acs数据库
-
2023年2月27日发(作者:上古卷轴5主线)文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
【关键字】服务
ACS服务器维护文档
2006年6月
目录
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第1章版本更新记录前言
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第2章ACS服务器设备
2.1安装要求
ACS服务器安装要求建议:
●X86硬件要求CPU:P-IV以上、RAM:以上、硬盘以上。
●安装windows2000server英文版+SP4+IE6以上并正常运行。
●安装JavaPlatform并正常运行。
●ACS服务器与AAAClient之间的网络已连接。
●CiscoIOS版本在11.1或以上。
2.2ACS服务器网络连接说明
ACS服务器名称及IP对端设备及IP数量
PrimaryACSServer
ACS-A:
IP:10.243.239.242/30
10.243.253.250/30
GZ7609:
FastEthernet1/47
10.243.239.241/30
FastEthernet1/48
10.243.253.249/30
广州76091
SecondaryACSServer
ACS-B:
IP:10.243.239.246/30
10.243.254.250/30
GZNE40:
Ethernet3/0/14
10.243.239.245/30
Ethernet3/0/15
10.243.254.249/30
广州NE401
2.3设备清单
设备清单:
产品型号描述数量
CSACS-3.3-WIN-K9CiscoSecureACS3.3forWindowsCISCO1
8840I09
●XeonEM64T3.2GHz/2M,800MHz
FSB,2-SMP,2*512MB,HSU320
146GBSCSI,LightPath,2*Giga
Ethernet,2U,ServerRAID7e
●3.2GHz/800MHz-2MBL2Cache
IBM2
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
XeonProcessor
●1GB(2x512MB)PC2-3200ECC
DDR2RDIMMKit
●146.8GB10KrpmUltra320SCSI
HDD
●IBM17"纯平显示器
●IBM键盘鼠标
产品序列号:
产品型号描述序列号
8840I09
●XeonEM64T3.2GHz/2M,800MHzFSB,
2-SMP,2*512MB,HSU320146GBSCSI,
LightPath,2*GigaEthernet,2U,ServerRAID7e
●3.2GHz/800MHz-2MBL2CacheXeon
Processor
●1GB(2x512MB)PC2-3200ECCDDR2RDIMM
Kit
●146.8GB10KrpmUltra320SCSIHDD
●IBM17"纯平显示器
●IBM键盘鼠标
99AWCYL
99AWTBL
CSACS-3.3-WIN-K9CiscoSecureACS3.3forWindows无
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第3章ACS服务器安装
3.1安装操作系统
步骤一:安装和配置windows2003英文版server,使之能与CiscoSecure
ACSforWindows一同工作。
步骤二:使用Ping或telnet,验证ACS服务器与AAAclient之间的基本
连接是否正常。
步骤三:在windows2003英文版server上安装CiscoSecureACSfor
Windows
步骤四:通过WEB浏览器配置CiscoSecureACSforWindows
步骤五:配置ACS服务器AAA
步骤六:校验安装和操作的正确性。
3.2配置Windows2003server服务器
将2台服务器配置成域控制器:
ACS-A是PrimaryACSServerMircrosoftWindows2003DomainController
ACS-B是SecondaryACSServerMircrosoftWindows2003DomainController
3.3校验Windows服务器和其他网络设备之间的连接
步骤:使用Ping或telnet,验证Windows服务器与其他网络设备之间的
连接基本连是否正常。
3.4在windows2000server上安装CiscoSecureACSfor
Windows
步骤一:运行CiscoSecureACSforWindows的安装程序开始安装,安装
过程中选择并配置ACS数据库。如下图:
步骤二:用WEB浏览器为网络设备配置CiscoSecureACSforWindows
步骤三:为CiscoSecureACSforWindows配置网络设备。
3.5通过WEB浏览器运行CiscoSecureACSforWindows
CiscoSecureACSforWindows安装成功后,在Windows2000server的
桌面会生成ACSAdmin的图标,可以通过基于web的GUI来配置和管理Cisco
SecureACSforWindows,选择该图标,用.1:2002来加载浏览器。浏览器加载
后会出现CiscoSecureACSforWindows的导航条,每个导航条按钮都代表一
个特定的区域或配置功能,主界面如下图:
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第4章配置ACS服务器
4.1配置UserSetup
点击UserSetup按钮,出现如下图所示的界面:
说明:
在User:输入用户名,按Find按钮可以查找;
按ListallUser按钮可以列出所有用户;
按Add/Edit按钮,可增加用户,如下图所示:
输入该用户的信息:SupplementaryUserInfo
UserSetup
AccountDisable
CiscoSecurePAP
AdvancedTACACS+Settings
TACACS+EnablePassword
按Submit完成该用户的添加,按Delete可以删除该用户。添加完成后,按List
allUser按钮可以列出所有用户,如下图所示:
设置举例:任务为建立一个用户名为cisco的用户,属于default組,级别15
步骤1.打开usersetup如下图:
User:
Listusersbeginningwithletter/number:
ABCDEFGHIJKLM
NOPQRSTUVWXYZ
在user输入cisco
步骤2.按add出现如下图,按图中的要求填入相关的参数:(红色字体是重要的
参数)
User:cisco(NewUser)
AccountDisabled
SupplementaryUserInfo
RealName
Description
UserSetup
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
PasswordAuthentication:
CiscoSecurePAP(AlsousedforCHAP/MS-CHAP/ARAP,ifthe
Separatefieldisnotchecked.)
Password
ConfirmPassword
Separate(CHAP/MS-CHAP/ARAP)
Password
ConfirmPassword
Whenatokenserverisusedforauthentication,supplying
aseparateCHAPpasswordforatokencarduserallowsCHAP
especiallyusefulwhentoken
cachingisenabled.
Grouptowhichtheuserisassigned:
Callback
Usegroupsetting
Nocallbackallowed
Callbackusingthisnumber
Dialupclientspecifiescallbacknumber
UseWindowsDatabasecallbacksettings
ClientIPAddressAssignment
Usegroupsettings
NoIPaddressassignment
Assignedbydialupclient
AssignstaticIPaddress
AssignedbyAAAclientpool
AdvancedSettings
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
NetworkAccessRestrictions(NAR)
MaxSessions
Sessionsavailabletouser
Unlimited
Usegroupsetting
AccountDisable
Never
Disableaccountif:
Dateexceeds:
Failedattemptsexceed:
Failedattemptssincelastsuccessfullogin:0
Resetcurrentfailedattemptscountonsubmit
AdvancedTACACS+Settings
TACACS+EnableControl:
UseGroupLevelSetting
NoEnablePrivilege
MaxPrivilegeforanyAAAClient
TACACS+EnablePassword
UseCiscoSecurePAPpassword
Useexternaldatabasepassword
U paratepassword
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
Password
ConfirmPassword
TACACS+OutboundPassword
(UsedforSendPassandSendAuthclientssuchasrouters)
Password
ConfirmPassword
TACACS+Settings
PPPIP
Inaccesscontrollist
Outaccesscontrollist
Route
Routing
Enabled
Note:PPPLCPwillbeautomaticallyenabledifthisserviceisenabled
Shell(exec)
Accesscontrollist
Autocommand
Callbackline
Callbackrotary
Idletime
Nocallbackverify
Enabled
Noescape
Enabled
Nohangup
Enabled
Privilegelevel
Timeout
ShellCommandAuthorizationSet
None
AsGroup
AssignaShellCommandAuthorizationSetforanynetworkdevice
PerUserCommandAuthorization
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
UnmatchedCiscoIOScommands
Permit
Deny
Command:
Arguments:
Unlistedarguments
Permit
Deny
重要参数的说明:
rdAuthentication:设置用户密码
owhichtheuserisassigned:用户属于那个组
+EnableControl:用户属于那个exec级别,有0-15可选
+EnablePassword:用户的enable密码设置,选UseCiscoSecurePAP
password
+Settings:选取Shell(exec)和PPPIP
kAccessRestrictions网络访问限制
ommandAuthorizationSet:一般选AsGroup
设置完成后按submit提交,完成用户cisco的添加
4.2配置GroupSetup
按GroupSetup导航条,打开GroupSetup界面,如下图所示:
说明:
按UsersinGroup显示该组的用户
按RenameGroup可更改组名
按EditSettings可以编辑该组,编辑组的设置界面如下图所示:
4.3配置ShareProfileCompoents
点击ShareProfileCompoents打开共享配置组件,如下图:
说明:
可以进行:ShellCommandAuthorizationSets
PIXCommandAuthorizationSets的设置
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
设置举例:任务是设置一个名为qq的profiles,禁止和允许用户在路由器上使
用showrunning-cong和configureterminal
步骤1.打开ShellCommandAuthorizationSet
步骤2.在Name输入:qq
步骤3.在Description输入描述
步骤4.在UnmatchedCommands左边输入show,在右边输入permitrunning-config
步骤5.在UnmatchedCommands左边输入configure,在右边输入denyterminal
步骤6.按submit提交完成。
4.4配置NetworkConfiguration
点击NetworkConfiguration打开网络配置的界面,如下图:
说明:可以进行AAAClients和AAAServers的添加及Search
AAAClients的添加界面如下:
说明:ACS管理员可根据提示输入:AAAClientHostnameAAAClientIPAddress
和key等信息,按submit提交。
AAAServers的添加界面如下:
说明:ACS管理员可根据提示输入:AAAServerHostnameAAAServerIPAddress
和key、AAAServerType、TrafficType等信息,按submit提交。
4.5配置SystemConfiguration
作用:启动和停止CiscoSecureACSforWindows服务,配置日志记录、控制数
据库复制、控制RDBMS同步,其设置界面如下图:
说明:SystemConfiguration可让ACS管理员操作:
ServiceControl
Logging
DateFormatControl
LocalPasswordManagment
ACSBackup
ACSRestore
ACSServiceManagment
ACSCertificatesetup
GlobalAuthenticationSetup
4.6配置InterfaceConfiguration
作用:配置在记帐日志记录的用户定义字段,配置RADIUS和TACACS+选项,
控制选项在用户借口中的显示。
点击InterfaceConfiguration打开接口配置,界面如下图:
说明:ACS管理员在该界面可以进行下列配置:
UserDataConfiguration
TACACS+(CiscoIOS)
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
AdvancedOptions
4.7配置AdministrationControl
作用:控制网络工作站对CiscoSecureACSforWindows的管理,按Administration
Control导航按钮打开管理控制,出现如下界面:
说明:ACS管理员进入该界面可以进行
Administrator的增加
acesspolicy
sessionpolicy
auditpolicy的操作
4.8配置ExternalUserDatabases
作用:配置未知用户策略、配置未知用户授权特权,配置外部数据库类型。External
UserDatabases的设置界面如下图:
说明:ACS管理员可以进行下列设置操作
UnknownUserPolicy
DatabaseGroupMapping
DatabaseConfiguration
4.9查看ReportsandActivity
作用:可以查看一些报告类型的列表,界面如下图:
说明:ACS管理员可以进行下列设置或操作
TACACS+Accounting记帐
TACACS+Administrator记帐
RADIUSAccounting记帐
VoipAccounting记帐
PassedAuthentication
FailedAttempts
Logged-inUsers
DisabledAccounts
ACSBackupAndRestore
AdministratorAudit
UserPasswordChangs
ACSServiceMonitoring
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
4.10查看OnlineDoucumentation
作用:CiscoSecureACSforWindows的在线帮助文档,界面如下图。ACS系统管
理员可以在线进行帮助文档查阅。
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第5章校验正确安装和操作
要校验安装是否正确,首先需要访问服务控制页面,检查CiscoSecureACS
forWindows的服务是否在运行。可以进行下列操作:
步骤一:在导航条上点Systemconfiguration。
步骤二:点ServiceContrl,,会显示CiscoSecureACSforWindows
的服务状态,接着,需要从一台配置成该服务器的设备上进行认
证和授权测试。
步骤三:telnet连接到服务器。
步骤四:按系统的提示输入用户名和密码
步骤五:基于所使用的用户名,校验是否能够得到所期望的控制级别。
步骤六:如果有问题,再次校验路由器上的配置,然后再检查为该用户
建立的CiscoSecureACSforWindows配置。
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第6章配置AAAClient
6.1使用TACACS+认证基本配置命令和说明(Cisco设备):
aaanew-model
在路由器上启用AAA
aaaauthenticationlogindefaultgrouptacacs+local
设置AAA认证,在登陆时使用缺省列表与TACACS+服务器比较,当TACACS+
服务器不可用时,使用本地用户和密码登陆
aaaauthenticationloginconsole-ingrouptacacs+local
设置AAA认证,在登陆时使用console-in列表与TACACS+服务器比较,当
TACACS+服务器不可用时,使用本地用户和密码登陆
aaaauthorizationcommands4defaultgrouptacacs+local
路由器用tacacs服务器来校验每一个权限高于4的命令当TACACS+服务器
不可用时,使用本地校验
aaaauthorizationexecdefaulttacacs+local
该命令告诉路由器使用tacacs服务器检验用户权限,如果tacacs服务器报错
则用路由器本地设置检验用户权限。
aaaaccountingsystemdefaultwait-startgrouptacacs+
使用wait-start方法审计系统事件
aaaaccountingexecdefaultstart-stopgrouptacacs+
当EXEC过程开始时发送一个开始记录通知,当EXEC过程结束时发送一个停
止记录通知
aaaaccountingcommands15defaultwait-startgrouptacacs+
在任何级别15的命令开始之前发送一个开始记录通知,并等待确认,当命
令停止时,发送一个停止记录。
aaaaccountingcommands1defaultwait-startgrouptacacs+
在任何级别1的命令开始之前发送一个开始记录通知,并等待确认,当命令
停止时,发送一个停止记录。
aaaaccountingnetworkdefaultstop-onlygrouptacacs+
当网络服务中断时,发送停止记录通知
tacacs-serverhost192.168.168.48keycisco
指定tacacs-server的地址和key
iptacacssource-interfaceLoopback0
usernameadminpassworddfd3434324@#@
#建立本地用户和密码
Debugaaaauthentication
显示有关认证功能的调试信息
Debugaaaauthorization
显示有关授权功能的调试信息
Debugaaaaccounting
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
显示有关记帐功能的调试信息
6.2使用RADIUS认证基本配置命令说明(Cisco设备):
aaanew-model
在路由器上启用AAA
aaaauthenticationlogindefaultgroupradiuslocal
设置AAA认证,在登陆时使用缺省列表与Radius服务器比较,当Radius服
务器不可用时,使用本地用户和密码登陆
aaaaccountingsystemdefaultwait-startgroupradius
使用wait-start方法审计系统事件
aaaaccountingexecdefaultstart-stopgroupradius
当EXEC过程开始时发送一个开始记录通知,当EXEC过程结束时发送一个停
止记录通知
aaaaccountingnetworkdefaultstop-onlygroupradius
当网络服务中断时,发送停止记录通知
usernameciscoprivilege15password0cisco
建立本地用户和密码
radius-serverhost192.168.168.48keycisco
指定radius-server的地址和key
Debugaaaaccounting
显示有关认证功能的调试信息
Debugaaaauthorization
显示有关授权功能的调试信息
Debugaaaauthentication
显示有关记帐功能的调试信息
6.3华为设备的RADIUS的配置模板:
aaaenable
aaaauthentication-schemelocal-first
radiusserver10.X.X.X
radiusshared-keyXXXXX
aaaauthentication-schemelogindefaultradiuslocal
user-interfacevty04
authentication-modeschemedefault
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第7章配置ACS数据库复制
7.1配置ACS-A成为PrimaryACSServer
7.1.1配置ACS-ANetworkConfiguration
在ACS-A的NetworkConfiguration中将ACS-B添加为AAASERVER,详
细的添加方法见4.4节,添加后如下图:
7.1.2配置ACS-A的SystemConfiguration
在ACS-A的SystemConfiguration中将配置Databasereplication。如下图:
●在DatabaseReplicationSetup中Send钩选下列:
Userandgroupdatabase
NetworkConfigurationDevicetables
Distributiontable
Interfaceconfiguration
Interfacesecuritysettings
Passwordvalidationsettings
●在OutboundReplication中计划Scheduling,例如每5分钟进行一次复制。
●在Partners中将ACS-B添加为同伴。
●在InboundReplication中选Acceptreplicationfrom为ACS-B
选择后按提交确定。如下图:
7.2配置ACS-B成为SecondaryACSServer
7.2.1配置ACS-BNetworkConfiguration
在ACS-B的NetworkConfiguration中将ACS-A添加为AAASERVER,详细的
添加方法见4.4节,添加后如下图:
7.2.2配置ACS-B的SystemConfiguration
在ACS-B的SystemConfiguration中将配置Databasereplication。如下图:
●在DatabaseReplicationSetup中Receive钩选下列:
Userandgroupdatabase
NetworkConfigurationDevicetables
Distributiontable
Interfaceconfiguration
Interfacesecuritysettings
Passwordvalidationsettings
●在Partners中不需要将ACS-A添加为同伴。
●在InboundReplication中选Acceptreplicationfrom为ACS-A
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
选择后按提交确定。如下图:
经过上述两个步骤,两台ACSserver之间的数据库复制设置完成。
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第8章配置远程管理ACS服务器
8.1配置Windows2003server远程桌面
开启两台Windows2003server远程桌面的远程桌面功能,以便使远程客户
端能够远程访问ACS服务器。
8.2配置AdministrationControl以便能远程管理ACSServer
点击AdministrationControl按钮进入AdministrationControl配置界面,
按AddAdministrator,然后按提示输入Administrator、Password、再配置
AdministratorPrivileges,可以选GrantALL,按Submit提交。完成该配置后,
可以在远程计算机输入acsserverIPaddress:2002来远程管理acs
server。如下图所示:
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第9章配置ACS服务器loging
从SystemConfiguration进入loging,在LoggingConfiguration可设置如下内
容,如下图:
CSVFailedAttempts
CSVPassedAuthentications
CSVRADIUSAccounting
CSVTACACS+Accounting
CSVTACACS+Administration
CSVVoIPAccounting
设置CSVFailedAttempts的截面如下;其他的
CSVPassedAuthentications
CSVRADIUSAccounting
CSVTACACS+Accounting
CSVTACACS+Administration
CSVVoIPAccounting
设置雷同。
●在EnableLogging钩选LogtoCSVFailedAttemptsreport
●在SelectColumnsToLog选择所需要的项目
●在LogFileManagement选择每天Everyday
●钩选ManageDirectory选择Deletefilesolderthandays例如365天!
配置完成后按Subimt提交。
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
第10章配置ACSBACKUP
在ACS服务器的SystemConfiguration中将配置ACSBackup,如下图:
●在ACSBackupScheduling选择所需要的项目,例如Every5minutes
●在BackupLocation选择保存时间,例如Deletefilesolderthan
365
days!
配置完成后按Subimt提交。
此文档是由网络收集并进行重新排版整理.word可编辑版本!