Cisco ACS AAA认证(Networking)
ACS介紹
思科安全訪問控制服務器(Cisco Secure Access Control Server)是一個高度可擴展、高性能的訪問控制服務器,提供了全面的身份識別網絡解決方案,是思科基于身份的網絡服務(IBNS)架構的重要組件。Cisco Secure ACS通過在一個集中身份識別聯網框架中將身份驗證、用戶或管理員接入及策略控制相結合,強化了接入安全性。這使企業網絡能具有更高靈活性和移動性,更為安全且提高用戶生產率。Cisco Secure ACS 支持范圍廣泛的接入連接類型,包括有線和無線局域網、撥號、寬帶、內容、存儲、VoIP、防火墻和 VPN。Cisco Secure ACS 是思科網絡準入控制的關鍵組件。(以上來自百度百科)
ACS安裝
我這里是在Vmware上安裝的ACS,安裝步驟請自行百度。這里不再贅述。(當然如果不會可以留言,我發安裝步驟的鏈接)
ACS AAA認證
好嘞,廢話不多說開始!
這里以Cisco設備配合ACS做Tacacs+認證,包含認證、授權、計費的詳細信息。
1、上拓撲
2、在AAA-Client上配置接口IP地址以及AAA
AAA-Client(config)#interface ethernet 0/0
AAA-Client(config-if)#no shutdown
AAA-Client(config-if)#ip address dhcp
AAA-Client(config-if)#exit
AAA-Client(config)#interface ethernet 0/1
AAA-Client(config-if)#no shutdown
AAA-Client(config-if)#ip address 12.1.1.1 255.255.255.0
AAA-Client(config-if)#exit
AAA-Client(config)#aaa new-model
AAA-Client(config)#aaa authentication login default group tacacs+ //創建一個登陸AAA認證默認模板,tacacs+認證方式
AAA-Client(config)#aaa authentication enable default group tacacs+ //創建一個默認enable AAA認證模板,tacacs+認證方式
AAA-Client(config)#aaa authorization exec alex group tacacs+ //創建一個exec AAA授權模板名字為alex,tacacs+認證方式
AAA-Client(config)#aaa accounting commands 15 alex start-stop group tacacs+ //創建一個記賬模板,記錄15級用戶的commands使用tacacs+認證方式
AAA-Client(config)#line vty 1 4 //進入vty配置模式
AAA-Client(config-line)#transport input all //開啟遠程登陸
AAA-Client(config-line)#login authentication default //調用認證方式
AAA-Client(config-line)#authorization exec alex //調用授權方式
AAA-Client(config-line)#accounting commands 15 alex //調用記賬方式
AAA-Client(config)#tacacs-server host 172.16.30.206 //指定AAA服務器
AAA-Client(config)#tacacs-server key 0 Aa123456 //配置預共享密鑰
3、在R1上配置IP地址,并測試與AAA-Client之間的連通性
R1(config)#interface ethernet 0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 12.1.1.2 255.255.255.0
R1(config-if)#end
R1#ping 12.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 12.1.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R1#
4、在AAA-Client上測試與ACS之間的連通性
AAA-Client#ping 172.16.30.207
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.30.207, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
AAA-Client#
5、在ACS上添加AAA-Client,設置Tacacs+認證以及預共享密鑰
點擊左下角提交即可
6、在ACS上添加用戶,并設置enable密碼
點擊左下角提交即可
7、在ACS上配置等級3,等級10,等級15,三個模板
點擊左下角提交即可(等級10,等級15類似,這里不再贅述)
在Command sets選項中可以針對用戶下發某些可以執行的命令操作。
8、在ACS上配置授權模板
ACS會默認存在兩條Rule,我們只需要注意TacacsRule對應 Default Device Admin,然后我們去創建我們的授權(ACS會存在一條默認的允許通過的授權)
10、在ACS上查看日志信息
10、使用權限10測試
修改第八步,調用Exec-10
11、在R1上telnet AAA-Client測試
12、在ACS上查看日志信息
13、Exec-10這里不再贅述
14、在R1上敲隨便N條命令
15、在ACS上查看審計信息
至此,Tacacs+認證、授權、審計操作完成。
報文可以點此鏈接自行獲取,從認證到審計。
文檔:AAA.note
鏈接:點擊跳轉
總結
以上是生活随笔為你收集整理的Cisco ACS AAA认证(Networking)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: as5300g2 nas软件功能_铁威马
- 下一篇: Hook技术简单介绍