华诚人寿ACS5.3管理手册

ACS5 3 管理员手册 1 网络部署网络部署 1 1 部署位置部署位置 1 2 部署方式部署方式 1 2 1 现有部署方式现有部署方式 华诚人寿保险公司 ACS 的部署方式为主备方式 主服务器提供认证 授权和审计所有 AAA 服务 备份服务器不提供 AAA 服务 只有主服务器不能提供服务时 备份服务器才 会接替主服务器 提供 AAA 服务 在所有 client 需要配置两个 AAA server 1 2 2 与第三方集成部署方式与第三方集成部署方式 详见 ACS 与第三方集成章节 1 3 管理地址管理地址 名称服务状态IP 地址管理端口备注 ACS 1 主用 10 1 30 1443Primary ACS 2 备用 10 1 30 2443Standby 2 软件安装软件安装 2 1 安装需求安装需求 ACS5 3 软件安装对服务器硬件要求 CONFIGHDDRAMNIC IBM 11212 x 250 GB4GB4X 10 100 1000 RJ 45 CAM25 1 2 42 x 250 GB4 x 1GB2 x 1GE VMWare ESX 3 5 or 4 0 500GB4GB2 NICs VMWare Server 2 060GB4GB1 or 2 virtual NICS 2 2 安装步骤安装步骤 第一步 将安装光盘放入服务器 进入启动页面后 选择 1 安装 ACS5 3 如下图 第二步 等到出现如下界面 输入 setup 如下图 第三步 至如下界面依次输入主机名 ip 地址 用户名及密码 这个用户名密码是服务器 登陆的用户名密码 不是 ACSweb 界面的用户名密码 至此 ACS5 3 安装完成 2 3 安装安装 License 在浏览器上输入 https IP 地址 进入 ACSweb 界面 选择 license 文件 如下图 导入 license 文件后 即可正常配置 ACS 初始用户名是 acsadmin 密码是 default 3 系统管理系统管理 3 1 管理员创建管理员创建 3 1 1 服务器管理员创建服务器管理员创建 ACS5 3 底层是以 Linux 为基础 集成了 ACS 软件 配置服务器管理员时就如同在 cisco 路 由器上配置用户名密码一样 在配置模式下输入 username xxx password xxx 命令 即可创 建服务器管理员 如下图 3 1 2 WEB 登录管理员创建登录管理员创建 在浏览器中输入 ACS 服务器地址 https ip 地址 进入 ACSweb 界面 点击 system administration 进行帐号创建 第一步 点击 Administrators 下的 Accounts 进入帐号创建界面 点击 create 新建一个帐号 如下图 第二步 进入帐号创建界面后 输入要创建的管理员和密码 选择用户的角色 点击 submit 完成管理员的创建 如下图 3 2 双机同步双机同步 华诚目前 ACS 的部署方式为主备模式 主服务器提供认证 授权和审计所有 AAA 服务 备份服务器不提供 AAA 服务 只有主服务器不能提供服务时 备份服务器才会接替主服 务器 提供 AAA 服务 配置如下 在备份服务器上点击 system administration 下的 deployment operations 输入主服务器的 IP 地址 用户名密码 点击 register to primary 完成双机 如下图 双机配置完成后 在主服务器上能看到备份服务器的地址 状态 版本等信息 如下图 3 3 证书添加证书添加 ACS 添加证书需要添加两个证书 一个根证书 一个实例证书 添加时需要先添加根证书 再添加实例证书 3 3 1 根证书添加根证书添加 首先在 CA 服务器上下载一个根证书 通过 users and identity stores 下的 certificate authorties 添加一个根证书 点击 create 输入根证书所在路径 点击 submit 完成根证书 添加 如下图 3 3 2 实例证书添加实例证书添加 添加完根证书后 就可以安装实例证书 首先在 ACS 服务器上生成一段请求代码 我们利 用这段请求代码去 CA 服务器上申请证书 选择 system administration 下的 local certificates 点击 add 选中 如下图 点击 next 输入 CN CHD Key Length 选择 2048 Digest to sign with 选择默认 SHA1 即可 点击 finish 完成代码请求 如下图 点击 outstanding signing requests 选中刚才生产的代码 点击 export 将刚才生成的代码导 出到本地 如下图 将导出的代码复制到 CA 服务器上 申请证书 选择 system administration 下的 local certificates 点击 add 选中 点击 next 如下图 输入所申请证书的所在路径 点击 finish 完成实例证书添加 如下图 3 4 AAA CLIENT TACACS 添加 添加 选择 network resources 下的 Network devices and AAA clients 点击 create 新建一个 AAA client 如下图所示 Name 输入设备名 IP 地址需要输入设备 nas 地址 选择 TACACS 输入 shared secret 点击 submit 完成 AAA Client 添加 如下图所示 3 5 AAA CLIENT RADIUS 添加 添加 选择 network resources 下的 Network devices and AAA clients 点击 create 新建一个 AAA client 如下图所示 Name 输入设备名 IP 地址需要输入设备 nas 地址 选择 RADIUS 输入 shared secret 点 击 submit 完成 AAA Client 添加 如下图所示 3 6 DOT1X 第一步 选择 policy elements 下的 authorization profiles 点击 create 新建一个授权文件 如下图所示 第二步 输入一个授权文件名字 点击 radius attributes 如下图所示 第三步 配置 dot1x 属性 选择下面的 radius 属性 如下图所示 第三步 新建一个访问服务 选择 CHAPv2 配置访问服务 授权文件选择刚才新建的 dot1x 授权文件 点击 submit 完成 dot1x 配置 如下图所示 3 7 动态动态 VLAN 下发下发 动态 VLAN 下发可以为每个用户赋予一个单独的 VLAN 权限 当用户使用 802 1X 登陆时 ACS 会自动赋予这个用户一个相应的 VLAN 配置如下图所示 Dot1x 的配置请参照上面 dot1x 配置 这里只需要配置一个授权文件 在访问策略那里调用 即可 如下图所示 3 8 第三方设备第三方设备 ACL 下发下发 通过在 IETF RADIUS Attriutes 中的 Filter Id 中输入在第三方设备中建立的 ACL 的号 建 立一个授权文件 在访问策略那里调用即可 如下图所示 4 ACS 与第三方集成与第三方集成 4 1 ACS 与与 LDAP 集成集成 ACS 支持外部数据库映射 将外部数据库的用户集成到 ACS 上 目前华诚 ACS 数据库的 部署 公司有线用户使用 ACS 内部数据库 公司将来无线用户可能使用外部数据库 LDAP 映射过来的账户 4 1 1 ACS 与与 LDAP 部署结构部署结构 ACS Server 1 2 3 LDAP 4 1 2 ACS 与与 LDAP 配置配置 第一步 点击 users and identity stores 下的 LDAP 进入 LDAP 映射界面 点击 create 创建 一个 LDAP 映射 如下图 第二步 在 LDAP 映射界面输入映射名字 点击 server connection 输入 hostname port admin DN password 等相关参数 点击 test bind to server 进行连接测试 如下图 第三步 点击 directory organization 配置以下 LDAP 参数 输入相关参数后点击 submit 完成 LDAP 数据库映射 如下图 LDAP 映射需要输入的参数 Subject objectclass Group objectclass Subject name attribute Group map attribute Subject search base Group search base 4 2 ACS 与与 AD 集成集成 4 2 1 ACS 与与 AD 部署结构部署结构 ACS Server 1 2 3 AD 4 2 2 ACS 与与 AD 配置配置 ACS 支持微软的 AD 数据库映射 目前华诚部署有这种数据库映射 以下配置是测试配置 具体配置需要在现网环境中去做调试 第一步 点击 users and identity stores 下的 Active Directory 进入 AD 映射界面 如下图 第二步 在 AD 映射界面 输入域名 域控制器用户名及密码 点击 submit 完成 AD 映 射 如果映射不成功 检查 ACS 和 AD 时间是否同步 时间如果不一致 会导致 ACS 和 AD 映射不成功 如下图 5 用户管理用户管理 5 1 创建用户创建用户 选择 users and identity stores 下的 users 点击 create 创建一个用户 如下图 在用户界面输入用户名密码 选择用户所在的组 点击 submit 完成用户创建 如下图所 示 5 2 注销用户注销用户 注销用户时 选择 users and identity stores 下的 users 选中要注销的用户 点击 edit 在 status 那选择 disabled 点击 submit 完成用户注销 如下图所示 5 3 用户更改登录密码用户更改登录密码 修改用户登录密码时 选择 users and identity stores 下的 users 选中要修改密码的用户 点 击 change password 输入新的 password 点击 submit 完成密码修改 如下图所示 6 有线访问策略配置有线访问策略配置 6 1 配置访问服务配置访问服务 选择 access policies 下的 access services 点击 create 创建一个访问服务 如下图所示 进入访问服务配置界面 输入服务名 选择 service type 点击 next 如下图所示 选择允许的协议 点击 finish 完成访问服务创建 如下图所示 6 2 配置访问策略配置访问策略 配置访问策略之前首先要调用刚才创建的访问服务 这样才能激活服务 否则刚创建的服 务是 disabled 的 选择 service selection rules 点击 create 创建一个 rule 如下图所示 进入 rule 以后 在 results 选择刚创建的访问服务 激活访问服务 如下图所示 选择 access policies 下的 identity 身份源选择 internal users 点击 save changes 如下图所 示 配置完身份源之后 选择 authorization 点击 create 新建一天访问规则 如下图所示 进入规则配置界面后 选择匹配规则 这里有很多匹配条件 大家可以自己组合 最后选 择 authorization profiles 点击 ok 完成访问策略配置 如下图所示 7 ACS 配置备份与恢复配置备份与恢复 选择 monitoring and reports 下的