ISCW AAA认证

版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 [url]http://davywyp.blog.51cto.com/191350/130898[/url]

最近在搭建公司的ACS，总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明，很详细，熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明，供参考。以下介绍ACS+aaa架构下aaa的配置模板。   aaa的配置可以大致分以下几个部分： 1.配置ACS（tacacs或radius）服务器 tacacs-server host x.x.x.x tacacs-server host x.x.x.x tacacs-server key ***** 2.配置设备local后门用户 username testuser password ***** 之所以配置后门用户，是考虑到在ACS异常的时候仍能telnet到设备。 3.启用aaa aaa new-model 4.认证并应用到线路 aaa authentication login  login-list group tacacs+ local line vty 0 15        login authentication login-list 这里的login-list定义了访问控制的列表，即首先使用tacacs+认证，如果认证失败则使用local后门用户认证。后面的将认证应用到vty、配置accounting均调用这个login-list。 5.授权 aaa authorization exec default local if-authenticated 授权的配置不同的需求差异会很大，我个人不建议太复杂的授权，详细解释看看附件吧。 6.记账 aaa accounting exec  login-list start-stop group tacacs+ aaa accounting commands 1  login-list start-stop group tacacs+ aaa accounting commands 15  login-list start-stop group tacacs+ aaa accounting network  login-list start-stop group tacacs+ ACS+aaa的模式可以很好的管理网络设备的访问控制，只可惜ACS不是免费的软件，不过也自己搭建Tacacs服务器。   本文出自 “ Davy” 博客，请务必保留此出处 [url]http://davywyp.blog.51cto.com/191350/130898[/url]