cisco secure acs 5 2安装配置说还得迷人话语来吸引注意力可俺这纯IT咚咚咋整难倒了真替

CISCOSECURE 【图文】CiscoSecureACS5.2安装.......................................................................................................................... 3、激活 【图文】CiscoSecureACS5.2配置..................................................................................................................................1、设置AAA服务 【图文】CiscoSecureACS5.2使用................................................................................................................................1、ACS配 、9300系列交换机的配 、S3000系列交换机的配 【图文】CiscoSecureACS.CiscoACS5.2CentOSCentOS，启示器模式重置管理员，选项4则是串口控制模式重置管理员，我们选择1就可以了，输完Linux系统的（硬盘不可读），1-2yes，让安装程序自动给我们做好硬盘格式化，然后出现如图1-3的安装界面。如果硬盘以前用过（硬可读），则会自动进入图2-1中，配置向导会依次要求我们输入主机名、IP地址、子网掩码、默认网关、DNS域、DNS地址、用户名和，其中主机名可以随意，IP地址就是ACS的地址，也是来管理ACS需要使用到的地址，的要求比较严格，输入的过程中可以根据提示修改。图中标“1”的部分“EnterdefaultDNS ”这一步是要我们输入DNS的，并不是DNS的地址，图中第一次输入是错误的；图中标“2”的部分是是否需要输入备份DNS，这个根据实际情况输入就可以导致配置中断，注意在如图2-2所示的地方会等待较长的一段时间。此时可以在PC问https://刚才给ACS配置的IP地址/acsadmin/打开登录界面（当然能的前PCACS通信），2-5ACS的安装和配置就成功3、激活

2-5所示的界面后，ACS就已经正式配置完毕了，只是如果这个时候登录，你会发现你没办法使用，因为CiscoSecureACS5.2并不是一款免费软件，要想使用是需要flexlm-10.9.jar、acs50base.licacs50feat.lic，这三个文件网上都可以到的，其中flexlm-10.9.jar是系统的文件，需要导入ACS的操作系统里，这个文件UACSCentOS的把这个文件刻录到光盘中并把光盘放入装ACS的服务器中，在服务器上按照如图3-1红框所示reload3-2所示的界面时，立即按“e3-3所示的界面，在这个界面里选择第二 下，命令是如图3-6所替换完毕后输入reboot命令重启ACS服务器，经过一段漫长的等待后会再次出现如第二步中2-4ACSPChttpsACSIP地址/acsadmin/，3-8acs50base.lic文件并单击“Install”，成功后就会进入ACS的工作台。界面后，ACS的安装和过程就已经全部完成了，撒花庆祝一下吧。【图文】CiscoSecureACS.关于如何安装和CiscoACS5.2之前的一篇文章中我们已经讨论过了，现在我们来讨论一下如何使用CiscoACS5.2，这篇文章中我们主要对AAA服务中的Authentication（认证）和CiscoACS5.2IETFRadiusTacacs+服务认证，并且两个认证服务是共Tacacs的网络的统一。所以配置ACS的第一步就是指定AAA实例，并定义实例支持的认证方式以及sharedkey。根据如图1-1所示依次点击2、IPAddress定义的是可以使用这个实例的设备，这里可以选择单个IP地址（SingleIP一样IP输入，掩码（Mask）输入0，也就是代表全网，输入完毕之后了点击“Add地址（段）的设备可以使用什么样的认证类型，因为我们IP地址段定义的是全网，所以我们把Tacacs+和Radius全部选上，并定义好SharedSecret。CiscoACS5.2AAA策略是基于用户组来做的，所以我们在指定策略之前需要先定义好用户组，根据如图2-1所示依次点击，就可以打开如图2-2所示的用户组添加页面，在这个添加页面认的“AllGroup”就可以了。起来使用的，根据如图3-1所示依次打开添限规则的界面。打开添限规则的界面之后第一步就是要定义一个名称，因为我们这次的示例是Privilege为1，PrivilegeCommonTaskPrivilegeLevelDefaultPrivilege里选择Static，Value选择1，如图3-2所示义ACL等等，大家有可以去研究一下其它地方，我们这里就不做赘述了。到此为止权限规则的定义也做完了，下一步我们来定义接入规则（Access图4-1所示打开新建接入服务的界面。StructureUserSelectedServiceType，后面有两个我们是比较常用的，一个是NetworkAccessRadiusDeviceAdministrationTacacs+服务（这里要注意，如AAARadiusTacacs+Radius和Tacacs+做定义。如果正在定义的是Radius服务的AccessService，那么这一步的UserSelectedServiceType就要选择NetworkAccess，如果正在定义的是Tacacs+服务的AccessService，那么这UserSelectedServiceTypeDeviceAdministration。）Radius服务的AccessService命名为“AAA-Radius”，Tacacs+服务名为“AAA-Tacacs”，然后点击“下PAP/ASCII这个选项选好就可以了，这一步配置完毕后直接点击“Finish”即可完成配置，点击“Finish4-4AccessService已经成功创建，是AccessServiceAccessService，AccessServices前面的那个标记提示是未启用状态，所以我们需要配置ServiceSelectionRules调用我们新配置上去的这两个服务，根据如图4-5所示依次选择Rule-1Rule-2（Rule-1ConditionsmatchRadius，这个指的是如果网络设备配置的是使用Radius服务做务做AAA，那么就会匹配这条Rule），打开的设置窗口如图4-6所示，我们只需要配置其中的ResultsmatchRadiusRuleRadiusAccessService，这里指的就是我们刚才配置的AAA-RadiusmatchTacacsTacacsAccessServiceAAA-Tacacs，配置完了之后别忘了要点如图4-5所示的SaveChanges。ServiceSelectionRulesAccessServicesDefaultDeviceAdminDefaultNetworkAccess4-7所示（此操作的目的是让界面看起来更清晰，不删除对部则，规则适用对象操作如图4-8所示，因为我们是根据用户来的，所以我们这里的IdentitySource选择InternalUsers，选择完毕之后记了再选上SaveChanges。规则的定义操作其实就是定义用户组与权限规则之间的映射关系了，操作流程如图4-9所示，CompoundCondition前面的复选框指的是匹配到这个AccessService的时候是否判断条件，当然我们这里是要选择判断的，要不这个用户的操作就没有意义了，这里在定义的时候，NetworkAccess类的AccessService和DeviceAdministration类的AccessService是不一样的，NetworkAccess类的AccessService如图4-10所示，DeviceAdministration类的AccessService如图4-11所示，NetworkAccess类的AccessService由于匹配的是Radius服务，没有操作，所以比较简单，我们定义完了用户之后只需要定义是PermitAccess还是DenyAccess就可以了，DeviceAdministration类的AccessService匹配的是Tacacs+服务，由于有各种功能，所以相对比较复杂，我们这里只详细描述对DeviceAdministration类的AccessService的操作，NetworkAccess类的AccessService操作大家可以参考图4-10。由于我们做的示例是对用户组为Group1里的用户Level1的等级，所以Condition我们要选择Group1，如图4-9所示，选择完了之后记了点击“AddV”按钮，否则选择就没有生效了，Results中的SProfile指的就是上面定义的权限级别，CommandSets就是命 mands就可以了，如图4-11所示。户，并把用户放入对应的组，并在设备上选择使用这台服务器做AAA，就可以使用了。【图文】CiscoSecureACS.码以及用户组，添加用户界面中的项目作用如图1-3：图中标“2”的部分：用户组，之前我们ACS的策略权限等的定义都是基于用户组进行要在设备上开启enable使用AAA服务器做认证（暂未测试）vtyAAATacacs+服务的设备还可以根据用户组中定义的来就是Cisco的东西，所以Cisco的设备相对来说兼容性是最好的。、Ciscoaaanew- aaaauthenticationloginMAGIgrouptacacs+local- aaaauthorizationexecMAGIgrouptacacs+local//命名不可达，则自动使用本地数据库信息tacacs-serverhostkey linevty0authorizationexecMAGI 9300系列交换机的配hwtacacs-serverauthentication//hwts认证服务器地址hwtacacs-serverauthorization//定义hwts服务器地址hwtacacs-servershared-keyTacacsKey//keyundohwtacacs-serveruser-name-included//闭“包括”规则，如果不关闭，那么用户名需要 authentication-schemeauthentication-modehwtacacslocal//定义认证实例以及认证方authorization-schemeauthorization-modehwtacacslocal 式，同时做本地保护，防止tacacs服务不可达的时候无法登录default_adminauthentication-schemeMAGI//MAGI的认证实例authorization-schemeMAGI//定义使用名为MAGI的实例hwtacacs-serverMAGI//hwtacacsMAGI的模板user-interfacevty04authentication-modeaaa、S3000系列交换机的配