Cisco ACS和AD联动，ACS外部数据库配置

众所周知，CISCO ACS可以和windows服务器活动目录用户数据库做联动， 实现用户账户合二为一的效果，这样对于大型企业会减少大量的ACS用户数据库配置，方便了很多，ACS配置方法参考。记录不全，大概。

一：选择“External User Databases→Database Configuration→Windows Database→Create New Configuration”,建一个Database的名称ozeds.com

 

二：选择“External User Databases→Database Configuration→Windows Database→Configure”,在Configure Domain List处将ACS Server所在的域名称移动到“Domain List”中.要注意一点ACS Server应加入到域中

 

同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的“host/”不用改动,

三：选择“External User Databases→Unknown User Policy→Check the following external user databases”,将“External Databases”移动到右边的Selected Databases窗口中,完成后再重启服务,

 

 

四：由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS 中的Group与AD的Group映射.
External User Database→Database Group Mappings→PCEBGIT.COM→New Configure”,

 

 

五：选择PCEBGIT→Add Mapping,把NT Groups中的Group添加到Selected中,以DBAGroup为例,这里的DBAGroup就是PCEBGIT域中的DBAGroup,添加后,再在CiscoSecure group中选择ACS的GROUP(ACS中的GROUP默认名称是Group 1…,这个名称可以更改,为便于管理给他改名为DBA),再Submit即可

 

AD中不同的组可以对应ACS上面不同的ACS group， 然后根据不同的group写不同的group policy，

 

OZEDS