授权服务器是干什么的
服务器是干什么的 时间:2021-01-08 阅读:()
知Tacacs秦军2014-03-05发表ComwareV5平台交换机结合CiscoACS5.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
Megalayer美国独立服务器配置及性能速度综合评测
Megalayer 商家在之前也有记录过,商家开始只有提供香港站群服务器和独立服务器,后来也有增加到美国独立服务器,以及前几天也有介绍到有增加香港VPS主机。对于香港服务器之前有过评测(Megalayer香港服务器配置一览及E3-1230 8GB服务器评测记录),这里申请到一台美国独立服务器,所以也准备简单的评测记录。目前市场上我们看到很多商家提供VPS或者云服务器基本上没有什么特别的,但是独立服...
PacificRack(年付低至19美元),夏季促销PR-M系列和多IP站群VPS主机
这几天有几个网友询问到是否有Windows VPS主机便宜的VPS主机商。原本他们是在Linode、Vultr主机商挂载DD安装Windows系统的,有的商家支持自定义WIN镜像,但是这些操作起来特别效率低下,每次安装一个Windows系统需要一两个小时,所以如果能找到比较合适的自带Windows系统的服务器那最好不过。这不看到PacificRack商家有提供夏季促销活动,其中包括年付便宜套餐的P...
香港 1核1G 29元/月 美国1核 2G 36元/月 快云科技
快云科技: 11.11钜惠 美国云机2H5G年付148仅有40台,云服务器全场7折,香港云服务器年付388仅不到五折 公司介绍:快云科技是成立于2020年的新进主机商,持有IDC/ICP/ISP等证件资质齐全主营产品有:香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机官网地址:www.345idc.com活动截止日期为2021年11月13日此次促销活动提供...
服务器是干什么的为你推荐
-
域名空间代理我想做域名空间代理!免费国外空间哪些免费的国外空间最好?速度快.功能大?vps试用求个免费现成的vps(可永久可试用)国外主机空间可以购买国外主机(空间一样吗?)来做私服吗?域名申请申请域名需要哪些流程具体点 谢谢香港虚拟空间请大哥帮个忙,介绍可靠的香港虚拟主机?asp网站空间说ASP空间是做网站的空间是啥意思?手机网站空间谁有上手机网站刷空间人气的网址什么是虚拟主机什么是“虚拟主机”?请解释祥细些!apache虚拟主机apache里面可以在虚拟主机里边设置虚拟目录吗?急,在线等!