一、應用背景
經常面臨一個用戶要配置有多個用戶名,多個口令的問題:
1. 各省的計算機網絡上有大量的路由器、交換機設備,一般在500~600臺左右 ,管理員首先面對的問題是口令管理問題,大量的設備口令配置工作量大,並且難於記憶,常常導致設備的口令長時間不變,甚至1年到2年不變,存在安全隱患。
2.計算機網絡大多配置撥號訪問服務器,除了做主線路的備份外,也允許稅務內部職工撥號入網,因此要求每個用戶分配一個用戶名/口令。
3.企業網絡內部運行許多應用軟件,隨之而來的問題是多個用戶名多個口令的問題,給用戶帶來很多不便,大量增加了網絡管理員的負擔。
目錄服務器如Windows Active Directory, Novell NDS可以有效接決第三個問題,前兩個問題可以應用Cisco ACS軟件的目錄集成功能,使它有效的與目錄服務器Windows Active Directory, Novell NDS集成,大大的簡化了管理員的負擔,提高工作效率。
二、實現目標
全網應用一個用戶名,一個口令。
撥號用戶使用Windows Active Directory的用戶名/口令
網絡設備的用戶名/口令使用Windows Active Directory的用戶名/口令
網絡設備的用戶名/口令集中管理,權限管理。
所有全網的網絡設備的登錄口令在ACS配置,不同的用戶賦予不同的權限。如一般管理員可以看網絡的狀態,超級用戶可以配置Router, Switch.
三、 配置步驟
Cisco ACS支持Windows Active Directory, Novell NDS等目錄服務器,下面以Cisco ACS與Windows 2000 的Active Directory集成爲例,介紹一下配置步驟:
1. 配置Cisco 5350,和其他Router成爲 ACS的AAA Client
Network Configuration----?輸入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
2. 配置用戶名/口令數據庫
Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.
External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
3.配置ACS group mapping, 以配置授權
由於使用Windows Active directory的用戶名作爲認證,因此配置此用戶的授權由ACS的組完成,然後將此group與Windows Active directory的組映射。
External User Database----〉database configuration-----? windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
External User Database----〉database group mapping-----〉windows nt/2000---?domain ,local-?
Add mapping----?Windows users group, Cisco acs group group1-----? sumit
4.Cisco 5350和Router的配置
對於Router,配置ACS認證,授權。
配置一個本地的用戶名/口令,防止在ACS認證失敗後,使用此用戶名/口令。
Router#username localusr pass usrpass
Router#config terminal
配置ACS認證
Router(config)#aaa new-model
Router(config)#aaa authentication login vty-login group tacacs local
配置ACS授權
Router(config)#aaa authorization exec exec-vty group tacacs
指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco
應用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty
對於Cisco 5350 訪問服務器,除了上述步驟外,還需增加如下步驟 Router#aaa authentication ppp default group tacacs local
四、應用實例
某市地稅所屬的區縣、所構成的WAN和LAN全部採用Cisco 公司的網絡產品,所有的Router, Switch一共有100臺左右,同時還配置有一臺Cisco AS5350撥號訪問服務器,實現稅務集中應用軟件備份。衆多的網絡設備對於管理員來講經常更換口令有負擔過重,此外爲每個撥號用戶配置用戶名口令任務繁雜而巨大。
某省地稅應用Cisco ACS軟件成功的與現有的windows 2000 Active Directory結合起來,大大的簡化了管理員的工作量,提高了工作效率,目前每一個月口令更換一次,大大的加強了網絡的安全性,並實現了權限分級管理。
經常面臨一個用戶要配置有多個用戶名,多個口令的問題:
1. 各省的計算機網絡上有大量的路由器、交換機設備,一般在500~600臺左右 ,管理員首先面對的問題是口令管理問題,大量的設備口令配置工作量大,並且難於記憶,常常導致設備的口令長時間不變,甚至1年到2年不變,存在安全隱患。
2.計算機網絡大多配置撥號訪問服務器,除了做主線路的備份外,也允許稅務內部職工撥號入網,因此要求每個用戶分配一個用戶名/口令。
3.企業網絡內部運行許多應用軟件,隨之而來的問題是多個用戶名多個口令的問題,給用戶帶來很多不便,大量增加了網絡管理員的負擔。
目錄服務器如Windows Active Directory, Novell NDS可以有效接決第三個問題,前兩個問題可以應用Cisco ACS軟件的目錄集成功能,使它有效的與目錄服務器Windows Active Directory, Novell NDS集成,大大的簡化了管理員的負擔,提高工作效率。
二、實現目標
全網應用一個用戶名,一個口令。
撥號用戶使用Windows Active Directory的用戶名/口令
網絡設備的用戶名/口令使用Windows Active Directory的用戶名/口令
網絡設備的用戶名/口令集中管理,權限管理。
所有全網的網絡設備的登錄口令在ACS配置,不同的用戶賦予不同的權限。如一般管理員可以看網絡的狀態,超級用戶可以配置Router, Switch.
三、 配置步驟
Cisco ACS支持Windows Active Directory, Novell NDS等目錄服務器,下面以Cisco ACS與Windows 2000 的Active Directory集成爲例,介紹一下配置步驟:
1. 配置Cisco 5350,和其他Router成爲 ACS的AAA Client
Network Configuration----?輸入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
2. 配置用戶名/口令數據庫
Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.
External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
3.配置ACS group mapping, 以配置授權
由於使用Windows Active directory的用戶名作爲認證,因此配置此用戶的授權由ACS的組完成,然後將此group與Windows Active directory的組映射。
External User Database----〉database configuration-----? windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
External User Database----〉database group mapping-----〉windows nt/2000---?domain ,local-?
Add mapping----?Windows users group, Cisco acs group group1-----? sumit
4.Cisco 5350和Router的配置
對於Router,配置ACS認證,授權。
配置一個本地的用戶名/口令,防止在ACS認證失敗後,使用此用戶名/口令。
Router#username localusr pass usrpass
Router#config terminal
配置ACS認證
Router(config)#aaa new-model
Router(config)#aaa authentication login vty-login group tacacs local
配置ACS授權
Router(config)#aaa authorization exec exec-vty group tacacs
指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco
應用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty
對於Cisco 5350 訪問服務器,除了上述步驟外,還需增加如下步驟 Router#aaa authentication ppp default group tacacs local
四、應用實例
某市地稅所屬的區縣、所構成的WAN和LAN全部採用Cisco 公司的網絡產品,所有的Router, Switch一共有100臺左右,同時還配置有一臺Cisco AS5350撥號訪問服務器,實現稅務集中應用軟件備份。衆多的網絡設備對於管理員來講經常更換口令有負擔過重,此外爲每個撥號用戶配置用戶名口令任務繁雜而巨大。
某省地稅應用Cisco ACS軟件成功的與現有的windows 2000 Active Directory結合起來,大大的簡化了管理員的工作量,提高了工作效率,目前每一個月口令更換一次,大大的加強了網絡的安全性,並實現了權限分級管理。
Cisco ACS 的一般安裝步驟
ACS是Cisco出的一個 AAA 認證軟件,可以對路由器進行用戶認證、授權、記賬操作。
安裝步驟:
1.以超級用戶登錄NT或2000的ACS安裝機器
2.在CD-ROM中插入ASC的安裝光盤
3.用鼠標雙擊Install的圖標
4.在Software License Agreement 窗口中閱讀Software License Agreement並點擊ACCEPT按紐。
5.點擊Next按紐,進入下一步。
6.選擇屬於你的網絡配置情況的多選框,在點擊Next按紐,進入下一步
7.如果ACS軟件已經在本機上安裝了,那麼它會提示你是否覆蓋還是保存原來的數據選擇Yes, keep existing database 按紐,保存數據,不選擇該按紐則新建數據庫,再點擊下一步在進行接下來的安裝
8.如果發現有原來的ACS的配置文件,安裝程序會提示你是否保存,選擇後,再點擊下一步在進行接下來的安裝
9.選擇安裝都默認的路徑請點擊Next按紐,進入下一步,選擇安裝都其他路徑請點擊Browse按紐,選擇路徑。
10.選擇要認證的用戶的數據庫是以NT的帳戶數據庫爲基礎還是獨立的ACS的數據庫爲基礎。選擇後進入下一步。(建議選擇獨立的ACS數據庫)
11.如果選擇的是以NT的帳戶數據庫爲基礎的,還要選擇是否對遠程訪問用戶根據NT的用戶管理器來進行限制。進入下一步。
12.完成Authenticate Users Using,Access Server Name,Access Server IP Address,Windows NT Server IP Address,TACACS+ or RADIUS Key等參數的填寫,進入下一步
13.選擇是否打開Interface Configuration window(在安裝過程中)(默認爲不打開)
14.選擇是否打開Enable Log-in Monitoring按紐,同時選擇報警方式,包括No Remedial Action,Reboot,Restart All,Restart RADIUS/TACACS+,還可以選擇通過EMAIL進行報警,(同時要配置EMAIL的SMTP Mail Server和Mail account to notify),點擊Next按紐進入下一步。
15.如果你不配置ACS服務器,就點擊Next按紐完成安裝,如果你要在安裝完成後進行ACS的配置,則選擇Yes, I want to configure Cisco IOS now,進行ACS的配置。
配置ACS服務器:
1.在客戶端的IE上輸入HTTP://ACS服務器的IP:2002
2.輸入用戶名和密碼進入配置窗口。(如果選擇是獨立的數據庫,默認爲空的用戶名和密碼)
3.根據菜單進行具體的配置。
安裝步驟:
1.以超級用戶登錄NT或2000的ACS安裝機器
2.在CD-ROM中插入ASC的安裝光盤
3.用鼠標雙擊Install的圖標
|
|||
5.點擊Next按紐,進入下一步。
6.選擇屬於你的網絡配置情況的多選框,在點擊Next按紐,進入下一步
7.如果ACS軟件已經在本機上安裝了,那麼它會提示你是否覆蓋還是保存原來的數據選擇Yes, keep existing database 按紐,保存數據,不選擇該按紐則新建數據庫,再點擊下一步在進行接下來的安裝
8.如果發現有原來的ACS的配置文件,安裝程序會提示你是否保存,選擇後,再點擊下一步在進行接下來的安裝
9.選擇安裝都默認的路徑請點擊Next按紐,進入下一步,選擇安裝都其他路徑請點擊Browse按紐,選擇路徑。
10.選擇要認證的用戶的數據庫是以NT的帳戶數據庫爲基礎還是獨立的ACS的數據庫爲基礎。選擇後進入下一步。(建議選擇獨立的ACS數據庫)
11.如果選擇的是以NT的帳戶數據庫爲基礎的,還要選擇是否對遠程訪問用戶根據NT的用戶管理器來進行限制。進入下一步。
12.完成Authenticate Users Using,Access Server Name,Access Server IP Address,Windows NT Server IP Address,TACACS+ or RADIUS Key等參數的填寫,進入下一步
13.選擇是否打開Interface Configuration window(在安裝過程中)(默認爲不打開)
14.選擇是否打開Enable Log-in Monitoring按紐,同時選擇報警方式,包括No Remedial Action,Reboot,Restart All,Restart RADIUS/TACACS+,還可以選擇通過EMAIL進行報警,(同時要配置EMAIL的SMTP Mail Server和Mail account to notify),點擊Next按紐進入下一步。
15.如果你不配置ACS服務器,就點擊Next按紐完成安裝,如果你要在安裝完成後進行ACS的配置,則選擇Yes, I want to configure Cisco IOS now,進行ACS的配置。
配置ACS服務器:
1.在客戶端的IE上輸入HTTP://ACS服務器的IP:2002
2.輸入用戶名和密碼進入配置窗口。(如果選擇是獨立的數據庫,默認爲空的用戶名和密碼)
3.根據菜單進行具體的配置。