知Tacacs秦军2014-03-05发表ComwareV5平台交换机结合CiscoACS5.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
mansora怎么样?mansora是一家国人商家,主要提供沪韩IEPL、沪日IEPL、深港IEPL等专线VPS。现在新推出了英国CN2 KVM VPS,线路为AS4809 AS9929,可解锁 Netflix,并有永久8折优惠。英国CN2 VPS,$18.2/月/1GB内存/10GB SSD空间/1TB流量/100Mbps端口/KVM,有需要的可以关注一下。点击进入:mansora官方网站地址m...
Mineserver(ASN142586|UK CompanyNumber 1351696),已经成立一年半。主营香港日本机房的VPS、物理服务器业务。Telegram群组: @mineserver1 | Discord群组: https://discord.gg/MTB8ww9GEA7折循环优惠:JP30(JPCN2宣布产品可以使用)8折循环优惠:CMI20(仅1024M以上套餐可以使用)9折循...
昨天,有在"阿里云秋季促销活动 轻量云服务器2G5M配置新购年60元"文章中记录到阿里云轻量服务器2GB内存、5M带宽一年60元的活动,当然这个也是国内机房的。我们很多人都清楚备案是需要接入的,如果我们在其他服务商的域名备案的,那是不能解析的。除非我们不是用来建站,而是用来云端的,是可以用的。这不看到其对手腾讯云也有推出两款轻量服务器活动。其中一款是4GB内存、8M带宽,这个比阿里云还要狠。这个真...
服务器是干什么的为你推荐
国内域名注册国内最好的域名注册服务机构?.net虚拟主机哪里有支持net4.0的虚拟主机me域名注册请问 .me 域名在哪里注册或查看,至少万网查不到全能虚拟主机时代互联的全能云虚拟主机怎么样,稳不稳定,速度怎么样的?免费虚拟主机空间谁知道有没有免费的虚拟主机空间域名备案查询网站备案查询虚拟主机代理谁给推荐个好的虚拟主机无限级代理海外主机为什么国外的主机和国内的有这么大的差别?查询ip如何查IP网址免费域名空间哪个免费空间的域名最好
子域名查询 绍兴服务器租用 成都主机租用 免费vps 免费申请网站域名 狗爹 英语简历模板word 网页背景图片 国内php空间 新天域互联 服务器维护方案 国外代理服务器软件 流量计费 cdn加速是什么 空间登陆首页 石家庄服务器托管 杭州电信宽带优惠 镇江高防 酸酸乳 国外免费云空间 更多