ACS與目錄伺服器結合進行身份控制管理

ACS 與目錄伺服器結合進行身份控制管理 一、 應用背景

公司網絡的應用中，經常面臨一個使用者要配置有多個使用者名，多個密碼的問題：

1.  公司的計算機網絡上有較多的防火牆、交換機裝置，各區域公司總共在100台左右，管理者首先面對的問題是密碼管理問題，大量的裝置密碼配置工作量大，并且難于記憶，常常導緻裝置的密碼長時間不變，甚至1年到2年不變，存在安全隐患。

2.  企業網絡内部運作許多應用軟體，随之而來的問題是多個使用者名多個密碼的問題，給使用者帶來很多不便，大量增加了網絡管理者的負擔。

目錄伺服器如Windows Active Directory可以有效解決第二個問題，第一個問題可以應用Cisco ACS軟體的目錄內建功能，使它有效的與目錄伺服器Windows Active Directory,內建，大大的簡化了管理者的負擔，提高工作效率，并且Windows Active Directory有很好的使用者管理制度，級别的劃分使管理者可以輕松的配置設定資源。

二、實作目标

全網應用一套使用者名，一套密碼。

思科交換機的使用者名/密碼使用Windows Active Directory的使用者名/密碼

思科交換機的使用者名/密碼集中管理，權限管理。

所有全網的思科交換機的登入密碼在ACS配置，不同的使用者賦予不同的權限。

三、ACS伺服器配置步驟

Cisco ACS支援Windows Active Directory等目錄伺服器，下面以Cisco ACS與Windows 2003 的Active Directory內建為例，安裝過程很簡單，主要是next一路下來，主要記錄配置測試過程:

1、 ACS安裝完成後，在ACS伺服器上點選圖示

，運作ACS管理控制台後，出現管理界面：

2、 在控制台左面菜單裡，點選

，增加控制台管理者，增加一個名稱為CISCO的使用者，并将所有權限加上。

3、 ACS管理者可以通過http://ACS伺服器IP位址：2002 遠端通路控制台，輸入剛才設定的管理者帳戶密碼即可登陸控制台

4、 點選

，設定組管理，将group1 改名為shanghai

5、編輯 shanghai 組，可以賦予組權限，這裡設定一些相關權限：

Max Sessions 、

Max Privilege for any AAA Client、

TACACS+ Settings

5、 點選

，配置使用者，增加一個使用者wang.sheng1:

Password認證選擇 Windows Database,屬于shanghai組

Advanced  TACACS+ 設定個人使用者設定權限，可以按照先前的組設定，也可以單獨設定

6、 點選

，設定AAA伺服器和用戶端網絡配置，如圖是我設定的一個測試用伺服器和一台IP為10.0.251.1的交換機

7、 點選

設定，認證資料庫為ＡＤ域ccdi.local

四、裝置端配置

1、 在裝置端定義tacacs+伺服器位址以及key

SWTH(config)# tacacs-server host 10.0.15.69

SWTH(config)# tacacs-server directed-request

SWTH(config)# tacacs-server key CISCO

b) 在ACS端定義裝置的IP位址（參考ACS基本配置）

c) 在ACS上面建立使用者名和使用者組

2、在裝置端配置AAA認證

SWTH(config)# enable secret 123 ‘定義enable密碼

SWTH(config)# username abc password 456 ‘定義本地資料庫

SWTH(config)# aaa new-model   ‘啟用AAA認證

SWTH(config)# aaa authentication login default group tacacs+ local  ‘設定登陸驗證預設為采用先ACS伺服器再本地驗證（當ACS伺服器不可達才用本地資料庫驗證）

SWTH(config)# aaa authentication enable default group tacacs+ enable  ‘設定enable進入特權模式預設為采用先ACS伺服器再本地enable設定的密碼

SWTH(config)#aaa accounting commands 0 default start-stop group tacacs+ ‘這條記帳方式對登入使用者輸入的所有特權級别為0的指令進行記錄

SWTH(config)#aaa accounting commands 1 default start-stop group tacacs+‘這條記帳方式對登入使用者輸入的所有特權級别為1的指令進行記錄

SWTH(config)#aaa accounting commands 15 default start-stop group tacacs+‘這條記帳方式對登入使用者輸入的所有特權級别為1的指令進行記錄

3、 驗證

 telnet登陸：telnet 10.0.251.1，輸入wang.sheng1的使用者名和密碼，登陸成功，用本地資料庫使用者名和密碼登陸失敗（因為根據前面設定，SWTH首先會去ACS伺服器進行驗證，當ACS伺服器不可達時，才會用本地資料庫驗證）。關掉ACS伺服器用本地資料庫驗證成功

ACS伺服器記賬：如下圖，記錄了wang.sheng1帳戶在IP為10.0.251.1的交換機上作的操作指令記錄

五、最終實作的功能：

1、所有裝置的認證、授權和記帳都由ACS統一管理。

2、認證部分：所有使用者都在ACS上設定并統一管理，無需每台裝置都設定一次使用者名密碼。

3、授權部分：使用者經過認證後，由ACS直接授權使用者級别，同時，考慮到可能會由于網絡或認證伺服器故障，導緻裝置與認證伺服器之間無法通訊導緻無法認證，是以，裝置仍然可以通過本地帳戶進行配置。

4、記帳部分：ACS上會記錄下所有使用者的登入和退出的時間，逗留的時長，從哪個IP位址登入，所登入的裝置等資訊，同時，會記錄下使用者所有在裝置上輸入的指令和輸入指令的時間。