可进行相应的操作。

2.1.4网络设备配置

管理员和数据库配置完后需要在ACS上配置做AAA客户端的网络设备，在本例中我们将要添加三个厂家的网络设备。

首先点击主页面下

安钮进入到网络设备配置页面。

点击

增加一个条目，输入AAAclient主机名、IP地址并点击“Submit+Apply”安钮。

可以看到名字为Cisco的AAAClient设备已经建立起来了。

注：

建议使用交换机的loopback0接口地址作客户端的接口，比使用互连物理接口运行相对更加稳定。

　　我们再建立一个Juniper的AAAClient设备。

在“AuthenticateUsing”一栏中选择RADIUS（Juniper）,然后确定。

　　注意在建立AAAClient中选择“AuthenticateUsing”中可以选择思科的无线产品、VPN3000系列、PIX/ASA7.x、IETF、Nortel等厂家的设备，但是没有NetScreen和H3C的产品,这需要添加第三方网络设备厂商的字典文件，才能支持该厂家的网络设备，在后面的章节中会专门介绍如何添加第三方厂家设备字典文件。

2.1.5用户接口配置

在主页面下点击“InterfaceConfiguration”进入用户接口策略配置。

本例中我们以设置TACAS＋为从例，点击TACACS+（CiscoIOS），配置基于TACACS+的用户接口策略。

注：

选择需要在UserSetup和GroupSetup里面显示的属性，注意添加shell（exec）以增加对使用命令的控制。

其余的如果在交换机中配置了，可以不用作多余更改。

2.1.6添加用户

点击UserSetup按钮，进入用户配置模式页面。

点击Find按钮或者list安钮可以在右边的列表拦内查看到当前已经建立的所有用户，包括该用户当前的状态和所属的分组。

我们添加一个”test”用户，密码为”test”。

输入用户名，点击add/edit进入用户配置界面，可以对新增加用户权限进行编辑。

　　设置该用户密码、归属的用户组、回拨、地址关联以及高级TACACS＋设置

2.1.7配置用户组

在主页面下点击GroupSetup进入用户组配置界面。

点击“Rename”可以对用户组的名称进行编辑。

这里已经可以看到在用户数据库中建立的组别，在下拉列表中选择需要进行配置的组别并可根据需要使用RenameGroup更名后，点击EditSettings进入

进入组配置的页面之后，选择上面跳转下拉菜单中的TACACS+选项，直接进行TACACS+相关的配置。

需要在shell（exec）选项前勾中，以打开对该用户可用命令进行控制的功能。

在Privilegelevel选项前勾中，并且在后面的输入框中输入在交换机或其他网络设备中设置的enable权限等级。

权限等级并不重要，只是这里设置的等级在网络设备中同样要设置，以作一个匹配的条件，用户登录后直接进入相应的enable权限等级下，同时也在登陆权限上预先对用户进行了权限控制。

两项选择好后，拉动滚动条向下，进行用户操作命令权限的设置。

在下面找到pergroupcommandauthorization选项，进行选择。

之后开始实际设置用户命令权限。

这里采用了层次化的结构选项，首先是标题下面的“Unmatchedciscoioscommands”选项，分别是permit和deny，表示如果下面设定的命令列表中不存在的命令是否允许（类似cisco访问表最后的那条默认是允许还是禁止其它），permit为允许deny为禁止，如果所有命令都允许使用则选择permit，反之选择deny。

之后继续往下设置，在“Command”选项上勾选，在下面的输入框内打上主命令，如：

show或者configure等命令，在arguments输入框内加入允许操作的扩展命令，语法是permit或者deny加上扩展命令。

如：

允许进行showvlan等命令禁止showrun、showconfiguration命令操作，需要在上面设置show命令以外，还需要在下面设置：

permitvlan和denyrun，以及其他permit和deny的设置，设置先后顺序没有区别。

例如下图：

在最后还有Unlistedarguments的选项，不在上面arguments列表内的，同一主命令下的其它命令（这里表示其它的show命令）是否允许使用，如果为permit是允许使用，反之是deny。

配置完成之后需要点Submit+Restart，进行应用和刷新，之后才可以再继续设置下面的其他命令权限。

在页面同样位置新出现的command配置区域按照之前的配置语法增加配置就可以了。

2.2察看记录

ACS可以自动接收网络设备记录的用户的操作，包括各个用户登陆的时间、每个用户登陆后使用的命令、用户登录验证失败的记录以及当前在各个设备上面的用户。

ACS界面左边功能项区选择reportsandactivity，进入察看记录界面。

2.2.1察看用户登录时间

在reportsandactivity页面内，选择reports栏的TACACS+Accounting选项，右面进入accounting页面，是acs生效之后的日期列表，分别每天一个记录保存登陆的信息，可以点任意一天的条目进入具体察看当天的登陆记录。

进入某一天的相应条目后，在右面的栏内可以察看当天具体的用户登陆情况，包括有登陆时间、登陆用户名、用户所属分组、用户的ip地址、当前时间状态是登陆还是注销离开、注销离开则会带有该用户登录时长，向右拉动滚动条在最后面还会有用户所登陆的地址。

2.2.2察看用户使用过的命令

在reportsandactivity页面内，选择reports栏的TACACS+Administration选项，右面同样会有日期栏，点击每个日期可以察看当天的用户使用命令记录。

进入某一天的相应条目后，在右面的栏内可以察看当天具体的每个用户具体时间所使用过的命令、用户当时的登陆等级以及用户当时登陆的设备地址。

2.2.3登录认证失败的记录

在reportsandactivity页面内，选择reports栏的FailedAttempts选项，右面同样会有日期栏，点击每个日期可以察看当天的用户使用命令记录。

进入某一天的相应条目后，在右面的栏内可以察看当天具体的每个用户所登陆过的时间、用户当时的登陆名、用户当时登陆失败的原因、用户的ip地址以及拉动滚动条向右到最后可以看到用户试图登录的设备地址。

2.2.4察看当前登录

在reportsandactivity页面内，选择reports栏的Logged-inUsers选项，右面可以看到当前有用户登录的由ACS控制的设备列表，包括设备ip地址和上面的用户数。

TACACS+Default表示远程登录到aaaserver上的用户。

点击各自设备名可以察看具体设备上的用户。

在右面可以看到具体设备上的用户列表，包括用户名、用户所在组、用户登录的设备ip，使用下面的purgeloggedinusers可以把当前用户踢出设备。

2.3NetScreen设备与ACS配合

注：

本节实验为真实生产环境的实际配置，

2.3.1向CiscoACS添加NetScreen扩展字典文件

Juniper为RADIUS服务器提供专用字典文件，用来扩展RADIUS用户属性，与NetScreen防火墙用户权限匹配，RADIUS字典库文件可以到

拷贝CiscoACS字典文件“NSRadDef2.ini”文件到ACS服务器本地，进入ACS子目录utils，通过csutils.exe命令导入字典文件，在导入过程中ACS服务将停止和重启。

命令行格式如下：

显示当前加载的所有扩展字典文件：

使用下面命令进行安装NetScreen扩展字典文件。

2.3.2启用用户属性

ACS用户及用户组属性默认不包含NetScreen属性选项，需要通过修改interfaceconfiguration参数，打开NetScreen在用户组属性上的选项－Interfaceconfiguration－>RADIUS（netscreen），如图所示：

启用RADIUS（NetScreen）选项ns-admin-privilege（读写权限）和ns-user-group（只读权限）。

2.3.3配置组

NetScreen依据组功能设定属性，加入本组的用户将拥有此属性。

在ACSRadiusServer上可以定义如下属性：

²2=READ_WRITE

²3=VSYS_ADMIN

²4=READ_ONLY

²5=VSYS_READ_ONLY

本例中我们使用组2和组4的管理权限：

对于用户组Managermant，我们配置如下属性：

对于用户组Monitor，我们配置如下属性：

2.3.4配置用户

用户的属性可以简单地从组中继承。

可以按照各组中的用户名把用户加入各组。

只是在配置密码时要考虑不同的用户设置各自不同的密码。

2.4Huawei设备与ACS配合

注：

本章节以华为内部资料为主，结合本人实验结果而成。

我们可以基于Radius和TACACS协议实现同CiscoACS服务器的配合，本实例中使用的华为设备为S6506R版本VRP3.103030SP2CiscoACSServer版本为3.3

配置主要过程为：

在NetworkConfiguration中添加AAAClient参数——在InterfaceConfiguration配置认证属性的参数——在GroupSetup中为不同的组选择不同的权限等级——在UserSetup中将创建用户名，并归类到不同的Group中——配置交换机的AAA认证参数

2.4.1向CiscoACS添加华为设备扩展文件

向ACS中添加华为扩展属性（ACS添加扩展属性后可以对认证用户权限级别进行控制），同添加NetScreen设备字典文件一样配置方式。

（1）创建myvsa.ini文件。

内容如下：

[UserDefinedVendor]

Name=Huawei

IETFCode=2011

VSA29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=INOUT

Enums=Encryption-Types

[Encryption-Types]

0=0

1=1

2=2

3=3

（2）将文件myvsa.ini保存在\ProgramFiles\CiscoSecureACSv3.3\Utils文件夹里。

（3）通过命令行提示符方式，使用DOS命令进入该文件夹

CD\ProgramFiles\CiscoSecureACSv3.3\Utils

（4）通过如下命令，将myvsa.ini文件导入ACS（如图1）。

CSUtil.exe-addUDV0myvsa.ini

图1

（5）建议在将myvsa.ini导入到ACS前，使用CSUtil.exe-listUDV命令，查看Slot0是否已经被占用（如图2）。

如果显示UDV0已经被其他厂家的设备占用，请将CSUtil.exe-addUDV0d:

\myvsa.ini命令中的参数“0”改为其他没有被占用的数值。

图2

（6）如果使用CSUtil.exe-listUDV命令，能看到“Radius（Huawei）”属性，则说明已经将华为扩展属性成功导入ACS。

2.4.2配置ACS

（1）配置AAAClient：

在NetworkConfiguration中新建一个AAAClient（或使用原有的）（如图3、图4）。

图3

图4

各参数说明如下：

AAAClientHostname：

AAA客户端设备名。

比如HWS6506R。

AAAClientIPAddress：

AAA客户端设备的IP地址。

该地址必须与设备送到ACS上的认证报文所带的源IP地址相同。

比如192.168.0.2。

Key：

Radius客户端与服务器端的加密密钥。

只有在密钥一致的情况下，双方才能彼此接受对方发来的报文，并作出响应。

AuthenticateUsing：

认证方式。

此处选择新添加的Radius（Huawei）属性。

配置完成后，点击“Sumbit＋Restart”按钮，使配置生效。

（2）配置Interface

在InterfaceConfiguration界面，选中新添加的华为扩展属性，使其出现在Group（组）编辑界面（如图5、图6）

图5

图6

（3）配置Group

在GroupSetup中的Radius（IETF）栏，选择服务类型为Login，Login-Service为Telnet；同时，在Radius（Huawei）栏，为该Group选择相应的华为设备操作权限，有0－3级四种（如图7、图8）。

图7

图8

（4）添加User

在UserSetup中新建用户名，并设置密码，然后将其归类到不同的Group中，从而使其在Telnet到华为设备上，拥有对应的操作权限（如图9、图10）。

图9

图10

用户要求ACS的3A认证可用时，本地认证不能够使用，只有ACS失效时，才能启用本地认证通过在SYSTEM域下配置相关参数并配置“schemeradius-scheme（hwtacas－scheme）icbcxjlocal”屏蔽system默认配置，可以实现客户要求。

2.4.3S3552P的Radius配置

sysnameQuidway

superpasswordlevel3simpletjfh

#

radiusschemesystem

server-typehuawei

primaryauthentication127.0.0.11645

primaryaccounting127.0.0.11646

user-name-formatwithout-domain

radiusschemehwra-2

primaryauthentication11.156.198.2001812

secondaryauthentication127.0.0.11812

keyauthenticationcisco

keyaccountingcisco

user-name-formatwithout-domain

nas-ip11.156.198.254

domainsystem

radius-schemehwra-2

access-limitdisable

stateactive

vlan-assignment-modeinteger

idle-cutdisable

self-service-urldisable

messengertimedisable

domaindefaultenablesystem

#

local-servernas-ip127.0.0.1keycisco

local-userlocaladmin

passwordsimpleicbctj

service-typetelnetlevel1

user-interfacevty04

authentication-modescheme

2.4.4TACACS方式下配置CISCOACS

（1）配置AAAClient

在NetworkConfiguration中新建一个AAAClient（或使用原有的），AAAClient的IP地址，密码一定要配置正确，同时认证类型选择TACACS＋。

（2）配置或检查一下AAAserver的配置

一般情况下AAAserver用户已经配好，不需要我们配置，按照下图所示检查用户的配置没什么问题就行，AAAserver的类型选择成CiscoSecureACS 和TACACS+都可以。

（3）配置InterfaceConfiguration

选择InterfaceCon