授权服务器是干什么的
服务器是干什么的 时间:2021-01-08 阅读:()
知Tacacs秦军2014-03-05发表ComwareV5平台交换机结合CiscoACS5.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
美国云服务器 2核4G限量 24元/月 香港云服务器 2核4G限量 24元/月 妮妮云
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款到网站余额,超过2天...
IMIDC彩虹数据:日本站群多ip服务器促销;30Mbps带宽直连不限流量,$88/月
imidc怎么样?imidc彩虹数据或彩虹网络现在促销旗下日本多IP站群独立服务器,原价159美元的机器现在只需要88美元,而且给13个独立IPv4,30Mbps直连带宽,不限制月流量!IMIDC又名为彩虹数据,rainbow cloud,香港本土运营商,全线产品都是商家自营的,自有IP网络资源等,提供的产品包括VPS主机、独立服务器、站群独立服务器等,数据中心区域包括香港、日本、台湾、美国和南非...
BlueHost主机商年中618活动全场低至五折
BlueHost 主机商在以前做外贸网站的时候还是经常会用到的,想必那时候有做外贸网站或者是选择海外主机的时候还是较多会用BlueHost主机商的。只不过这些年云服务器流行且性价比较高,于是大家可选择商家变多,但是BlueHost在外贸主机用户群中可选的还是比较多的。这次年中618活动大促来袭,毕竟BLUEHOST商家目前中文公司设立在上海,等后面有机会也过去看看。他们也会根据我们的国内年中促销发...
服务器是干什么的为你推荐
-
广东虚拟主机西部数码和中国万网,哪家的虚拟主机哪个好,用过的说说?免费云主机免费云主机哪家好?中文域名注册查询域名还分中文和英文的吗,在哪里可以查到中文域名到期了?域名服务商比较专业的域名服务商有哪些?好的域名和域名服务商没关系吧?代理主机如何将我工作的电脑设置为代理主机 让我回家以后可以用家里的电脑连接店里的主机访问网络美国服务器托管美国网站服务器去哪里租?网站空间商网站备案为什么是空间商备案?求解西安虚拟主机如何评价虚拟主机的优劣安徽虚拟主机合肥蜀山区哪家网络公司做网站最好www二级域名www是二级域名,w也是二级域名 权重一样高吗?