【服务】ACS服务器安装维护文档.pdf

《【服务】ACS服务器安装维护文档.pdf》由会员分享，可在线阅读，更多相关《【服务】ACS服务器安装维护文档.pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、文档来源为从网络收集黎理.word版本可编辑欢迎下载支持【关键字】服务ACS服务器维护文档2006年6月目录文档来源为从网络收集黎理.word版本可编辑欢迎下载支持文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第1章版本更新记录；前言文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第2章ACS服务器设备2.1安装要求ACS服务器；.装要求建议X86破伶要求CPU:P-IV以上、RAM：以上、r撒以上安装windows2000 server英文版SP4+IE6以上并正常运行。安装JavaPlatform并正常运行。ACS服务器与AAAClient之间的网络已连接Cisc。IOS

2、版本在lI.l或以上。2.2 ACS服务器网络连接说明ACS服务哥哥名称及IP对端设备及IPPrimary ACS Server GZ7609,FastEthernet1/4 7 ACS-A,10.243.239.241/30 IP:10.243.239.242/30 FastEthernet1/48 10.243.253.250/30 10.243.253.249/30 Secondary ACS Server GZNE40:Ethernet3/0/14 ACS-8:10.243.239.245/30 IP:10.243.239.246/30 Ethernet3/0/15 10.243.25

3、4.250/30 10.243.254.249/30 2.3设备清单设备清单：产品型号J甜述CSACS-3.3-WIN-K9 Cisco Secure ACS 3.3 for Windows exeon EM64T 3.2GHz/2M,800MHz FSB,2-SMP,2512MB,HS U320 8840109 146GB SCSI,Light Path,2Giga Ethernet,2U,ServerRAID 7e e 3.2GHz/800MHz-2MB L2 Cache 数量广州7609广州NE40数量CISCO 1 IBM 2 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持X

4、eon Processor e1GB(2x512MB)PC2-3200 ECC DDR2 RDIMM Kit e146.8GB 10K rpm Ultra320 SCSI HOD e lBM 17 elBM键位鼠标产品序列号：产品型号描述序列号e xeon EM64T 3.2GHz/2M,800MHz FSB,2-SMP,2512MB,HS U320 146GB SCSI,Light Path,2Giga Ethernet,2U,ServerRAID 7e e 3.2GHz/800MHz-2MB L2 Cache Xeon Processor 99AWCYL 8840109 e1GB(2x51

5、2MB)PC2-3200 ECC DDR2 RDIMM 99AWTBL Kit e146.8GB 10K rpm Ultra320 SCSI HOD e lBM 17 elBM键盆鼠标CSACS-3.3-WIN-K9 Cisco Secure ACS 3.3 for Windows 无文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第3章ACS服务器安装3.1安装操作系统步骤一：安装和自己置windows2003英文版server，使之能与CiscoSecure ACS for Windows一同工作。步骤二：使用Ping或telnet，验证ACS服务苦苦与AAAclient之间的基本

6、连接是否正常。步骤三：在windows2003英文版server上安装CiscoSecure ACS for Windows 步骤囚：通过WEB浏览器配置CiscoSecure ACS for W indows 步骤五：配置ACS服务器AAA步骤六：校验安装和操作的正确性。3.2配置Wind。ws2003 server服务器将2台服务器配置成域控制器：ACS-A是PrimaryACS Server lircrosoft W indows 2003 Domain Controller ACS也是SecondaryACS Server M ircrosoft W indows 2003 Domai

7、n Controller 3.3校验Wind。ws服务器和其他网络设备之间的连接步骤：使用Ping或telnet，验证Windows服务器与其他网络设备之间的连接基本连是否正常。3.4在wind。ws2000server上安装Cisc。SecureACS for Windows 步骤一：运行CiscoSecure ACS for Windows的安装程序开始安装，安装过程中选择并配置ACS数据库。如下图：步骤二：用阳B浏览器为网络设备配置CiscoSecure ACS for W indows 步骤三：为CiscoSecure ACS for Windows配置网络设备。3.5通过WEB浏览器

8、运行Cisc。SecureACS for Windows Cisco Secure A臼forWindows安装成功后，在Windows2000server的桌面会生成ACSAdmin的图标，可以通过基于web的GUI来自己盟和管理CiscoSecure ACS for Windows，选择该图标，用.1:2002来加载浏览器。浏览器加载后会出现CiscoSecure ACS for Windows的导航条，每个导航条按钮都代表一个特定的区域或配置功能，主界面如下图：文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第4章配置ACS.服务器4.1 配置UserSetup 点击UserSe

9、tup按钮，出现如下图所示的界丽：说明：在User:输入用户名，按Find按钮可以查找；按Listall User按钮可以歹1出所有用户；按Add/Edit按钮，可增加用户，如下图所示：输入该用户的信息：SupplementaryUser Info User Setup Account Disable CiscoSecure PAP Advanced TACACS+Settings TACACS+Enabl e Password 按Submit完成该用户的添加，按Delete可以删除该用户。添加完成后，按Listall User按钮可以列出所有用户，如下阁所示：设置举例：任务为建立一个用户名为

10、cisco的用户，属于default怨，步骤L打开usersetup如下图：User:List users beginning with letter/number:ABCDEFGHIJKLM QP.QR豆I旦旦旦王工Z0123456789 在user输入cisco级别15步骤2按add出现如下阁，按阁中的要求填入相关的参数：（红色字体是重要的参数User:cisco(New User)厂Account Disabled 亡Supplementary User Info Real Name Description User Setup 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持P

11、assword A uthent ication:CiscoSecure PAP(Also used for C阳P/MS-C阳P/ARAP,if the Separate f ield is not checked.)Password Confirm Password Separate(CH A P/MS-CH A P/ARAP)Password Confirm Password When a token server is used for authentication,supplying a separate CHAP password for a token card user all

12、ows CHAP authentication.This i s especially useful when token caching i s enabled.Group to which the user is assigned:Callback Use group setting No callback allowed r aiw 帅n eJ-l b 伞ughu n 唱AeJ U k c a LU 咱EE咱EEa FU Dialup client specifies callback number Use Windows Database callback settings Clien

13、t IP Address Assignment Use group settings No IP address assignment Assigned by dialup client Assign static IP address f 咱EAo o ny t n e 唱品咱EAc 川mvd LU.d e n gb 唱Apa pa AA Advanced Settings 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持Network Access Restrictions（阳R)Max Sessions Sessions available to user Unlim ited

14、Use group setting Account Disable Ci Never r Disable account if:Date exceeds:Failed attempts exceed:Failed attempts since last successful l。gin:0 Reset current failed attempts count on submit Advanced TACACS+Settings TACACS+Enable Control:Use Group Level Setting No Enable Privilege lax Privilege for

15、 any AAA Client TACACS+Enable Password Cse CiscoSecure PAP password Use external database password Use separate password 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持TACACS+Outbound Password Password Conf irm Password(Used for SendPass and SendAuth clients such as routers)TACACS+Settings PPP IP In access control lis

16、t 队Jtaccess control list Route Rout ing Password Conf irm Password 厂EnabledNote:PPP LCP wi 11 be aut。maticallyenabled if this service is enabled Shell(exec)Access control list Auto command Callback line Callback rotary Idle t ime No callback veri fy No escape No hangup Privilege level Timeout Shell

17、Command Authorization Set None As Group 厂Enabled广EnabledEnabledAssign a Shell Command Authorization Set for any network device Per User Command Author ization 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持Unmatched Cisco!O S commands r Permit(0 Deny Command:Arguments:Unlisted arguments r Permit.Deny 重要参数的说明：1.Passwor

18、d Authentication：设置用户密码2.Group to which the user is assigned：用户属于那个组3.TACACS+Enable Control：用户属于那个exec级别，有0-15可选4.TACACS+Enable Password：用户的enable密码设置，选UseCisc。SecurePAP pa.ssw。rd5.TACACS+Settings:iz;取Shell(exec）和PPPIP 6.N etwork Access Restricti。ns网络访问限制7.Shell c。mmand Auth。r izati。nSet：一般逃AsGr。up设

19、置完成后按submit提交，完成用户cisco的添加4.2配置GroupSetup 按GroupSetup导航条，打开GroupSetup界面，如下图所示：说明：按Usersin Group显示该组的用户按RenameGroup可更改组名按EditSettings可以编辘该组，编辘组的设置界面如下图所示：4.3配置ShareProfile Compoents 点击ShareProfile Compoents打开共享配置组件，如下图：说明：可以进行：ShellCommand Authorization Set s PIX Command Authorization Sets的设置文档来源为从网络

20、收集黎理.word版本可编辑欢迎下载支持设置举例：任务是设置一个名为qq的profiles，禁止和允许用户在路囱器上使用showrunning-cong和configureterminal 步骤1.打开ShellCommand Authorization Set 步骤2.在Name输入：qq步骤3.:(:E Description输入描述步骤4在UnmatchedCornmands左边输入show，在右边输入permitrunning-config 步骤5.在UnmatchedCommands左边输入configu陀，在右边输入d巳nytenninal 步骤6.按submit提交完成。4.4配

21、置NetworkConfiguration 点击Network Configuration打开网络自己盟的界面，如下图：说明：可以进行AAAClients和AAAServers的添加及SearchAAA Clients的添加界面如下：说明：ACS管理员可根据提示输入：AAAClient Hostname AAA Client IP Address 和key等信息，按submit提交。AAA Servers的添加界丽如下：说明：AC！亏管理员可根据提示输入：AAAServer Hostname AAA Server IP Address 和k町、AAAServer Type、TrafficTyp

22、e等信息，按submit提交。4.5配置Systemc。nfiguration作用：启动和停止CiscoSecure ACS for Windows服务，配置日志记录、控制数据库复制、控制RDBMS同步，其设置界面如下阁：说明：System Configuration可让ACS管理员操作：Service Control Logging Date Format Control Local Password Managment ACS Backup ACS Restore ACS Service Managment ACS Cer t if icate setup Global Authentic

23、ation Setup 4.6配置InterfaceConfigUration 作用：配置在记帐日志记录的用户定义字段，配置RADIUS和TACACS选琐，控制选琐在用户借口中 的显示。点击Interfac巳Configuration打开接口配置，界面如下图：说明：ACS管理员在该界面可以进行下列配置：User Data Configuration TACACS+(Cisco IOS)文档来源为从网络收集黎理.word版本可编辑欢迎下载支持Advanced Options 4.7配置AdministrationControl 作用：控制网络工作站对CiscoS巳cureACS for Wind

24、ows的管理，按Ad1ninistrationControl导航按钮打开管理控制，出现如下界面：说明：ACS管理员进入该界面可以进行Administrator的增加acess policy session policy audit policy的操作4.8配置ExternalUser Databases 作用：自己置未知用户策略、配置未知用户授权特权，配置外部数据库类型。ExternalUser Databases的设置界面如下图：说明：ACS管理员可以进行下列设置操作U nknown User Policy Database Group Mapping Database Configurat

25、ion 4.9查看Reportsand Activity 作用：可以查看一些报告类型的列袭，界丽如下图：说明：ACS管理员可以进行下歹1设置或操作TACACS+Accounting 记ITACACS+Administrator记帐RADIUS Accounting记帐Voip Accounting 记帐Passed Authentication Failed Attempts Logged-in Users Disabled Accounts ACS Backup And Restore Administrator Audit User Password Changs ACS Service

26、Monitoring 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持4.10查看侃lineDoucumentation 作用：CiscoS巳cureACS for Windows的在线帮助文档，界而如下阁。ACS系统管理员可以在线进行帮助文挡查阅。文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第5章校验正确安装和操作要校3金安装是否正确，首先需要访问服务控制页丽，检查CiscoSecure ACS for Windows的服务是否在运行。可以进行下列操作：步骤一：在导航条上点Systemconfiguration。步骤二：点ServiceContrl，会显示CiscoSec

27、ure ACS for Windows 的服务状态，接着，需要从一台配置成该服务器的设备上进行认证和授权测试。步骤三：telnet连接到服务器。步骤囚：按系统的提示输入用户名和密码步骤五：基于所使用的用户名，校验是否能够得到所期望的控制级别。步骤六：如果有问题，再次校验路由器上的配置，然后再检查为该用户建立的CiscoSecur e ACS for Windows自己置。文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第6章配置AAAC-lient 6.1使用TACACS认证基本配置命令和说明（Cisco设备）:aaa new-model 在路由器上启用AAAaaa authent i

28、cation login defaul t group tacacs+local 设置AAA认证，在登陆时使用缺省列表与TACACS服务器比较，当TACACS+服务器不可用时，使用本地用户和密码登陆aaa authent ication login console-in group tacacs+local 设置AAA认证，在登陆时使用console-in列表与TACACS服务器比较，当TACACS服务器不可用时，使用本地用户和密码登陆aaa authorization commands 4 default group tacacs+local 路l主器用tacacs服务器来校验每一个权限高于

29、4的命令当TACACS服务器不可用时，使用本地校验aaa authorization exec default tacacs+local 该命令告诉路l如器使用tacacs服务器检验用户权限，如果tacacs服务器报销则用路l如器本地设置检验用户权限。aaa accounting system defaul t wait-start group tacacs+使用wait-start方法审计系统察件aaa accounting exec default star t-stop group tacacs+当EXEC过程开始时发送一个开始记录通知，当EXEC过程结束时发送一个停止记录通知aaa a

30、ccounting commands 15 defaul t wait-star t group tacacs+在任何级别15的命令开始之前发送一个开始记录通知，并等待确认，当命令停止时，发送一个停止记录。aaa accounting commands 1 defaul t wait-star t group tacacs+在任何级别1的命令开始之前发送一个开始记录通知，并等待确认，当命令停止时，发送一个停止记录。aaa accounting network defaul t stop-only group tacacs+当网络服务中断时，发送停止记录通知tacacs-server host

31、192.168.168.48 key cisco 指定tacacs-server的地址和keyip tacacs source-interface LoopbackO usern甜eadmin password dfd3434324#建立本地用户和密码Debug aaa authentication 显示有关认证功能的调试信息Debug aaa authorization 显示有关授权功能的调试信息Debug aaa accounting 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持显示有关记帐功能的调试信息6.2使用RADIUS认证基本配置命令说明（Cisco设备）:aaa ne

32、w-model 在路由器上启用AAAaaa authentication login default group radius local 设置AAA认证，在登陆时使用缺省歹1表与Radius服务器比较，当Radius服务器不可用时，使用本地用户和密码登陆aaa accounting system default wait-start group radius 使用wait-start方法审计系统事件aaa accounting exec default start-stop group radius 当EXEC过程开始时发送一个开始记录通知，当EXEC过程结束时发送一个停止记录通知aaa a

33、ccounting network default stop-only group radius 当网络服务中断时，发送停止记录通知username cisco privilege 15 password O cisco 建立本地用户和密码radius-server host 192.168.168.48 key cisco 指定radius-server的地址和keyDebug aaa accounting 显示有关认证功能的调试信息Debug aaa authorization 显示有关授权功能的调试信息Debug aaa authentication 显示有关记帐功能的调试信息6.3华为

34、设备的RADIUS的配置模板zaaa enable aaa authentication-scheme local-first radius server 10.X.X.X radius shared-key XXXXX aaa authentication-scheme login default radius local user-interface vt y O 4 authentication-mode scheme default 文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第7章配置ACS数据库复制7.1配置ACS-A成为PrimaryACS Server 7.1.1配

35、置ACS-ANetwork Configuration 在ACS-A的Net1.vorkConfiguration中将ACS-B添加为AAASERVER，详细的添加方法见4.4节，添加后如下阁：7.1.2配置ACS-A的SystemConfiguration 在ACS-A的Syste1nConfiguration中将配置Databasereplication.如下阁：在DatabaseReplication Setup中Send钩选下列：User and group database Netork Configuration Device tables Distribution table I

36、nterface configuration Interface security settings PassOrd validation settings 在OutboundReplication中计划Scheduli吨，例如每5分钟进行一次复制。在Partners中将ACS-B添加为同伴。在InboundReplication中选Acceptreplication fro1n为ACS-B选择后按提交确定。如下图：7.2配置ACS-8成为Sec。ndaryACS Server 7.2.1配置ACS-BNetwork Configuration 在ACS-B的NetworkConfigurat

37、ion中将ACS-A添加为AAASERVER，详细的添加方法见4.4节，添加后如下图：7.2.2配置ACS-B的SystemConfiguration 在ACS-B的Syste1nConfiguration中将配置Databasereplication。如下阁：在DatabaseReplication Setup中Receive钩选下f1J:User and group database Netork Configuration Device tables Distribution table Interface configuration Interface security setting

38、s PassOrd validation settings 在Partners中不需要将ACS-A添加为同伴。在InboundReplication中选Acceptreplication fro1n为ACS-A文档来源为从网络收集黎理.word版本可编辑欢迎下载支持选择后按提交确定。如下图：经过上述两个步骤，两台ACSserver之间的数据库复制设置完成。文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第8章配置远程管理ACS服务器J8.1配置Wind。ws2003 server远程桌面开启两台Windovs2003 server远程桌丽的远程桌面功能，以便使远程客户端能够远程访问AC

39、S服务器。8.2配置Administrati。nc。ntrol以便能远程管理ACSServer 点击AdministrationControl按钮进入Administration Control配置界面，按AddAdministrator，然后按提示输入Administrator、Password、再配置Administrator Privileges，可以选GrantALL，按Submit提交。完成该配置后，可以在远程讨算机输入htto:/acsserverIPaddress:2002来远程管理acsserver。如下图所示：文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第9章配置

40、ACS服务器loging从Syste,nConfiguration进入loging，在LoggingConfiguration可设置如下内容，如下阁：CSV Failed Atte,npts CSV Passed Authentications CSV RADIUS Accounting CSV T ACACS+Accounting CSV T ACACS+Ad,ninistration CSV VoIP Accounting 设置CSVFailed Attempts的截丽如下；其他的CSV Passed Authentications CSV RADIUS Accounting CSV T

41、ACACS+Accounting CSV T ACACS+Ad,ninistration CSV VoIP Accounting 设置雷同。在EnableLogging钩选Logto CSV Failed Atte,npts report 在SelectColu,nns To Log选择所需要的项目在LogFile Manage,nent选择每天Everyday 钩选ManageDirectory选择Deletefiles older than days例如365天！配置完成后按Subi,nt提交。文档来源为从网络收集黎理.word版本可编辑欢迎下载支持第10章配置ACSB.ACKUP 在ACS服务器的Syste1nConfiguration中将配置ACSBackup，如下图：在ACSBackup Scheduling选择所需要的项目，例如Every5 minutes 在BaupL启can j在择保存时l司，例如Deletefiles older than J365 days!配置完成后按Subi1nt提交。此文挡是如网络收集并进行重新排版黎到.word可编稳版本！