ACS5中文配置手册详解.doc

ACS 5.1配置步骤详解2010年3月26日Ma Min1、 ACS登录方式ACS可以通过GUI和CLI两种方式登录，以下介绍均采用GUI方式通过IE浏览器键入https:/acs ip address ACS登录方式 1/2、 配置网络资源需要预先规划好网络设备组NDG的分配方式，比如按照设备所处位置Location和设备所属类型Device Type规划，这个在将来认证和授权时会用到。网络资源组网络设备组NDG下配置位置Location例子网络资源组网络设备组NDG下配置设备类型Device Type例子配置需要实施认证的设备，包括NCM服务器本身。网络资源组网络设备组NDG下配置网络设备和AAA客户端Network Devices and AAA Clients例子以配置设备6509为例，将此设备分配到”北京”站点和”思科”设备组，指定IP地址，选择TACACS+协议，配置TACACS+ KEY，选择single connect device 将所有的TACACS+协议交互信息在单一TCP连接中传输。以配置北电设备为例，选择RADIUS协议。3、配置用户和用户组配置身份组别例子，建立办公网运维管理、生产网运维管理、生产网配置监控三个组别创建用户名，密码，分配用户到某个组别中。4、配置策略元素配置授权和许可策略，其中设备管理包括shell profiles和Command Sets对于客户端接入包括网络接入（Authorization Profiles）和命名的许可对象(Downloadable ACLs）以下是定义一个下载ACL的例子配置ACL-CISCO的例子配置时间段策略元素，可以控制某个时间对设备的访问权限。创建一个full time 的例子在网络控制条件Network Conditions中定义设备过滤策略元素定义了两个过滤策略元素的例子，一个是基于LOCATION，一个是基于IP地址。基于LOCATION的设备过滤元素，定义限制为北京的过滤条件定义基于IP地址的过滤策略元素定义授权Authorization Profile和许可，在这里调用预先配置的ACL下载的策略元素。PermitAccess是缺省的不可修改的配置元素。在公共任务中选择需要授权的行为，这里调用预先配置好的Download ACL策略。在设备授权操作中配制shell profiles,其中permitaccess是缺省的，我们又定义了授权级别为15级（完全控制）、10级（部分限制操作）、5级（只读操作）的操作。定义授权级别为15级的操作例子。在设备授权操作中配置可执行的命令集控制，分别创建15级别、10级别、5级别的授权命令集，其中Denyallcommands是缺省的配置。以下是思科15级授权的为例配置可执行的命令集。以下是思科10级授权为例配置可执行的命令集。以下是思科5级授权为例配置可执行的命令集。5、配置接入访问策略缺省情况下存在设备管理和网络接入控制两个预先配置，通常使用设备管理。凡是在服务选择规则中被调用的接入访问策略会显示绿色。如下图所示。配置的最后一步是配置服务选择规则。下图中创建了规则3，同时disable其它的规则，并且选择定制方式。将前面定义的位置、设备、访问时间以及协议方式做为认证过滤规则。如果认证成功，则可以看到Hit Count数量增加，如果没有任何rule匹配，则系统使用缺省的rule，缺省行为是拒绝任何认证操作。如果认证成功后，选择Monitor选项，ACS自动调用ACS View选项。点击Authentications - TACACS Today记录会看到详细的认证记录过程，并可以输出报告。授权操作在缺省设备管理的访问策略中配置授权操作，创建授权规则并选择定制化。选择最多8个授权限制条件和定制化结果进入定制化的配置细节，根据前面定义的策略根据需要选择授权认证方式。通过上述选择，我们先前定义的两个用户michael和thomas分别授予了不同权限虽然michael和thomas都可以登录所属生产网的设备c6509，但是由于授权不同，具备生产网分组的michael最终拥有对设备的操作权限，而具备办公网权限的用户thomas无法在c6509上执行任何命令。在ACS View上选择TACACS_Accounting 和 TACACS_Authorization 可以看到所有操作命令。我们在EMC VC上添加michael和thomas用户。系统提示无法登录，原因是EMC VC在ACS上的网络设备的AAA客户端配置没有匹配规则。解决方案有两种，一种是添加新的规则，一种是将EMC VC的服务器添加到和c6509相同的网络设备的AAA客户端中。现在用户michael可以登录EMC VC。在EMC VC上创建michael和thomas账户，添加到某个组中，并赋予VC本地管理NCM权限。用michael帐户登录VC后，选择