ACS完全配置手册

成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒第1章章目录第1章目录1.11.1.11.1.21.1.31.1.41.1.51.1.61.1.71.1.81.1.91.1.101.1.111.1.121.1.13ACS的配置ACS的配置11AAA的配置超级用户的配置定义管理策略配置使用外部Windows数据库接口（Interface）的配置系统备份日志的配置创建网络设备组（NetworkDeviceGroup）配置冗余服务器（BackupServer）配置命令授权创建用户内外数据库映射数据库的映射匿名用户策略(UnknownUserPolicy)2241112141517212531333536TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1AAA的配置1.1.1超级用户的配置在CiscoACSEngine上首先进行管理员（administratoruser）或超级用户（superuser）的设置。此用户拥有使用ACS所有功能的权限，因此此账户消息必须进行保密，它是管理所有ACS应用资源的关键。请参考如下的配置步骤进行管理员用户的创建：第一步：在AministrationControl菜单下，点击AddAdministrator按钮添加管理员。插图0-1ACS添加管理员TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒第二步：键入管理员的名字及密码并点击GrantAll按钮，然后点击Submit。插图0-2ACS添加管理员（续）添加管理员（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.2定义管理策略起初CiscoACSEngine只能通过Console来进行本地访问，一旦管理策略建立好后，CiscoACSEngine可以通过配置的管理策略进行远程访问。管理策略包括访问策略（AccessPolicy），会话策略（SessionPolicy），和审计策略（AuditPolicy）。首先进行访问策略的配置，使其只允许用HTTPS进行远程访问，并且限制访问端口范围为2000-2999从而制定相应的防火墙策略。HTTPS需要证书进行认证，因此用CiscoACSEngine来提供自签署证书，下面是自签署证书的配置方法。在SystemControl菜单下，点击ACSCertificateSetup然后点击GenerateSelf-SignedCertificate。TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部插图0-3提供自签署证书陈雪寒当系统完成自签署证书后，ACS服务需要进行重启。插图0-4ACS自签署证书TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在SystemControl菜单下，点击ServiceControl，重启ACS服务，服务重启后，确认其状态为running。插图0-5ACS服务重启TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒当系统重启后，点击AdministrationControl菜单，然后点击AccessPolicy。插图0-6ACS管理员界面TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在IPAddressFiltering中选择允许所有IPAddresstoaccess，然后在HTTPConfiguration中选择限制端口范围为2000-2999，最后选择使用HTTPS并点击Submit。在完成如下配置后，可以通过进行远程访问。插图0-7ACS管理员界面（续）TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在AdministrationControl菜单下，选择SessionPolicy配置会话策略使其当会话空闲10分钟以上时，自动退出，同时迫使进行本地认证。插图0-8会话策略的设置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在AdministrationControl菜单下，选择AuditPolicy审计策略使其删除老于七天的日志。插图0-9日志的配置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.3配置使用外部Windows数据库使用WindowsAD系统上的已有用户账户消息进行用户认证。在ExternalUserDatabase菜单下选择DatabaseConfiguration然后点击WindowsDatabase。插图0-10ACS使用外部数据库TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.4接口（Interface）的配置配置用户定义域的接口配置，在InternafceConfiguration下，选择Configureuserdefinedfields:插图0-11Interface的设置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒配置用户定义域的接口配置，在InternafceConfiguration下，选择AdvancedOptions，确认如下的用户接口已经被enable。插图0-12Interface的AdvancedOptionsTEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.5系统备份配置系统每个工作日进行一次备份，周五进行两次备份。在SystemConfiguration下，选择ACSBackup，进行如下配置。插图0-13ACS系统备份设置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.6日志的配置在SystemControl下，选择logging确认如下日志服务是开启的。插图0-14日志的设置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒插图0-15日志的设置（续）日志的设置（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.7创建网络设备组（NetworkDeviceGroup）在NetworkConfiguration菜单下，选择添加NetworkDeviceGroup。插图0-16创建网络设备组TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒键入网络组名字及密钥（key）。插图0-17创建网络设备组（续）创建网络设备组（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒增加AAAClients到NetworkDeviceGroup中去。点击相应的NetworkDeviceGroup然后点击AddAAAClients。插图0-18增加网络设备组的设备TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒键入AAAClient的IP地址（可使用网段来简化配置）及密钥并选择适当的NetworkDeviceGroup。插图0-19增加网络设备组的设备（续）增加网络设备组的设备（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.8配置冗余服务器（BackupServer）从NetworkConfiguration菜单中，点击NotAssignedNetworkDeviceGroup，选择添加AAAServer。（本AAAServer应当已经在列表中）插图0-20配置冗余服务器TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒键入backupAAAServer的信息。插图0-21配置冗余服务器（续）配置冗余服务器（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒配置服务器间的数据库复制：在SystemConfiguration中，选择ACSInternalDatabaseReplication。在主服务器上选择发送数据库，在备份服务器上选择接收数据库。选择复制时间为备份时间后一小时。插图0-22配置冗余服务器备份选项TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在备份ACS上进行相同的配置，但是选择Receive。注意：不要把主服务器加入ReplicationPartner列表中。插图0-23备份服务器列表设置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.9配置命令授权在SharedProfileComponents菜单下，选择ShellAuthorizationCommandSets；然后点击Add。插图0-24配置SharedProfileTEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在Addcommand中键入show并选择PermitUnmatchedArgs同时denyconfig;denystart;denyconfig插图0-25配置sharedprofile命令集TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒创建用户组：在GroupSetup菜单下，选择Group1然后点击RenameGroup进行相应的命名。插图0-26工作组命名TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒配置用户组：点击EditSettings对相应的用户组进行编辑。在TACACS+Settings中，点中Shell(exec)，点中Privilegelevel并填入15。在ShellAuthorizationCommandSets中，选择相应的NetworkAccessGroup与CommandSet。在IETFRADIUSAttributes中，选择［006］Service-type下选择Login。插图0-27工作组配置TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒插图0-28工作组配置（续）工作组配置（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒插图0-29工作组配置（续）工作组配置（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.10创建用户在UserSetup菜单下，增加用户。插图0-30创建用户TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒在PasswordAuthentication下选择WindowsDatabase然后并选择适当的用户组。插图0-31创建用户（续）创建用户（TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒1.1.11内外数据库映射的账户信息存放在MicrosoftAD上，因此要进行与MicrosoftAD上数据库关联的配置。在ExternalUserDatabase下，点击DatabaseConfiguration，然后选择WindowsDatabase点击Configure。TEL:13438836708成都全码科技有限公司---技术部成都全码科技有限公司技术部陈雪寒选择WindowsDomain。TEL:13438836708成都全码