ACS与目录服务器结合进行身份控制管理
ACS
与目录服务器结合进行身份控制管理
一、 应用背景
公司网络的应用中,经常面临一个用户要配置有多个用户名,多个口令的问题:
1.
公司的计算机网络上有较多的防火墙、交换机设备,各区域公司总共在100台左右,管理员首先面对的问题是口令管理问题,大量的设备口令配置工作量大,并且难于记忆,常常导致设备的口令长时间不变,甚至1年到2年不变,存在安全隐患。
2.
企业网络内部运行许多应用软件,随之而来的问题是多个用户名多个口令的问题,给用户带来很多不便,大量增加了网络管理员的负担。
目录服务器如Windows Active Directory可以有效解决第二个问题,第一个问题可以应用Cisco ACS软件的目录集成功能,使它有效的与目录服务器Windows Active Directory,集成,大大的简化了管理员的负担,提高工作效率,并且Windows Active Directory有很好的用户管理制度,级别的划分使管理员可以轻松的分配资源。
二、实现目标
全网应用一套用户名,一套口令。
思科交换机的用户名/口令使用Windows Active Directory的用户名/口令
思科交换机的用户名/口令集中管理,权限管理。
所有全网的思科交换机的登录口令在ACS配置,不同的用户赋予不同的权限。
思科交换机的用户名/口令使用Windows Active Directory的用户名/口令
思科交换机的用户名/口令集中管理,权限管理。
所有全网的思科交换机的登录口令在ACS配置,不同的用户赋予不同的权限。
三、ACS服务器配置步骤
Cisco ACS
支持Windows Active Directory等目录服务器,下面以Cisco ACS与Windows 2003 的Active Directory集成为例,安装过程很简单,主要是next一路下来,主要记录配置测试过程:
1、
ACS
安装完成后,在ACS服务器上点击图标
,运行ACS管理控制台后,出现管理界面:
2、
在控制台左面菜单里,点击 ,增加控制台管理员,增加一个名称为CISCO的用户,并将所有权限加上。
3、
ACS
管理员可以通过
http://ACS
服务器IP地址:2002 远程访问控制台,输入刚才设置的管理员帐户密码即可登陆控制台
4、
点击
,设置组管理,将group1 改名为shanghai
5
、编辑 shanghai 组,可以赋予组权限,这里设置一些相关权限:
Max Sessions
、
Max Privilege for any AAA Client
、
TACACS+ Settings
5、
点击 ,配置用户,增加一个用户wang.sheng1:
Password
认证选择 Windows Database,属于shanghai组
Advanced TACACS+
设置个人用户设置权限,可以按照先前的组设置,也可以单独设置
6、
点击 ,设置AAA服务器和客户端网络配置,如图是我设置的一个测试用服务器和一台IP为10.0.251.1的交换机
7、
点击 设置,认证数据库为AD域ccdi.local
四、设备端配置
1
、
在设备端定义
tacacs+
服务器地址以及
key
SWTH(config)# tacacs-server host 10.0.15.69
SWTH(config)# tacacs-server directed-request
SWTH(config)# tacacs-server key CISCO
b) 在 ACS 端定义设备的 IP 地址(参考 ACS 基本配置)
c) 在 ACS 上面建立用户名和用户组
2 、在设备端配置 AAA 认证
SWTH(config)# enable secret 123 ‘ 定义 enable 密码
SWTH(config)# username abc password 456 ‘ 定义本地数据库
SWTH(config)# aaa new-model ‘ 启用 AAA 认证
SWTH(config)# aaa authentication login default group tacacs+ local ‘ 设置登陆验证默认为采用先 ACS 服务器再本地验证(当 ACS 服务器不可达才用本地数据库验证)
SWTH(config)# aaa authentication enable default group tacacs+ enable ‘ 设置 enable 进入特权模式默认为采用先 ACS 服务器再本地 enable 设置的密码
SWTH(config)#aaa accounting commands 0 default start-stop group tacacs+ ‘ 这条记帐方式对登录用户输入的所有特权级别为 0 的命令进行记录
SWTH(config)#aaa accounting commands 1 default start-stop group tacacs+‘ 这条记帐方式对登录用户输入的所有特权级别为 1 的命令进行记录
SWTH(config)#aaa accounting commands 15 default start-stop group tacacs+‘ 这条记帐方式对登录用户输入的所有特权级别为 1 的命令进行记录
3 、 验证
telnet 登陆: telnet 10.0.251.1 ,输入 wang.sheng1 的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置, SWTH 首先会去 ACS 服务器进行验证,当 ACS 服务器不可达时,才会用本地数据库验证)。关掉 ACS 服务器用本地数据库验证成功
ACS 服务器记账:如下图,记录了 wang.sheng1 帐户在 IP 为 10.0.251.1 的交换机上作的操作命令记录
SWTH(config)# tacacs-server host 10.0.15.69
SWTH(config)# tacacs-server directed-request
SWTH(config)# tacacs-server key CISCO
b) 在 ACS 端定义设备的 IP 地址(参考 ACS 基本配置)
c) 在 ACS 上面建立用户名和用户组
2 、在设备端配置 AAA 认证
SWTH(config)# enable secret 123 ‘ 定义 enable 密码
SWTH(config)# username abc password 456 ‘ 定义本地数据库
SWTH(config)# aaa new-model ‘ 启用 AAA 认证
SWTH(config)# aaa authentication login default group tacacs+ local ‘ 设置登陆验证默认为采用先 ACS 服务器再本地验证(当 ACS 服务器不可达才用本地数据库验证)
SWTH(config)# aaa authentication enable default group tacacs+ enable ‘ 设置 enable 进入特权模式默认为采用先 ACS 服务器再本地 enable 设置的密码
SWTH(config)#aaa accounting commands 0 default start-stop group tacacs+ ‘ 这条记帐方式对登录用户输入的所有特权级别为 0 的命令进行记录
SWTH(config)#aaa accounting commands 1 default start-stop group tacacs+‘ 这条记帐方式对登录用户输入的所有特权级别为 1 的命令进行记录
SWTH(config)#aaa accounting commands 15 default start-stop group tacacs+‘ 这条记帐方式对登录用户输入的所有特权级别为 1 的命令进行记录
3 、 验证
telnet 登陆: telnet 10.0.251.1 ,输入 wang.sheng1 的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置, SWTH 首先会去 ACS 服务器进行验证,当 ACS 服务器不可达时,才会用本地数据库验证)。关掉 ACS 服务器用本地数据库验证成功
ACS 服务器记账:如下图,记录了 wang.sheng1 帐户在 IP 为 10.0.251.1 的交换机上作的操作命令记录
五、
最终实现的功能:
1
、所有设备的认证、授权和记帐都由
ACS
统一管理。
2 、认证部分:所有用户都在 ACS 上设置并统一管理,无需每台设备都设置一次用户名密码。
2 、认证部分:所有用户都在 ACS 上设置并统一管理,无需每台设备都设置一次用户名密码。
3
、授权部分:用户经过认证后,由
ACS
直接授权用户级别,同时,考虑到可能会由于网络或认证服务器故障,导致设备与认证服务器之间无法通讯导致无法认证,因此,设备仍然可以通过本地帐户进行配置。
4
、记帐部分:
ACS
上会记录下所有用户的登录和退出的时间,逗留的时长,从哪个
IP
地址登录,所登录的设备等信息,同时,会记录下用户所有在设备上输入的命令和输入命令的时间。