1、使用 ACS 配置 TACACS+TACACS+ Client192.168.10.10/24ACS4.0TACACS+ Server192.168.10.200/24注意:1、需要安装在Server 版本上,最好是在域的环境下2、需要安装JAVA虚拟机根据上面的拓扑设置网络环境,并安装ACS4.0一、设置ACS 管理员帐号1、点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator。2、点击 Add administrator 后出现此账户的诸多选项,逐一填写后点击 Submit。3
2、、设置了管理员后就可以通过 web 界面登录到 ACS 服务器对 ACS 进行配置。二、ACS 网络设置(添加 Tacacs+ 客户端)1、点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry。2、设添加 Tacacs+客户端,添加客户端名称和 IP 地址及 KEY(ACS 中必须指定Tacacs+客户端的 IP 地址) ,选择认证方式。Tacacs+设置3、点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)。4、根据个人具体应用,在 Tacacs+相关项目中打勾(如果没
3、有将 tacacs+相关项目选中,则在用户组/用户属性中将不会出现 tacacs+相关项目)。三、添加用户组1、在 ACS 界面左边点击 Group Setup在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置在组的 enable option 中的 Max privilege for any AAA Client 设置组的级别四、添加用户1、在 ACS 界面的左边点击 user setup 按钮在user方框中填写用户名,然后点击ADD/Edit 2、在出现的用户属性中逐一填写,选择用户属于哪个用户组,选择用户属于的级别(可以定义单个用户级别,也可以和所
4、属的用户组级别一样) 。设置用户的 enable 密码。五、ACS 授权(authorization)ACS 中可以通过设置用户组/用户的级别 privilege 来实现不同用户登录设备后可用的命令的不同,也可以通过使用 ACS 的命令授权来实现不同用户登录设备的可用命令条目,以下介绍 ACS 的命令授权。1、在 ACS 的界面左边的按钮点击 shell command authorization sets2、点击Add 添加命令集 页面下方有两个方框,左边填写命令的前缀,右边填写命令的后缀,命令后缀填写的语法格式是:permit/deny *3、将命令集运用到用户组或者用户 点击用户组属性的
5、 tacacs+ setting 项目给用户组/用户的属性 commands15 中选择用户组/用户的级别,然后点击submit+restart六、ACS 审计(accounting)点击 ACS 界面左边的按钮 ,然后选择 TACACS+ Accounting,七、客户端的配置aaa new-modelaaa authentication login default group tacacs+aaa authorization commands 15 default group tacacs+ aaa accounting exec default start-stop group tacacs+tacacs-server host 192.168.10.200tacacs-server directed-requesttacacs-server key 123456
