授权服务器是干什么的
服务器是干什么的 时间:2021-01-08 阅读:()
知Tacacs秦军2014-03-05发表ComwareV5平台交换机结合CiscoACS5.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
小白云 (80元/月),四川德阳 4核2G,山东枣庄 4核2G,美国VPS20元/月起三网CN2
小白云是一家国人自营的企业IDC,主营国内外VPS,致力于让每一个用户都能轻松、快速、经济地享受高端的服务,成立于2019年,拥有国内大带宽高防御的特点,专注于DDoS/CC等攻击的防护;海外线路精选纯CN2线路,以确保用户体验的首选线路,商家线上多名客服一对一解决处理用户的问题,提供7*24无人全自动化服务。商家承诺绝不超开,以用户体验为中心为用提供服务,一直坚持主打以产品质量用户体验性以及高效...
PIGYun月付14.4元起,美国洛杉矶/韩国VPS七月6折
PIGYun是成立于2019年的国人商家,提供香港、韩国和美西CUVIP-9929等机房线路基于KVM架构的VPS主机,本月商家针对韩国首尔、美国洛杉矶CUVIP-AS29、GIA回程带防御等多条线路VPS提供6-8.5折优惠码,优惠后韩国首尔CN2混合BGP特惠型/美国洛杉矶GIA回程带10Gbps攻击防御VPS主机最低每月14.4元起。下面列出几款不同机房VPS主机配置信息,请留意不同优惠码。...
蓝速数据(58/年)秒杀服务器独立1核2G 1M
蓝速数据金秋上云季2G58/年怎么样?蓝速数据物理机拼团0元购劲爆?蓝速数据服务器秒杀爆产品好不好?蓝速数据是广州五联科技信息有限公司旗下品牌云计算平台、采用国内首选Zkeys公有云建设多种开通方式、具有IDC、ISP从业资格证IDC运营商新老用户值得信赖的商家。我司主要从事内地的枣庄、宿迁、深圳、绍兴、成都(市、县)。待开放地区:北京、广州、十堰、西安、镇江(市、县)。等地区数据中心业务,均KV...
服务器是干什么的为你推荐
-
域名注册公司找家正规的中文域名注册公司便宜的虚拟主机免费、便宜的虚拟主机哪里有?要好用的 ,速度快的域名申请申请域名需要什么条件?具体点!急!急!!!云服务器租用谁知道租用服务器、云主机去哪里租?服务器租用费用价格是多少呀asp虚拟空间asp视频聊天室系统支持虚拟空间国外网站空间国内空间 美国空间 香港空间相比较,哪个好?1g虚拟主机网站空间1G是多少M,网站空间用1G虚拟主机够吗。价格多少,数据库和网站有什么关系下载虚拟主机怎么安装虚拟机windows虚拟主机windows10用什么虚拟机美国虚拟主机推荐美国独立ip虚拟主机哪儿有,推荐下?