1、1、ACS 配置ACS 的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下:按照如图 1-1 所示的方法打开用户添加界面图 1-1用户添加界面打开后如图 1-2 所示,里面的内容比较复杂,对我们来说最重要的部分是用户名、密码以及用户组,添加用户界面中的项目作用如图 1-3:图中标“1”的部分:用户名字段,登录的时候这个就是 Username图中标“2”的部分:用户组,之前我们说过 ACS 的策略权限等的定义都是基于用户组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里图中标“3”的部分:登录密码,登
2、录的时候这个就是 password图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码(思科的设备经测试有效)图中标“5”的部分:使能密码,也就是我们常说的 enable 密码,这个密码如果需要使用则需要在设备上开启 enable 使用 AAA 服务器做认证(暂未测试)图 1-2图 1-3配置完毕后点击 Submit 按钮,就可以直接使用这个账号登录所有以这台服务器作为 AAA 认证服务器并开启了 vty 线程 AAA 认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。2、网络设备的配置不同的网络设备配置命令
3、是不一样的,具体的配置需要参考相关设备的配置手册,由于 ACS 本来就是 Cisco 的东西,所以 Cisco 的设备相对来说兼容性是最好的。2.1、Cisco 设备的配置/AAA 服务配置aaa new-model /定义新的 AAA 实例aaa authentication login MAGI group tacacs+ local-case /命名一个名为 MAGI 的登录认证规则,且如果 tacacs+服务不可达,则自动使用本地数据库信息认证aaa authorization exec MAGI group tacacs+ local /命名一个名为MAGI 的特权授权规则,且如果T
4、acacs+服务不可达,则自动使用本地数据库信息授权tacacs-server host 192.168.255.2 key TacacsKey /定义 Tacacs+服务器的 IP 地址以及 Key/线程下调用名为 MAGI 的登录认证规则和特权授权规则line vty 0 4authorization exec MAGIlogin authentication MAGI2.2、华为 9300 系列交换机的配置hwtacacs-server template MAGI /定义一个 hwtacacs 服务模板hwtacacs-server authentication 192.168.255.
5、2 /定义 hwtatacs 认证服务器地址hwtacacs-server authorization 192.168.255.2 /定义 hwtatacs 授权服务器地址hwtacacs-server shared-key TacacsKey /定义与共享 keyundo hwtacacs-server user-name domain-included /关闭“包括域名”规则,如果不关闭,那么用户名需要以“用户名域名”的形式出现/AAA 服务的配置aaa /进入 AAA 配置模式authentication-scheme MAGIauthentication-mode hwtacacs l
6、ocal /定义认证实例以及认证方式,同时做本地保护,防止 tacacs 服务不可达的时候无法登录设备authorization-scheme MAGIauthorization-mode hwtacacs local /定义授权实例以及授权方式,同时做本地保护,防止 tacacs 服务不可达的时候无法登录设备/认证域的配置domain default_adminauthentication-scheme MAGI /定义认证使用名为 MAGI 的认证实例authorization-scheme MAGI /定义授权使用名为 MAGI 的授权实例hwtacacs-server MAGI /定义
7、 hwtacacs 服务使用名为 MAGI 的模板/线程下启用 AAA 模式认证user-interface vty 0 4authentication-mode aaa3.3、华为 S3000 系列交换机的配置/定义名为 MAGI 的 Radius 实例radius scheme MAGIprimary authentication 192.168.255.2 1812 /定义主认证服务器 IP 地址和端口key authentication RadiusKey /定义 Radius 预共享密钥user-name-format without-domain /定义用户名不包括域名,如果不输入
8、这条命令用户名要表现为“用户名域名”的形式/定义域名,并作号域名和 Radius 实例的映射关系domain AAAradius-scheme MAGI/线程下启用 AAA 模式认证user-interface vty 0 4authentication-mode scheme3.4、中兴 ZXR 系列交换机的配置config nas /进入 NAS 配置模式radius nasname MAGI /定义名为 MAGI 的 radius 实例radius isp MAGI enable /启用这个实例radius isp MAGI defaultisp enable /radius isp MAGI sharedsecret RadiusKey /定义预共享密钥radius isp MAGI add authentication 192.168.255.2 1812 /定义 Radius 服务器地址和端口exitset login radius /选择使用 Radius 服务认证
