ACS基本配置-权限等级管理(笔记)..doc

ACS基本配置-权限等级管理(笔记) 1, ACS基本配置 ACS的安装这里不讲了，网上google一下就有很多。这里主要讲一下ACS的基本配置，以便于远程管理访问。 ACS正确安装后应该可以通过http://ip:2002/远程访问，当然要确保中间是否有防火墙等策略。然后就是通过正确的帐号和密码进行登录管理。下面是建立ACS管理帐户的图示。 a，本地登录ACS界面，点击左边的“Administration Control”按钮，进入下一个界面； b，点击“Add Administrator”，进入配置界面； c，根据提示填写，一般选择全部权限，方便管理，当然如果有特殊管理帐户，可以分给不同权限，比如说只能管理某些group等； d，然后“Submit”，就可以通过这个账户进行远程管理了。 2, ACS访问原理 ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。这其中包括： · Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]） · Cisco PIX防火墙 · Cisco VPN 3000系列集中器 不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。随着对集中管理控制和审计的需求的增加，本文作者预计目前不支持TACACS＋命令授权的其他思科网络设备将得以改进，支持TACACS＋命令授权。为最快了解思科设备的支持水平，请查看有关设备的必威体育精装版文档。 运行Cisco IOS软件的思科设备提供了两个网络设备管理解决方案： · 启用权利(Enable priviledges) · AAA命令授权 Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。为改变缺省特权级别，您必须运行启用命令，提供用户的启用口令和请求的新特权级别。如果口令正确，即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。表1为思科供货时Cisco IOS设备的缺省特权级别。这些等级缺省是有命令集的，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。其他诸于2~14共13个等级的命令集是要用户自己在认证设备本地定义的。 表1 缺省级别 特权级别说明 0 包括disable, enable, exit, help和logout命令 1 包括router提示值时的所有用户级命令 15 包括router#提示值时的所有启用级命令 可修改这些级别并定义新级别，如图1所示。 图1 启用命令特权级别示例 每个设备上都有静态本地口令与特权级别相关联，这样有一个重要的内在缺陷：每个用户的启用口令必须在用户需访问的每个设备上进行配置。 为缓解这种情况提出的管理可扩展性问题，TACACS＋可从中央位置提供特权级别授权控制。TACACS＋服务器通常允许各用户有自己的启用口令并获得特定特权级别。这样即可从单一中央位置禁用用户或改变其特权级别，而不会影响其他管理员。 因为特权级别需在网络中每个设备上正确配置，以便管理员能在其管理的设备上有一致的体验，这就引发了另一个主要的问题。而不幸的是，使用TACACS＋实现的启用特权级别控制的集中化，并不能解决这一规模管理可扩展性问题。为解决此问题，可在TACACS＋服务器中定位命令授权。凭借此设置，设备上键入的任意命令都首先会针对当前特权级别进行检查，如果检查通过，它就会提交给TACACS＋服务器进一步检查。图2为此设备用来判断是否用户得到执行命令行授权的逻辑。注意图中的红框标注，标明先要经过本地的登记命令认证，然后再通过ACS的认证。下面授权部分还会具体讲到。 图2 设备逻辑，用户被TACACS＋验证；失败；用户登出；壳式授权…；用户输入Cisco IOS命令行；命令是否允许…；下一命令；授权命令行…；设备执行命令行。 作为通用T＋壳式服务授权（priv-lvl=）的一部分，TACACS＋能在用户登录设备时预定义用户获得的初始特权。这使管理员能在连接至设备时就能立即获得特权级别15。 3, 认证配置 3.1, 添加AAA客户端 a，点击左边“Network Configuration”，进入分