Tacacs ACS 服务器使用搭建配置
1.搭建服务器
1.使用相关ACS5.2ISO镜像,在虚拟机上安装,略(简单)
2.破解lisence :
安装完毕reload 重起,进入单用户模式
挂在硬盘mount –t iso9660 /dev/cdrom /media/cdrom/(记得先把设置里硬盘勾选已连接)
复制license认证破解文件
cp /media/cdrom/flexlm-10.9.jar到/opt/CSCOacs/mgmt/apache-tomcat-6.0.18/lib/flexlm-10.9.jar
reboot 破解完成
注:license需要从网上下载到本地,网页加载需要
默认账号:acsadmin,默认密码:default. 第一次进去会被要求重置密码,按提示进行即可。
使用新密码登录,选择下载的license,导入。Acsbase.lic是基础,这里先选择base导入。install
点选下图中的feature option,选择Add/upgrade,导入acsctfeat.lic submit提交。OK,大功告成。
2.服务器配置
1,配置物理位置组和设备类型组
配置每台网络设备的详细信息(客户端)
然后设置需要登录网络设备的用户账户
设置账户属性模板
设置命令集模板
然后到了喜闻乐见的策略配置
先是策略模板的配置当然选tacacs和Device Admin啦
下面是授权策略的配置
服务器端的设置这就完成了撒花!!!
注:按用户组为匹配原则,设备位置要完全一样才能匹配到授权策略,好傻!
下面开始网络设备上的配置
首先,需要设备和服务器网络能连通(废话),确定con密码正确(最后的稻草),vty 使用aaa认证,ssh开启。
登录设备
首先配置tacacs模板
hwtacacs-server template XXX(模板名字,下面要用)
hwtacacs-server authentication XXX.XXX.(认证服务器IP,tacacs默认使用49端口)
hwtacacs-server authorization XXX.XXX.(授权服务器IP tacacs默认使用49端口)
hwtacacs-server shared-key cipher XXXX (共享密匙和服务器上的要一样)
hwtacacs-server timer response-timeout 2(超时回应,可设和不设)
ssh authentication-type default password
这条必须要有,就不用每个用户都打一遍了
配置AAA认证
aaa
authentication-scheme default
authentication-mode hwtacacs local
q
authorization-scheme default
authorization-mode hwtacacs local
authorization-cmd 15 hwtacacs local(使用命令授权)
配置domain域
domain default
authentication-scheme default
authorization-scheme default
hwtacacs-server XXX(使用上文的tacacs模板)
最后启用domain
domain default admin
大功告成!!!!
附:刷交换机配置文本
sys
user-int con 0
authentication-mode password
set authentication password cipher XXXXXXX
q
ssh authentication-type default password
hwtacacs-server template acs
hwtacacs-server authentication XXX.XXX.XXX.XXX
hwtacacs-server authorization XXX.XXX.XXX.XXX
hwtacacs-server shared-key cipher XXXXXXX
hwtacacs-server timer response-timeout 2
q
aaa
authentication-scheme default
authentication-mode hwtacacs local
q
authorization-scheme default
authorization-mode hwtacacs local
authorization-cmd 15 hwtacacs local
q
domain default
authentication-scheme default
authorization-scheme default
hwtacacs-server acs
q
q
domain default admin
q
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。