ACS服务器安装维护文档

1、acsacs 服务器维护文档服务器维护文档 2006 年 6 月 目录 第第 1 章章 前言前言.4 第第 2 章章 acs 服服务务器器设备设备.5 安装要求.5 acs 服务器网络连接说明 .5 设备清单.6 第第 3 章章 acs 服服务务器安装器安装.7 安装操作系统.7 配置 windows 2003 server服务器.7 校验 windows服务器和其他网络设备之间的连接.7 在windows2000 server上安装 cisco secure acs for windows.7 通过 web 浏览器运行 cisco secure acs for windows.8 第第 4

2、章章 配置配置 acs 服服务务器器.9 配置 user setup.9 配置 group setup.11 配置 share profile compoents.12 配置 network configuration.13 配置 system configuration.15 配置 interface configuration.16 配置 administration control.17 配置 external user databases.18 查看 reports and activity.19 查看 online doucumentation.20 第第 5 5 章章 校校验验正确

3、安装和操作正确安装和操作.22 第第 6 章章 配置配置 aaa client.23 使用 tacacs+认证基本配置命令和说明(cisco设备)：.23 使用 radius 认证基本配置命令说明(cisco设备)：.24 华为设备的 radius 的配置模板：.25 第第 7 章章 配置配置 acs 数数据据库复库复制制.26 配置 acs-a 成为 primary acs server.26 配置acs-a network configuration.26 配置acs-a的 system configuration.26 配置 acs-b 成为 secondary acs server.2

4、8 配置acs-b network configuration.28 配置acs-b的 system configuration.29 第第 8 章章 配置配置远远程管理程管理 acs 服服务务器器.31 配置 windows 2003 server远程桌面.31 配置 administration control以便能远程管理 acs server.31 第第 9 章章 配置配置 acs 服服务务器器 loging.32 第第 10 章章 配置配置 acs backup.34 第第第第 1 1 1 章章章章 版本更新记录版本更新记录版本更新记录版本更新记录前言前言前言前言 第第第第 2 2

5、2 章章章章 acsacsacs 服务器设备服务器设备服务器设备服务器设备 2.1 2.1 2.1 安装要求安装要求安装要求安装要求 acs 服务器安装要求建议：服务器安装要求建议： x86 硬件要求 cpu：p-iv 以上、ram：1g 以上、硬盘 80g 以上。 安装 windows 2000 server 英文版+sp4+ie6 以上并正常运行。 安装 java platform 并正常运行。 acs 服务器与 aaa client 之间的网络已连接。 cisco ios 版本在或以上。 2.2 2.2 2.2 acsacsacs 服务器网络连接说明服务器网络连接说明服务器网络连接说明服

6、务器网络连接说明 acs 服务器名称及 ip对端设备及 ip数量 primary acs server acs-a ： ip: gz7609： fastethernet1/47 广州 76091 secondary acs server acs-b： ip: ： ethernet3/0/14 广州 ne401 2.3 2.3 2.3 设备清单设备清单设备清单设备清单 设备清单：设备清单： 产品型号描述数量 cisco secure acs for windowscisco1 8840i09 xeon em64t 2m, 800mhz fsb, 2- smp, 2*512mb, hs u320

7、146gb scsi, light path, 2*giga ethernet, 2u, serverraid 7e 800mhz-2mb l2 cache xeon processor 1gb (2x512mb) pc2-3200 ecc ddr2 rdimm kit 10k rpm ultra320 scsi hdd ibm 17纯平显示器 ibm 键盘鼠标 ibm2 产品序列号：产品序列号： 产品型号描述序列号 8840i09 xeon em64t 2m, 800mhz fsb, 2-smp, 2*512mb, hs u320 146gb scsi, light path, 2*giga

8、 ethernet, 2u, serverraid 7e 800mhz-2mb l2 cache xeon processor 1gb (2x512mb) pc2-3200 ecc ddr2 rdimm kit 10k rpm ultra320 scsi hdd ibm 17纯平显示器 ibm 键盘鼠标 99awcyl 99awtbl cisco secure acs for windows无 第第第第 3 3 3 章章章章 acsacsacs 服务器安装服务器安装服务器安装服务器安装 3.1 3.1 3.1 安装操作系统安装操作系统安装操作系统安装操作系统 步骤一：安装和配置 windows

9、 2003 英文版 server ,使之能与 cisco secure acs for windows 一同工作。 步骤二：使用 ping 或 telnet，验证 acs 服务器与 aaa client 之间的基 本连接是否正常。 步骤三：在 windows 2003 英文版 server 上安装 cisco secure acs for windows 步骤四：通过 web 浏览器配置 cisco secure acs for windows 步骤五：配置 acs 服务器 aaa 步骤六：校验安装和操作的正确性。 3.2 3.2 3.2 配置配置配置配置 windowswindowswind

10、ows 200320032003 serverserverserver 服务器服务器服务器服务器 将 2 台服务器配置成域控制器： acs-a 是 primary acs server mircrosoft windows 2003 domain controller acs-b 是 secondary acs server mircrosoft windows 2003 domain controller 3.3 校验校验校验校验 windowswindowswindows 服务器和其他网络设备之间的连接服务器和其他网络设备之间的连接服务器和其他网络设备之间的连接服务器和其他网络设备之间的连

11、接 步骤：使用 ping 或 telnet，验证 windows 服务器与其他网络设备之间的 连接基本连是否正常。 3.4 3.4 3.4 3.4 在在在在 windows2000windows2000windows2000windows2000 serverserverserverserver 上安装上安装上安装上安装 ciscociscociscocisco securesecuresecuresecure acsacsacsacs forforforfor windowswindowswindowswindows 步骤一：运行 cisco secure acs for windows 的

12、安装程序开始安装，安 装过程中选择并配置 acs 数据库。如下图： 步骤二：用 web 浏览器为网络设备配置 cisco secure acs for windows 步骤三：为 cisco secure acs for windows 配置网络设备。 3.5 3.5 3.5 3.5 通过通过通过通过 webwebwebweb 浏览器运行浏览器运行浏览器运行浏览器运行 ciscociscociscocisco securesecuresecuresecure acsacsacsacs forforforfor windowswindowswindowswindows cisco secure

13、acs for windows 安装成功后，在 windows2000 server 的 桌面会生成 acs admin 的图标，可以通过基于 web 的 gui 来配置和管理 cisco secure acs for windows，选择该图标，用来加载浏览器。浏览器加载后会出 现 cisco secure acs for windows 的导航条，每个导航条按钮都代表一个特定 的区域或配置功能，主界面如下图： 第第第第 4 4 4 章章章章 配置配置配置配置 acsacsacs 服务器服务器服务器服务器 4.1 4.1 4.1 4.1 配置配置配置配置 useruseruseruser s

14、etupsetupsetupsetup 点击 user setup 按钮，出现如下图所示的界面： 说明： 在 user：输入用户名，按 find 按钮可以查找； 按 list all user 按钮可以列出所有用户； 按 add/edit 按钮，可增加用户，如下图所示： 输入该用户的信息：supplementary user info user setup account disable ciscosecure pap advanced tacacs+ settings tacacs+ enable password 按 submit 完成该用户的添加，按 delete 可以删除该用户。添加完

15、成后，按 list all user 按钮可以列出所有用户，如下图所示： 设置举例：设置举例：任务为建立一个用户名为 cisco 的用户，属于 default 組，级别 15 步骤 1.打开 user setup 如下图： user: add/edit list users beginning with letter/number: 在在 useruser 输入输入 ciscocisco 步骤 2.按 addadd 出现如下图，按图中的要求填入相关的参数：（红色字体是重要 的参数） user: cisco (new user) account disabled supplementarysup

16、plementary useruser infoinfo real name description useruser setupsetup password authentication: ciscosecure database ciscosecure pap (also used for chap/ms-chap/arap, if the separate field is not checked.) password confirm password separate (chap/ms-chap/arap) password confirm password when a token

17、server is used for authentication, supplying a separate chap password for a token card user allows chap authentication. this is especially useful when token caching is enabled. group to which the user is assigned: default group callback use group setting no callback allowed callback using this numbe

18、r dialup client specifies callback number use windows database callback settings client ip address assignment use group settings no ip address assignment assigned by dialup client assign static ip address assigned by aaa client pool advanced settings networknetwork accessaccess restrictionsrestricti

19、ons (nar)(nar) maxmax sessionssessions sessions available to user unlimited 1 use group setting accountaccount disabledisable never disable account if: date exceeds: jan52007 failed attempts exceed: 5 failed attempts since last successful login: 0 reset current failed attempts count on submit advanc

20、edadvanced tacacs+tacacs+ settingssettings tacacs+ enable control: use group level setting no enable privilege max privilege for any aaa client level 0 tacacs+ enable password use ciscosecure pap password use external database password use separate password password confirm password tacacs+ outbound

21、 password (used for sendpass and sendauth clients such as routers) password confirm password tacacs+tacacs+ settingssettings pppppp ipip in access control list out access control list route routing enabled note:note: pppppp lcplcp willwill bebe automaticallyautomatically enabledenabled ifif thisthis

22、 serviceservice isis enabledenabled shellshell (exec)(exec) access control list auto command callback line callback rotary idle time no callback verify enabled no escape enabled no hangup enabled privilege level timeout shellshell commandcommand authorizationauthorization setset none as group assign

23、 a shell command authorization set for any network device per user command authorization unmatched cisco ios commands permit deny command: arguments: unlisted arguments permit deny 重要参数的说明：重要参数的说明： authentication:设置用户密码 to which the user is assigned:用户属于那个组 + enable control:用户属于那个 exec 级别，有 0-15 可选

24、+ enable password：用户的 enable 密码设置，选use ciscosecure pap password 5. tacacs+ settings：选取 shell (exec)和 ppp ip 6. network access restrictions 网络访问限制 7. shell command authorization set：一般选 as group 设置完成后按设置完成后按 submitsubmit 提交，完成用户提交，完成用户 ciscocisco 的添加的添加 4.2 4.2 4.2 4.2 配置配置配置配置 groupgroupgroupgroup s

25、etupsetupsetupsetup 按 group setup 导航条，打开 group setup 界面，如下图所示： 说明： 按 users in group 显示该组的用户 按 rename group 可更改组名 按 edit settings 可以编辑该组，编辑组的设置界面如下图所示： 4.3 4.3 4.3 4.3 配置配置配置配置shareshareshareshare profileprofileprofileprofile compoentscompoentscompoentscompoents 点击 share profile compoents 打开共享配置组件，如下

26、图： 说明： 可以进行：shell command authorization sets pix command authorization sets 的设置 设置举例设置举例：任务是设置一个名为 qq 的 profiles，禁止和允许用户在路由器上 使用 show running-cong 和 configure terminal 步骤 1.打开 shell command authorization set 步骤 2.在 name 输入:qq 步骤 3.在 description 输入描述 步骤 4. 在 unmatched commands 左边输入 show，在右边输入 permit

27、running-config 步骤 5. 在 unmatched commands 左边输入 configure，在右边输入 deny terminal 步骤 6.按 submit 提交完成。 4.4 4.4 4.4 4.4 配置配置配置配置 networknetworknetworknetwork configurationconfigurationconfigurationconfiguration 点击 network configuration 打开网络配置的界面，如下图： 说明：可以进行 aaa clients 和 aaa servers 的添加及 search aaa client

28、s 的添加界面如下： 说明：acs 管理员可根据提示输入：aaa client hostname aaa client ip address 和 key 等信息，按 submit 提交。 aaa servers 的添加界面如下： 说明：acs 管理员可根据提示输入：aaa server hostname aaa server ip address 和 key、aaa server type、traffic type 等信息,按 submit 提交。 4.5 4.5 4.5 4.5 配置配置配置配置 systemsystemsystemsystem configurationconfigurat

29、ionconfigurationconfiguration 作用：启动和停止 cisco secure acs for windows 服务，配置日志记录、控制数 据库复制、控制 rdbms 同步,其设置界面如下图： 说明：system configuration 可让 acs 管理员操作： service control logging date format control local password managment acs backup acs restore acs service managment acs certificate setup global authentica

30、tion setup 4.6 4.6 4.6 4.6 配置配置配置配置interfaceinterfaceinterfaceinterface configurationconfigurationconfigurationconfiguration 作用：配置在记帐日志记录的用户定义字段，配置 radius 和 tacacs+选项， 控制选项在用户借口中的显示。 点击 interface configuration 打开接口配置，界面如下图： 说明：acs 管理员在该界面可以进行下列配置： user data configuration tacacs+ (cisco ios) advanced

31、 options 4.7 4.7 4.7 4.7 配置配置配置配置administrationadministrationadministrationadministration controlcontrolcontrolcontrol 作用：控制网络工作站对 cisco secure acs for windows 的管理，按 administration control 导航按钮打开管理控制，出现如下界面： 说明：acs 管理员进入该界面可以进行 administrator 的增加 acess policy session policy audit policy 的操作 4.8 4.8 4

32、.8 4.8 配置配置配置配置externalexternalexternalexternal useruseruseruser databasesdatabasesdatabasesdatabases 作用：配置未知用户策略、配置未知用户授权特权，配置外部数据库类型。 external user databases 的设置界面如下图： 说明：acs 管理员可以进行下列设置操作 unknown user policy database group mapping database configuration 4.9 4.9 4.9 4.9 查看查看查看查看reportsreportsrepor

33、tsreports andandandand activityactivityactivityactivity 作用：可以查看一些报告类型的列表,界面如下图： 说明：acs 管理员可以进行下列设置或操作 tacacs+ accounting 记帐 tacacs+ administrator 记帐 radius accounting 记帐 voip accounting 记帐 passed authentication failed attempts logged-in users disabled accounts acs backup and restore administrator au

34、dit user password changs acs service monitoring 4.10 4.10 4.10 4.10 查看查看查看查看onlineonlineonlineonline doucumentationdoucumentationdoucumentationdoucumentation 作用：cisco secure acs for windows 的在线帮助文档,界面如下图。acs 系统 管理员可以在线进行帮助文档查阅。 第第第第 5 5 5 5 章章章章 校验正确安装和操作校验正确安装和操作校验正确安装和操作校验正确安装和操作 要校验安装是否正确，首先需要访问服

35、务控制页面，检查 cisco secure acs for windows 的服务是否在运行。可以进行下列操作： 步骤一：在导航条上点 system configuration。 步骤二：点 service contrl,，会显示 cisco secure acs for windows 的服务状态，接着，需要从一台配置成该服务器的设备上进行认 证和授权测试。 步骤三：telnet 连接到服务器。 步骤四：按系统的提示输入用户名和密码 步骤五：基于所使用的用户名，校验是否能够得到所期望的控制级别。 步骤六：如果有问题，再次校验路由器上的配置，然后再检查为该用户 建立的 cisco secure

36、 acs for windows 配置。 第第第第 6 6 6 章章章章 配置配置配置配置 aaaaaaaaa clientclientclient 6.1 6.1 6.1 6.1 使用使用使用使用 tacacs+tacacs+tacacs+tacacs+认证基本配置命令和说明认证基本配置命令和说明认证基本配置命令和说明认证基本配置命令和说明(cisco(cisco(cisco(cisco 设备设备设备设备) ) ) )： aaa new-model 在路由器上启用 aaa aaa authentication login default group tacacs+ local 设置 aaa

37、认证，在登陆时使用缺省列表与 tacacs+服务器比较，当 tacacs+ 服务器不可用时，使用本地用户和密码登陆 aaa authentication login console-in group tacacs+ local 设置 aaa 认证，在登陆时使用 console-in 列表与 tacacs+服务器比较，当 tacacs+服务器不可用时，使用本地用户和密码登陆 aaa authorization commands 4 default group tacacs+ local 路由器用 tacacs 服务器来校验每一个权限高于 4 的命令当 tacacs+服务器 不可用时，使用本地校验

38、 aaa authorization exec default tacacs+ local 该命令告诉路由器使用 tacacs 服务器检验用户权限，如果 tacacs 服务器报 错则用路由器本地设置检验用户权限。 aaa accounting system default wait-start group tacacs+ 使用 wait-start 方法审计系统事件 aaa accounting exec default start-stop group tacacs+ 当 exec 过程开始时发送一个开始记录通知，当 exec 过程结束时发送一个 停止记录通知 aaa accounting

39、commands 15 default wait-start group tacacs+ 在任何级别 15 的命令开始之前发送一个开始记录通知，并等待确认，当命 令停止时，发送一个停止记录。 aaa accounting commands 1 default wait-start group tacacs+ 在任何级别 1 的命令开始之前发送一个开始记录通知，并等待确认，当命 令停止时，发送一个停止记录。 aaa accounting network default stop-only group tacacs+ 当网络服务中断时，发送停止记录通知 tacacs-server host key

40、 cisco 指定 tacacs-server 的地址和 key ip tacacs source-interface loopback0 username admin password dfd3434324# 建立本地用户和密码 debug aaa authentication 显示有关认证功能的调试信息 debug aaa authorization 显示有关授权功能的调试信息 debug aaa accounting 显示有关记帐功能的调试信息 6.2 6.2 6.2 6.2 使用使用使用使用 radiusradiusradiusradius 认证基本配置命令说明认证基本配置命令说明认证

41、基本配置命令说明认证基本配置命令说明(cisco(cisco(cisco(cisco 设备设备设备设备) ) ) )： aaa new-model 在路由器上启用 aaa aaa authentication login default group radius local 设置 aaa 认证，在登陆时使用缺省列表与 radius 服务器比较，当 radius 服务器不可用时，使用本地用户和密码登陆 aaa accounting system default wait-start group radius 使用 wait-start 方法审计系统事件 aaa accounting exec d

42、efault start-stop group radius 当 exec 过程开始时发送一个开始记录通知，当 exec 过程结束时发送一个 停止记录通知 aaa accounting network default stop-only group radius 当网络服务中断时，发送停止记录通知 username cisco privilege 15 password 0 cisco 建立本地用户和密码 radius-server host key cisco 指定 radius-server 的地址和 key debug aaa accounting 显示有关认证功能的调试信息 debug

43、 aaa authorization 显示有关授权功能的调试信息 debug aaa authentication 显示有关记帐功能的调试信息 6.3 6.3 6.3 华为设备的华为设备的华为设备的华为设备的 radiusradiusradius 的配置模板：的配置模板：的配置模板：的配置模板： aaa enable aaa authentication-scheme local-first radius server shared-key xxxxx aaa authentication-scheme login default radius local user-interface vty

44、 0 4 authentication-mode scheme default 第第第第 7 7 7 章章章章 配置配置配置配置 acsacsacs 数据库复制数据库复制数据库复制数据库复制 7.1 7.1 7.1 配置配置配置配置 acs-aacs-aacs-a 成为成为成为成为 primaryprimaryprimary acsacsacs serverserverserver 7.1.17.1.17.1.1 配置配置配置配置 acs-aacs-aacs-a networknetworknetwork configurationconfigurationconfiguration 在 ac

45、s-a 的 network configuration 中将 acs-b 添加为 aaa server，详 细的添加方法见节，添加后如下图： 7.1.27.1.27.1.2 配置配置配置配置 acs-aacs-aacs-a 的的的的systemsystemsystemsystem configurationconfigurationconfigurationconfiguration 在 acs-a 的 system configuration 中将配置 database replication。如下图： 在 database replication setup 中 send 钩选下列： us

46、er and group database network configuration device tables distribution table interface configuration interface security settings password validation settings 在 outbound replication 中计划 scheduling，例如每 5 分钟进行一次复制。 在 partners 中将 acs-b 添加为同伴。 在 inbound replication 中选中选 accept replication from 为 acs-b 选择

47、后按提交确定。如下图： 7.2 7.2 7.2 配置配置配置配置 acs-bacs-bacs-b 成为成为成为成为 secondarysecondarysecondary acsacsacs serverserverserver 7.2.17.2.17.2.1 配置配置配置配置 acs-bacs-bacs-b networknetworknetwork configurationconfigurationconfiguration 在 acs-b 的 network configuration 中将 acs-a 添加为 aaa server，详细的 添加方法见节，添加后如下图： 7.2.27.

48、2.27.2.2 配置配置配置配置 acs-bacs-bacs-b 的的的的systemsystemsystemsystem configurationconfigurationconfigurationconfiguration 在 acs-b 的 system configuration 中将配置 database replication。如下图： 在 database replication setup 中 receive 钩选下列： user and group database network configuration device tables distribution table interface configuration interface security settings pas