ACS完全配置手册

1、成都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒第1章章目录第1章目录......13ACS 的配置ACS 的配置11AAA 的配置超级用户的配置定义管理策略配置使用外部 Windows 数据库接口（Interface）的配置系统备份日志的配置创建网络设备组（Network Device Group）配置冗余服务器（Backup Server）配置命令授权创建用户内外数据库映射数据库的映射匿名用户策略(Unknown User Policy)224111

2、2141517212531333536TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1 AAA 的配置1.1.1 超级用户的配置在 Cisco ACS Engine 上首先进行管理员（administrator user）或超级用户（super user）的设置。此用户拥有使用 ACS 所有功能的权限，因此此账户消息必须进行保密，它是管理所有 ACS 应用资源的关键。请参考如下的配置步骤进行管理员用户的创建：第 一 步 ： 在 Aministration Control 菜 单 下 ， 点 击 AddAdministrator 按钮添加管理员。

3、插图 0-1 ACS 添加管理员TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒第二步：键入管理员的名字及密码并点击 Grant All 按钮，然后点击 Submit。插图 0-2 ACS 添加管理员（续）添加管理员（TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.2 定义管理策略起初 Cisco ACS Engine 只能通过 Console 来进行本地访问，一旦管理策略建立好后，Cisco ACS Engine 可以通过配置的管理策略进行远程访问。管理 策略包括访问策略（Access Polic

4、y），会 话策略（Session Policy），和审计策略（Audit Policy）。首先进行访问策略的配置，使其只允许用 HTTPS 进行远程访问，并且限制访问端口范围为 2000-2999 从而制定相应的防火墙策略。HTTPS 需要证书进行认证，因此用 Cisco ACS Engine 来提供自签署证书，下面是自签署证书的配置方法。在 System Control 菜单下，点击 ACS Certificate Setup然后点击 Generate Self-Signed Certificate。TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部插图

5、0-3 提供自签署证书陈雪寒当系统完成自签署证书后，ACS 服务需要进行重启。插图 0-4 ACS 自签署证书TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒在 System Control 菜单下，点击 Service Control，重启 ACS 服务，服务重启后，确认其状态为 running。插图 0-5 ACS 服务重启TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒当系统重启后，点击 Administration Control 菜单，然后点击Access Policy。插图 0-6 ACS 管理

6、员界面TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒在 IP Address Filtering 中选择允许所有 IP Address to access，然后在 HTTP Configuration 中选择限制端口范围为 2000-2999，最后选择 使 用 HTTPS 并 点 击 Submit 。 在 完 成 如 下 配 置 后 ， 可 以 通 过https:/ip address:2002 进行远程访问。插图 0-7 ACS 管理员界面 （续）TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒在 Ad

7、ministration Control 菜单下，选择 Session Policy 配置会话策略使其当会话空闲 10 分钟以上时，自动退出，同时迫使进行本地认证。插图 0-8 会话策略的设置TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒在 Administration Control 菜单下，选择 Audit Policy 审计策略使其删除老于七天的日志。插图 0-9 日志的配置TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.3 配置使用外部 Windows 数据库使用 Windows AD 系

8、统上的已有用户账户消息进行用户认证。在External User Database 菜单下选择 Database Configuration 然后点击Windows Database。插图 0-10 ACS 使用外部数据库TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.4 接口（Interface）的配置配置用户定义域的接口配置，在 Internafce Configuration 下，选择 Configure user defined fields:插图 0-11 Interface 的设置TEL都全码科技有限公司

9、-技术部成都全码科技有限公司 技术部陈雪寒配置用户定义域的接口配置，在 Internafce Configuration 下，选择 Advanced Options，确认如下的用户接口已经被 enable。插图 0-12 Interface 的 Advanced OptionsTEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.5 系统备份配置系统每个工作日进行一次备份，周五进行两次备份。在System Configuration 下，选择 ACS Backup，进行如下配置。插图 0-13 ACS 系统备份设置TEL都

10、全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.6 日志的配置在 System Control 下，选择 logging 确认如下日志服务是开启的。插图 0-14 日志的设置TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒插图 0-15 日志的设置（续）日志的设置（TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.7 创建网络设备组（Network Device Group）在 Network Configuration 菜 单 下 ， 选 择 添 加 Network DeviceG

11、roup。插图 0-16 创建网络设备组TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒键入网络组名字及密钥（key）。插图 0-17 创建网络设备组（续）创建网络设备组（TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒增加 AAA Clients 到 Network Device Group 中去。点击相应的Network Device Group 然后点击 Add AAA Clients。插图 0-18 增加网络设备组的设备TEL都全码科技有限公司-技术部成都全码科技有限公司

12、技术部陈雪寒键入 AAA Client 的 IP 地址（可使用网段来简化配置）及密钥并选择适当的 Network Device Group。插图 0-19 增加网络设备组的设备（续）增加网络设备组的设备（TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.8 配置冗余服务器（Backup Server）从 Network Configuration 菜单中，点击 Not Assigned NetworkDevice Group，选择添加 AAA Server。（本 AAA Server 应当已经在列表中）插图 0-20 配置冗余服务器TEL:13

13、438836708成都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒键入 backup AAA Server 的信息。插图 0-21 配置冗余服务器（续 ）配置冗余服务器（TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒配置服务器间的数据库复制：在 System Configuration 中，选择 ACS Internal Database Replication。在主服务器上选择发送数据库，在备份服务器上选择接收数据库。选择复制时间为备份时间后一小时。插图 0-22 配置冗余服务器备份选项TEL都全码科技有限

14、公司-技术部成都全码科技有限公司 技术部陈雪寒在备份 ACS 上进行相同的配置，但是选择 Receive。注意：不要把主服务器加入 Replication Partner 列表中。插图 0-23 备份服务器列表设置TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.9 配置命令授权在 Shared Profile Components 菜单下，选择 Shell AuthorizationCommand Sets；然后点击 Add。插图 0-24 配置 Shared ProfileTEL都全码科技有限公司-技术部成都全码科

15、技有限公司 技术部陈雪寒在 Add command 中键入 show 并选择 Permit Unmatched Args同时 deny config;deny start;deny config插图 0-25 配置 shared profile 命令集TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒创建用户组：在 Group Setup 菜单下，选择 Group1 然后点击Rename Group 进行相应的命名。插图 0-26 工作组命名TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒配置用户组：点击 E

16、dit Settings 对相应的用户组进行编辑。在TACACS+ Settings 中，点中 Shell(exec)，点中 Privilege level 并填入15。在 Shell Authorization Command Sets 中，选择相应的 NetworkAccess Group 与 Command Set。在 IETF RADIUS Attributes 中，选择006Service-type 下选择 Login。插图 0-27 工作组配置TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒插图 0-28 工作组配置（续）工作组配置（TE

17、L都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒插图 0-29 工作组配置（续）工作组配置（TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.10创建用户在 User Setup 菜单下，增加用户。插图 0-30 创建用户TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒在 Password Authentication 下选择 Windows Database 然后并选择适当的用户组。插图 0-31 创建用户（续）创建用户（TEL都全码

18、科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.11内外数据库映射的账户信息存放在 Microsoft AD 上，因此要进行与 Microsoft AD 上数据库关联的配置。在 External User Database 下，点击 Database Configuration，然后选择 WindowsDatabase 点击 Configure。TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒选择 Windows Domain。TEL都全码科技有限公司-技术部成都全码科技有限公司 技术部陈雪寒1.1.12数据库的映射选择 Database Mapping，然后选择相应的 Windows 用户组映射为 ACS 用户组。T