1、详解 Cisco ACS AAA 认证上传时间:2009-05-27 | 作者:姜瑞荣 | 来源: 新华 3+网络学院 | 点击: 9565近来,有些同学会问到关于 AAA 认证的问题,以及 cisco ACS 如何使用,那么今天我们就主要来讲一下关于这方面的知识。AAA 代表 Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。1、 认证:验证用户是否可以获得访问权限“你是谁?”2、 授权:授权用户可以使用哪些资源“你能干什么?”3
2、、 记帐:记录用户使用网络资源的情况“你干了些什么?”好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解:为网络提供 AAA 服务的,主要有 TACACS+和 RADIUS 协议,我们主要介绍是 TACACS+协议,因为它运行在 TCP 协议基础之上,更适合大型网络,特别是融合型网络一、 实验拓扑介绍该实验主要完成 R1 路由通过 ACS 服务器实现 AAA 认证,包括验证、授权和记帐,同时还包括 PPP 验证和计时通过 cisco ACS 实验二、 安装 cisco ACS1、 硬软件要求硬件:Pentium IV 处理器, 1.8 GHz 或者更高 操作系统:Windows
3、2000 Server Windows 2000 Advanced Server (Service Pack 4) Windows Server 2003, Enterprise Edition or Standard Edition (Service Pack 1) 内存:最小 1GB 虚拟内存:最小 1GB 硬盘空间:最小 1GB 可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。 浏览器:Microsoft Internet Explorer 6 或者更高版本 JAVA 运行环境: Sun JRE 1.4.2_04 或更高版本 网络要求: 在 CISCO IOS 设备上为了全面
4、的支持 TACACS+ 和 RADIUS,AAA 客户端必须运行 Cisco IOS 11.1 或者更高的版本。 非 CISCO IOS 设备上必须用 TACACS+,RADIUS 或者两者一起配置。 运行 ACS 的主机必须能 ping 通所有的 AAA 客户端。2、 安装方法(我们用的版本是 4.0 版本)打开 ACS 安装程序文件夹,选中 setup 双击。进入安装向导,根据提示进行安装,基本为默认设置3、 安装完成后的访问在运行 ACS 的主机上,通过桌面上的 ACS Admin 网页图标,可以访问 ACS 的 web 格式的管理台。也可以通过网页浏览器输入地址:http:/127.0
5、.0.1:2002 来访问 ACS。注: Windows Xp 不支持 cisco ACS,在此笔者是在虚机中的 windows2003sever 下安装的 ACS 安装完成后,一定要安装 JAVA 平台,否则该 ACS 将不能正常使用,笔者在此安装的是 jre-6u12-windows-i586-p-s.exe,版本为 JRE 版本 1.6.0_12 Java HotSpot(TM)三、 ACS 的配置1、 设置 ACS 管理员帐号Step 1点击 ACS 界面左边的 Administration control 按钮 ,然后点击 Administrator control 界面中的 Add
6、 AdministratorStep 2点击 Add administrator 后出现此账户的诸多选项,逐一填写后点击 SubmitStep3设置了管理员后就可以通过 web 界面登录到 ACS 服务器对 ACS 进行配置如:http:/10.10.10.110:20022、 ACS 网络设置(添加 Tacacs+客户端Step1点击 ACS 界面的 Network Configuration 按钮 ,出现网络配置界面,然后点击 Add Entry,Step2添加 Tacacs+客户端(ACS 中必须指定 Tacacs+客户端的名字、 IP 地址、key)3、 Tacacs+设置Step1点
7、击 ACS 界面左边 Interface configuration 按钮 ,选择 TACACS+ (Cisco IOS)Step2根据个人具体应用,在 Tacacs+相关项目中打勾(如果没有将 tacacs+相关项目选中,则在用户组/用户属性中将不会出现 tacacs+相关项目)详解 Cisco ACS AAA 认证上传时间:2009-05-27 | 作者:姜瑞荣 | 来源: 新华 3+网络学院 | 点击: 95664、 设备端 tacacs+服务器的指定 在 cisco 设备端用以下命令指定 ACS tacacs+服务器 R1(config)# tacacs-server host 10.
8、10.10.110 R1(config)# tacacs-server directed-request R1(config)# tacacs-server key xinhua5、 添加用户组Step1在 ACS 界面左边点击 Group SetupStep2在下拉列表中选取某个组,给这个组重命名,接着选择 Edit setting 进入组的属性配置Step3在组的 enable option 中的 Max privilege for any AAA Client 设置组的级别6、 添加用户Step1在 ACS 界面的左边点击 user setup 按钮Step2在 user 方框中填写用户
9、名,然后点击 ADD/EditStep3在出现的用户属性中逐一填写Step4选择用户属于哪个用户组Step5选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)Step6设置用户的 enable 密码好的,到这里基本配置就算是配完了,接下来我们来演示一下 AAA 功能的实现四、 ACS 功能设置1、 ACS 认证a) 在设备端定义 tacacs+服务器地址以及 key R1(config)# tacacs-server host 10.10.10.110 R1(config)# tacacs-server directed-request R1(config)# tacac
10、s-server key xinhuab) 在 ACS 端定义设备的 IP 地址(参考 ACS 基本配置)c) 在 ACS 上面建立用户名和用户组d) 在设备端配置 AAA 认证R1(config)# enable secret 123 定义 enable 密码R1(config)# username abc password 456 定义本地数据库R1(config)# aaa new-model 启用 AAA 认证R1(config)# aaa authentication login default group tacacs+ local 设置登陆验证默认为采用先ACS 服务器再本地验证
11、(当 ACS 服务器不可达才用本地数据库验证)R1(config)# aaa authentication enable default group tacacs+ enable 设置 enable 进入特权模式默认为采用先 ACS 服务器再本地 enable 设置的密码R1(config)# line vty 0 4 R1(config)# login authentication default 设置 telnet 登陆采用前面定义的 defaulte) 验证 telnet 登陆:telnet 10.10.10.100,输入 ACS 服务器的用户名和密码,登陆成功,用本地数据库用户名和密码
12、登陆失败(因为根据前面设置,R1 首先会去 ACS 服务器进行验证,当 ACS 服务器不可达时,才会用本地数据库验证)我们可以试着断开 ACS 与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为 abc 密码为 456 enable 进入特权测试此时输入特权模式密码为 ACS 服务器上的密码,而非本地路由的 enable 密码2、 ACS 授权ACS 中可以通过设置用户组 /用户的级别 privilege 来实现不同用户登录设备后可用的命令的不同,也可以通过使用 ACS 的命令授权来实现不同用户登录设备的可用命令条目,以下介绍 ACS 的命令授权Step1在 ACS 的界
13、面左边的 share profile components 按钮Step2点击 shell command authorization sets您当前的位置:首页 技术文章 网络设备与计算机硬件详解 Cisco ACS AAA 认证上传时间:2009-05-27 | 作者:姜瑞荣 | 来源: 新华 3+网络学院 | 点击: 9567Step3点击 Add 添加命令集 页面下方有两个方框,左边填写命令的前缀,右边填写命令的后缀,命令后缀填写的语法格式是:permit/deny *,如本例当中只允许使用 show version 命令Step4将命令集运用到用户组或者用户,在用户组属性当中进行设置
14、,如下图,然后点击submit+restartStep6设备端配置R1(config)# aaa new-model R1(config)# aaa authorization commands 1 default group tacacs+ local 指定级别 1 能够使用的 EXEC 命令R1(config)# aaa authorization commands 15 default group tacacs+ local 指定级别 15 能够使用的 EXEC 命令R1(config)# line vty 0 4 R1(config)# authorization commands 1
15、 default 应用到 telnet 登陆进程R1(config)# authorization commands 15 defaultStep7测试由于根据前面授权设置,在特权 15 级别下只能使用 show version 命令,故其它命令均不能使用另外,我们也可以在用户组属性中设置该组能够使用特权的最高级别,如下图:3、 ACS 审计Step1设备端配置 R1(config)# aaa new-model R1(config)# aaa accounting exec default start-stop group tacacs+ R1(config)# lin vty 0 4 R1
16、(config)# accounting exec defaultStep2点击 ACS 界面左边的 reports and activity 按钮,然后选择 TACACS+ Accounting 可以具体浏览某一天的记录Step3如果要记录用户所用的命令,设备端配置为: R1(config)# aaa new-model R1(config)# aaa accounting commands 0 default start-stop group tacacs+ R1(config)# aaa accounting commands 1 default start-stop group tac
17、acs+ R1(config)# aaa accounting commands 15 default start-stop group tacacs+ R1(config)# line vty 0 4 R1(config)# accounting commands 0 default R1(config)# accounting commands 1 default R1(config)# accounting commands 15 default Step4然后点击 report and activity 中的 TACACS+ Administration,可以浏览某天某用户的所有命令4
18、、 ppp 验证与计时Step1验证设备端配置R1:R1(config)# aaa authentication ppp jxxh group tacacs+R1(config)# int s0/0R1(config-if)# encapsulation pppR1(config-if)# ppp authentication pap jxxhR1(config-if)# ppp pap sent-username r1 password 123R2:R2(config)#username r1 password 123R2(config)# int s1R2(config-if)# enca
19、psulation pppR2(config-if)# ppp authentication papR2(config-if)# ppp pap sent-username test password test在本例 PPP 验证中,R1 采用的是 ACS 服务器验证,R2 依然采用的是本地数据库验证Step2计时设备端配置R1(config)# aaa accounting network jxppp start-stop group tacacs+R1(config)# int s0/0R1(config-if)# ppp accounting jxppp配完后,点击 ACS 界面左边的 reports and activity 按钮,然后选择 TACACS+ Accounting 可以查看ppp 连接时间和断开时间好的,关于 cisco acs AAA 认证就讲到这里。
