1, ACS 基本配置 ACS的安裝這裡不講了,網上google一下就有很多。這裡主要講一下ACS的基本配置,以便于遠端管理通路。 ACS正确安裝後應該可以通過 [url]http://ip:2002/[/url]遠端通路,當然要確定中間是否有防火牆等政策。然後就是通過正确的帳号和密碼進行登入管理。下面是建立ACS管理帳戶的圖示。 a,本地登入ACS界面,點選左邊的“Administration Control”按鈕,進入下一個界面;
b,點選“Add Administrator”,進入配置界面;
c,根據提示填寫,一般選擇全部權限,友善管理,當然如果有特殊管理帳戶,可以分給不同權限,比如說隻能管理某些group等;
d,然後“Submit”,就可以通過這個賬戶進行遠端管理了。 2, ACS通路原理 ACS主要是應用于運作Cisco IOS軟體的思科網絡裝置,當然,ACS也全部或部分地适用于不運作Cisco IOS軟體的各種其他思科網絡裝置。這其中包括: · Cisco Catalyst交換機(運作Cisco Catalyst作業系統[CatOS]) · Cisco PIX防火牆 · Cisco VPN 3000系列集中器 不運作Cisco IOS軟體的思科裝置(如運作CatOS的Cisco Catalyst交換機、運作Cisco PIX作業系統的Cisco PIX防火牆或Cisco VPN 3000集中器)可能也支援啟用特權、TACACS+(驗證、授權和記帳[AAA])指令授權或以上兩者。随着對集中管理控制和審計的需求的增加,本文作者預計目前不支援TACACS+指令授權的其他思科網絡裝置将得以改進,支援TACACS+指令授權。為最快了解思科裝置的支援水準,請檢視有關裝置的最新文檔。 運作Cisco IOS軟體的思科裝置提供了兩個網絡裝置管了解決方案: · 啟用權利(Enable priviledges) · AAA指令授權 Cisco IOS軟體有16個特權級别,即0到15(其他思科裝置可能支援數目更少的特權級别;例如,Cisco VPN 3000集中器支援兩個級别)。在預設配置下,初次連接配接到裝置指令行後,使用者的特權級别就設定為1。為改變預設特權級别,您必須運作啟用指令,提供使用者的啟用密碼和請求的新特權級别。如果密碼正确,即可授予新特權級别。請注意可能會針對裝置上每個權利級别而執行的指令被本地存儲于那一裝置配置中。表1為思科供貨時Cisco IOS裝置的預設特權級别。這些等級預設是有指令集的,比如說等級1隻有一些基本的show指令等,而等級15是全部指令的集合。其他諸于2~14共13個等級的指令集是要使用者自己在認證裝置本地定義的。
表1 預設級别| 特權級别 | 說明 |
| 包括disable, enable, exit, help和logout指令 | |
| 1 | 包括router>提示值時的所有使用者級指令 |
| 15 | 包括router#提示值時的所有啟用級指令 |
可修改這些級别并定義新級别,如圖1所示。
圖1 啟用指令特權級别示例 每個裝置上都有靜态本地密碼與特權級别相關聯,這樣有一個重要的内在缺陷:每個使用者的啟用密碼必須在使用者需通路的每個裝置上進行配置。 為緩解這種情況提出的管理可擴充性問題,TACACS+可從中央位置提供特權級别授權控制。TACACS+伺服器通常允許各使用者有自己的啟用密碼并獲得特定特權級别。這樣即可從單一中央位置禁用使用者或改變其特權級别,而不會影響其他管理者。 因為特權級别需在網絡中每個裝置上正确配置,以便管理者能在其管理的裝置上有一緻的體驗,這就引發了另一個主要的問題。而不幸的是,使用TACACS+實作的啟用特權級别控制的集中化,并不能解決這一規模管理可擴充性問題。為解決此問題,可在TACACS+伺服器中定位指令授權。憑借此設定,裝置上鍵入的任意指令都首先會針對目前特權級别進行檢查,如果檢查通過,它就會送出給TACACS+伺服器進一步檢查。圖2為此裝置用來判斷是否使用者得到執行指令行授權的邏輯。注意圖中的紅框标注,标明先要經過本地的登記指令認證,然後再通過ACS的認證。下面授權部分還會具體講到。
圖2裝置邏輯,使用者被TACACS+驗證;失敗;使用者登出;殼式授權…;使用者輸入Cisco IOS指令行;指令是否允許…;下一指令;授權指令行…;裝置執行指令行。
作為通用T+殼式服務授權(priv-lvl=)的一部分,TACACS+能在使用者登入裝置時預定義使用者獲得的初始特權。這使管理者能在連接配接至裝置時就能立即獲得特權級别15。 3, 認證配置 3.1, 添加AAA用戶端 a,點選左邊“Network Configuration”,進入分組管理後,點選“Add Entry”,進入如下界面,按提示輸入。這裡要主要的是“key”,這個必須與用戶端配置一緻,才能進行通信。然後點選“Submit+Restart”即可。
b,用戶端上面配置如下即可:
| aaa new-model tacacs-server host a.b.c.d tacacs-server directed-request tacacs-server key ****** |
3.2, 添加使用者組 ACS可以通過設定分組,來管理同一權限等級以及可管理裝置等。其他配置可以都為預設,但是TACACS+ Settings那一欄裡面需要選中紅框标注部分,等級可以按照自己定義。然後點選下面的“Submit+Restart”即可。可以看到圖示中接下來有一個Shell Command Authorization Set,下面會具體講到這一塊功能。
3.3, 添加使用者成員 a,點選“User Setup”,添加使用者名,點選“Add/Edit”,進入下一個界面;
b,輸入密碼,選擇正确的使用者組,點選“Submit”即可。
3.4, 用戶端配置
| aaa authentication login default group tacacs+ enable aaa authentication enable default group tacacs+ enable |
4, 授權配置 這裡主要講一下指令集設定。 a,點選左邊“Shared Profile Components”,繼續點選“Shell Command Authorization Sets”,進入下一個界面;
b,Add一個set後,出現如下界面:
注解如下:當選中“Deny”時表示不比對框中指令的全部拒絕,後面勾選“Permit Unmatched Args”表示不比對框中指令的全部允許。然後這個框中的指令格式為permit/deny ***。比如說要允許show run這個指令,須點選Deny,然後在框中add指令show,然後在右框中輸入permit run或者勾選“Permit Unmatched Args”。需要注意的是左邊框中的指令必須在AAA用戶端本地有指令集,也就是應證了ACS的授權處理過程:先比對本地指令集,再比對ACS的指令集。 c,将這個指令集綁定到使用者組或者使用者,如下圖,點選“Submit+Restart”即可。
d,用戶端配置
| aaa authorization console aaa authorization config-commands aaa authorization exec default group tacacs+ none aaa authorization commands 1 default group tacacs+ none aaa authorization commands 15 default group tacacs+ none privilege interface level 10 shutdown privilege interface level 10 no privilege interface level 10 sw privilege interface level 10 switchport privilege interface level 10 switchport mode access privilege configure level 10 interface privilege exec level 10 configure privilege exec level 10 show run |
對指令的注解: l aaa authorization console這是個隐藏!!表示對從console口登陸的使用者也用AAA伺服器進行授權。如果不配置這條指令,無論你是否在line console 0 配置 authorization exec default或者 authorization command 15 default 等等,交換機都不會對console使用者輸入的任何指令發到AAA伺服器進行授權的檢查!也就是說,根本不能對console使用者進行任何指令的限制,隻要使用者名和密碼正确,在console口就可以作任何事。基本上在IOS 12.0(9)之前的版本裡,沒有這個指令。 l aaa authorization config-commands 這個指令表示對 (config)# 全局模式下輸入的指令也進行授權檢查。否則,隻會對“>”使用者模式和“#”特權模式下的指令進行授權的檢查。如果是這樣,隻要你允許某個使用者在特權模式下運作 “config t”,那麼他就可以在全局模式下運作任何指令。顯然,很多時候我們需要允許使用者進入全局模式下進行配置,但是又隻能允許他運作某些指令。這就必須要在交換機上配置這條指令。 l 配置中的“default”是關鍵字,預設系統的認證,授權,計費都是用“default”清單。當然你可以配置其他的名字,如aaa authorization exec TELNET group tacacs+ none…然後在你想要應用的端口應用他們: line vty 0 15 login authentication TELNET l Privilege指令是指在本地建立等級10的指令集,有了這些才可能在ACS上面做相應的配置。 5, 記賬配置 記賬配置比較簡單,如下:
| aaa accounting exec default start-stop group tacacs+ aaa accounting commands 10 default start-stop group tacacs+ aaa accounting network default start-stop group tacacs+ aaa accounting system default start-stop group tacacs+ |
指令注解: Exec表示執行config後的指令都記錄; Command 10的表示針對這個級别進行記錄; Network表示網絡上面的協定進行記錄; System表示系統的記錄。 在ACS上面的展現如下:點選左邊的“Reports and Activity”,然後點選Reports裡面的選項會看到如下的記錄等。
That’s all,thanks. 當然這隻是一個簡單文檔,詳細配置還需要進一步研究測試,但是弄好了上面的配置就很能滿足分權限集中管理的需求了。 6, 權限等級應用執行個體 網絡管理者角色需求: Ø 定義一個隻讀權限帳号,等級為level5; Ø 定義一個能修改interface的權限帳号,等級為level10. 根據上面闡述,權限等級2~14等級必須在IOS上面配置必要的指令集配置,是以在交換機配置指令集如下: //AAA配置
| aaa new-model aaa authentication login default group tacacs+ local none aaa authorization config-commands //針對(config)#下指令集中授權 aaa authorization exec default group tacacs+ local none aaa authorization commands 1 default group tacacs+ local none aaa authorization commands 5 default group tacacs+ local none aaa authorization commands 10 default group tacacs+ local none aaa authorization commands 15 default group tacacs+ local none aaa accounting exec default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 5 default start-stop group tacacs+ aaa accounting commands 10 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ |
//權限等級指令集配置
| privilege exec level 5 show start privilege exec level 10 configure privilege exec level 10 write privilege configure level 10 interface privilege interface level 10 shutdown privilege interface level 10 switchport access vlan tacacs-server host a.b.c.d tacacs-server directed-request tacacs-server key ****** |
ACS上面進行如下配置:
上面這個圖表示這個權限的使用者不能執行int g0/1和int g0/2的指令,但可以執行int g0/3等。 其他配置請參考上面闡述。
本文轉自 chris_lee 51CTO部落格,原文連結:http://blog.51cto.com/ipneter/69870,如需轉載請自行聯系原作者