在现网中有很多使用ACS作为RADIUS SERVER的案例,在这些ACS SERVE中,通常其默认配置中会缺少一些第三方的RADIUS属性,如果实际应用中需要使用到这些私有的RADIUS属性,该怎么办呢?
下面介绍一种向ACS中导入第三方私有RADIUS属性的方法。以H3C的私有属性为例,在一个实际项目中,需要对设备的telnet用户通过ACS Radius Server进行认证管理,并由ACS给telnet用户下发权限,为了使对应用户获得相应权限,需要导入H3C的用户级别的私有Radius属性到ACS中,以保证用户权限正常下发。下文以ACS 4.0为例。
1. 编写h3c.ini文件(绿色部分即为文件内容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
此文件主要用于定义私有属性的值,读者可以视需要进行增减。
2. 将上面定义的文件导入到ACS中
ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:
(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口。
(2) 进入ACS的bin目录,在默认安装的情况下,该目录为
c:/Program Files/CiscoSecure ACS v4.0/bin
(3) 执行导入命令:
Bin>CSUtil –addUDV 0 d:/h3c.ini
选择y,继续
3. 查看是否导入成功
导入完毕,可以通过命令来查看:
bin>CSUtil -listUDV
可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性
另外可以进入ACS页面来查看:
(1) 进入Interface Configuration可以看到如下:
(2) 点击进入看到如下内容:
(3) 进入Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius (Huawei)”,可以看到添加的属性值
4. 如果不慎在导入过程中出现错误时,可以在命令行界面删除添加属性,以便重新添加
bin>CSUtil -delUDV 0
如上图,删除了添加的UDV 0 属性。