Cisco+ACS安装与应用详解

此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第1页/共39页CiscoACS安装与应用详解目录(v2.0)准备工作...................................................................31.安装操作系统（win2003）2.安装JAVAEDK3.安装IIS4.安装证书服务器第一章：CiscoSecureACSv3.3的安装和配置....................................7第一部分：安装ACSv3.31.安装ACSv3.32.创建ACS管理员帐户第二部分：配置ACS相关选项1.InterfaceConfigurationa.UserDataConfigurationb.TACACS+(CiscoIOS)c.AdvancedOptions2.SystemConfigurationa．ServiceControlb．loggingc．DateFormatControld．LocalPasswordManagemente．CiscoSecureDatabaseReplicationf．ACSBackupg．ACSRestoreh．ACSServiceManagementi．ACSCertificateSetupj．GlobalAuthenticationSetup此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第2页/共39页第三部分：安装ACS证书1.GenerateSelf-SignedCertificate2.InstallACSCertificate3.ACSCertificationAuthoritySetup4.EditCertificateTrustList5.UseHTTPSTransportforAdministrationAccess第二章：CiscoSecureACSv3.3的应用范例.....................................14第一部分：NetworkConfiguration第二部分：UserSetup第三部分：GroupSetup第四部分：SharedProfileComponents第三章：在交换机上配置AAA认证、授权、记账..............................221.现在交换机上创建本地用户2.开启AAA服务3.在接口上激活配置第四章：CiscoUserChangeablePassword安装与配置............................24第一部分：.新建站点第二部分：.创建站点虚拟目录第三部分：.申请、颁发、安装站点（IIS）证书第四部分：.安装UCP此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第3页/共39页准备工作本文所有内容都是在windows2003操作系统上完成的，对于其他操作系统的操作如果有不同的地方，请自行参考解决！本文稍后介绍的软件或服务版本要求：InternetExplorer6.0SP1或更新版本InternetInformationService6.0（win2003）CiscoSecureACSv3.3CicsoUserChangeablePasswordv3.3安装CiscoACS前的准备工作：1.安装操作系统win20003，打全补丁；2.安装javaEDK，安装后尽量更新到昀新版本；3.安装IIS。打开“控制面板”“添加删除程序”“添加删除windows组件”，如图1图1选中“ApplicationServer”，接着点击“Details”，进入到图2的界面，选中“ASP.NET”，此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第4页/共39页图2然后点击“OK”退回到图1的界面，点击“Next”，开始安装IIS。安装完成后，即可在MMC中打开IIS了。4．接下来安装证书服务器（CertificateService）：还是在图一的所示的页面中，选中“CertificateServer”，此时会有个提示信息，点击“Yes”，如图3-1所示，然后点击“Next”，如图3-2图3-1图3-2此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第5页/共39页下一步选择“CA类型”，由于，没有AD，并且是昀高级别的CA机构，所有，选择“独立根CA”，然后“Next”，如图3-3图3-4接下在，配置CA信息，特别要注意CA信息的格式，如图3-5，配置完毕后，继续“Next”图3-5配置证书相关信息存储地点，默认即可！“Next”，如图3-6此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第6页/共39页图3-6昀后，会有提示“安装CA之前，要暂时停止IIS服务”，选“Yes”即可！然后，安装程序将开始安装。如图3-7图3-7安装完毕后即可通过在IE中输入地址（或http://安装认证服务器的IP地址/certsrv）进行证书的签发、下载和查看证书信息等！（安装此证书服务器，会在第四章中使用到）以上准备工作做完后，下面就可以开始进入正题了！此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第7页/共39页第一章：CiscoSecureACSv3.3的安装和配置第一部分：安装ACSv3.31．安装ACSv3.3安装CiscoACS的方法很简单，运行安装程序中的Setup.exe文件，全部点击“下一步”即可完成安装！2.创建ACS管理员帐户运行桌面上的“ACSAdmin”，打开ACS，如图4图4运行ACS后，首先点击ACS左边列表中的“AdministrationControl”进入到管理员账号管理界面，如图5-①选择“AddAdministrator”如图5-②，进入到新建管理员账号页面，如图6输入“管理员名称”和“密码”以及“再次输入一遍密码”，然后在权限选项中选择“GrantAll”添加全部权限给这个账号。至此，一个管理员账号就创建完毕，现在就可以使用这个账号通过IE远程管理这台ACS服务器！图5-③中的”AccessPolicy”，通过他可以控制哪些IP地址可以访问这台ACS服务器；哪些TCP端口可以用来连接这台ACS服务器；以及是否使用HTTPS方式来访问这台ACS服务器。图5-④“SessionPolicySetup”，连接会话的配置，包括会话“超时时间（分钟）”；是否“允许本地自动登陆”；“帐户尝试几次登陆失败后，进行锁定”图5-⑤“AuditPolicy”，日志文件管理。此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第8页/共39页图5图6下面通过在任何一台电脑上，使用IE登陆ACS服务器吧，输入地址:2002，然后输入刚刚创建的管理员名称和密码进行登陆，登陆后的界面和之前在local的界面是一模一样的！此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第9页/共39页第二部分：配置ACS相关选项1．“InterfaceConfiguration”在图1的界面左边，选择“InterfaceConfiguration”进入“接口配置”页面。A．UserDataConfiguration：注册一个用户的时候，需要填写哪些信息，昀多共5项。如图7图7B．TACACS+(CiscoIOS)：请选择“TACACS+Services”中的PPPIP和Shell（exec）以及全选“AdvancedConfigurationOptions”,在后面配置AAA的时候会使用到（此处不选，后面将看不到这些选项的）！如图8、9（特别注意：此项目，只有在新建了一台网络设备后，才会现实出来，具体设置网络设备，请参考第二章，第一部分内容。第14页）图8图9此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第10页/共39页C：AdvancedOptions：选择“NetworkDeviceGroup”，可以对不同的设备进行分组，如图10图102.SystemConfiguration（图11）图111。ServiceControl，可以重启ACS。2。logging，配置日志文件3。DateFormatControl，选择日期格式形式4。LocalPasswordManagement，用户密码权限管理5。CiscoSecureDatabaseReplication，ACS数据库复制（如果有多台ACS的情况下）6。ACSBackup，ACS数据备份7。ACSRestore，ACS数据恢复8。ACSServiceManagement，ACS服务管理9。ACSCertificateSetup，证书安装向导10。GlobalAuthenricationSetup，全局认证向导此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第11页/共39页注意：请定期进行ACS数据的备份，防止数据丢失。在GlobalAuthenricationSetup中，勾选“AllowEAP-TLS”，后面在配置证书的时候需要使用到这个选项！如图12图12以上配置完成后，不知大家是否发现，现在ACS还是存在不安全因数，他是通过http的形式进行数据传输的，为了安全起见，下面，我们将对ACS服务器进行安全加固，用https的方式去访问。第三部分：安装ACS证书选择图11中的“ACSCertificateSetup”，进入如图13所示的界面：图131．选择“GenerateSelf-SignedCertificate”，进入图14的界面图14CertificateSubject：自定义一个证书名；CertificateFile：自定义证书文件保存位置（这个位置指ACS服务器所在硬盘的位置，不是你本机的位置）此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第12页/共39页PrivateKeyfile：自定义私钥文件保存位置（同上）PrivateKeypasswd：自定义私钥密码Retypeprivatekeypasswd：再次输入私钥密码Keylength：私钥长度（一般选择1024即可）Digesttosignwith：加密格式（一般选SHA1）Installgeneratedcertificate：一定要勾选此选项以上信息填写完毕后，点击“submit”。2.“InstallACSCertificate”，进入图15的界面：图15点击“InstallNewCertificate”，进入图16的界面，输入刚才保存的证书文件，然后点击“submit”，然后重启ACS服务。图163.ACSCertificationAuthoritySetup输入保存的证书的路径，然后点击确定，并且再次重启ACS服务。如图17此文仅做为学习交流使用，不得用于商业目的，本文之作者(cyllls)对此有昀终解释权！二〇〇八年八月第13页/共39页图174.EditCertificateTrustList重启ACS后，再选择图13中的“EditCertificateTrustList”，找到刚刚安装的证书文件名，勾选，点确定。并且，重启ACS。如图18图185.UseHTTPSTransportforAdministrationAccess证书配置完成后，到图5所示的页面，点击③,进入后，选