Tacacs ACS 服务器使用搭建配置

         Tacacs ACS 服务器使用搭建配置

1．搭建服务器
1.使用相关ACS5.2ISO镜像，在虚拟机上安装，略（简单）
2.破解lisence : 
安装完毕reload 重起，进入单用户模式
挂在硬盘mount –t iso9660 /dev/cdrom /media/cdrom/(记得先把设置里硬盘勾选已连接)

复制license认证破解文件
cp /media/cdrom/flexlm-10.9.jar到/opt/CSCOacs/mgmt/apache-tomcat-6.0.18/lib/flexlm-10.9.jar
reboot 破解完成
注：license需要从网上下载到本地，网页加载需要

默认账号：acsadmin，默认密码：default.     第一次进去会被要求重置密码，按提示进行即可。


 使用新密码登录，选择下载的license，导入。Acsbase.lic是基础，这里先选择base导入。install

点选下图中的feature option，选择Add/upgrade，导入acsctfeat.lic submit提交。OK，大功告成。

2.服务器配置
1，配置物理位置组和设备类型组

配置每台网络设备的详细信息（客户端）

然后设置需要登录网络设备的用户账户

设置账户属性模板

设置命令集模板

然后到了喜闻乐见的策略配置

先是策略模板的配置当然选tacacs和Device Admin啦

下面是授权策略的配置

服务器端的设置这就完成了撒花！！！
注：按用户组为匹配原则，设备位置要完全一样才能匹配到授权策略，好傻！

下面开始网络设备上的配置

首先，需要设备和服务器网络能连通（废话），确定con密码正确（最后的稻草），vty 使用aaa认证，ssh开启。

登录设备
首先配置tacacs模板

hwtacacs-server template XXX（模板名字，下面要用）
hwtacacs-server authentication XXX.XXX.(认证服务器IP，tacacs默认使用49端口)
hwtacacs-server authorization XXX.XXX.(授权服务器IP tacacs默认使用49端口)
hwtacacs-server shared-key cipher XXXX （共享密匙和服务器上的要一样）
hwtacacs-server timer response-timeout 2（超时回应，可设和不设）

ssh authentication-type default password
这条必须要有，就不用每个用户都打一遍了
配置AAA认证
aaa
authentication-scheme default
authentication-mode hwtacacs local
q
authorization-scheme default
authorization-mode hwtacacs local
authorization-cmd 15 hwtacacs local(使用命令授权)

配置domain域
domain default
authentication-scheme default
authorization-scheme default
hwtacacs-server XXX（使用上文的tacacs模板）

最后启用domain

domain default admin

大功告成！！！！

附：刷交换机配置文本
sys
user-int con 0
authentication-mode password
set authentication password cipher XXXXXXX
q
ssh authentication-type default password
hwtacacs-server template acs
hwtacacs-server authentication XXX.XXX.XXX.XXX
hwtacacs-server authorization XXX.XXX.XXX.XXX
hwtacacs-server shared-key cipher XXXXXXX
hwtacacs-server timer response-timeout 2
q
aaa
authentication-scheme default
authentication-mode hwtacacs local
q
authorization-scheme default
authorization-mode hwtacacs local
authorization-cmd 15 hwtacacs local
q
domain default
authentication-scheme default
authorization-scheme default
hwtacacs-server acs
q
q
domain default admin
q

本文转自 Bill_Xing 51CTO博客，原文链接:http://blog.51cto.com/zhanx/2043777