ACS配置

 

February 17

AC安装＆配置手册　第二部分　ACS配置

第二部分ACS配置

2.1 通用配置

ACS已经安装在服务器上，ACS的IP地址为11.156.198.200。安装完后会在桌面产生一个ACS管理页面。

点击即可登录进ACS进行管理操作。如：配置管理员帐号，数据库管理等等。

2.1.1 创建管理员

点击界面左侧的安钮进入到管理页面

点击安钮，添加管理员帐户。

输入管理员的名称和密码，并点击安钮，使该管理员拥有全部的管理权限，当然也可以为单独的管理员设置单独的权限。

2.1.2 远程登录

添加完管理员用户后，远程的客户端主机就可以远程登录ACS进行管理了。

在远程PC上使用浏览器，在地址栏里输入http://11.156.198.200:2002即可访问ACS服务器，输入管理员用户和密码即可登录ACS。

2.1.3 数据库设置

ACS在安装过程中会提示使用ACS数据库还是使用Windows数据库。可以选择使用Windows数据库，并且把下面的dialin选项选上。安装的最后提示创建密码，建议不要太复杂，否则sybase数据库会报告ODBC错误，会造成安装终止。如果安装终止，在控制面板中的添加删除程序里面是无法删除的，须使用专用的ACS删除软件删除，然后从新安装。本次的acs是使用security数据库进行。

也可以在安装完后再进行数据库配置，在主页面左侧的安钮即可进和数据库配置界面。然后选择数据库配置即可进行相应的操作。

2.1.4 网络设备配置

管理员和数据库配置完后需要在ACS上配置做AAA客户端的网络设备，在本例中我们将要添加三个厂家的网络设备。

首先点击主页面下安钮进入到网络设备配置页面。

点击增加一个条目，输入AAA client主机名、IP地址并点击“Submit + Apply”安钮。

可以看到名字为Cisco的AAA Client设备已经建立起来了。

注：建议使用交换机的loopback0接口地址作客户端的接口，比使用互连物理接口运行相对更加稳定。

　　我们再建立一个Juniper的AAA Client设备。在“Authenticate Using”一栏中选择RADIUS (Juniper),然后确定。

　　注意在建立AAA Client中选择“Authenticate Using”中可以选择思科的无线产品、VPN3000系列、PIX/ASA7.x、IETF、Nortel等厂家的设备，但是没有NetScreen和H3C的产品,这需要添加第三方网络设备厂商的字典文件，才能支持该厂家的网络设备，在后面的章节中会专门介绍如何添加第三方厂家设备字典文件。

2.1.5 用户接口配置

在主页面下点击“Interface Configuration”进入用户接口策略配置。

本例中我们以设置TACAS＋为从例，点击TACACS+(Cisco IOS)，配置基于TACACS+的用户接口策略。

注：选择需要在User Setup和Group Setup里面显示的属性，注意添加shell（exec）以增加对使用命令的控制。其余的如果在交换机中配置了，可以不用作多余更改。

2.1.6 添加用户

点击 UserSetup按钮，进入用户配置模式页面。点击Find按钮或者list安钮可以在右边的列表拦内查看到当前已经建立的所有用户，包括该用户当前的状态和所属的分组。

我们添加一个”test”用户，密码为”test”。

输入用户名，点击add/edit进入用户配置界面，可以对新增加用户权限进行编辑。

　　设置该用户密码、归属的用户组、回拨、地址关联以及高级TACACS＋设置

2.1.7 配置用户组

在主页面下点击GroupSetup进入用户组配置界面。

点击“Rename”可以对用户组的名称进行编辑。这里已经可以看到在用户数据库中建立的组别，在下拉列表中选择需要进行配置的组别并可根据需要使用Rename Group更名后，点击Edit Settings进入

进入组配置的页面之后，选择上面跳转下拉菜单中的TACACS+选项，直接进行TACACS+相关的配置。需要在shell（exec）选项前勾中，以打开对该用户可用命令进行控制的功能。在Privilege level选项前勾中，并且在后面的输入框中输入在交换机或其他网络设备中设置的enable权限等级。权限等级并不重要，只是这里设置的等级在网络设备中同样要设置，以作一个匹配的条件，用户登录后直接进入相应的enable权限等级下，同时也在登陆权限上预先对用户进行了权限控制。两项选择好后，拉动滚动条向下，进行用户操作命令权限的设置。

在下面找到per group command authorization选项，进行选择。 之后开始实际设置用户命令权限。这里采用了层次化的结构选项，首先是标题下面的“Unmatched cisco ios commands”选项，分别是permit和deny，表示如果下面设定的命令列表中不存在的命令是否允许（类似cisco访问表最后的那条默认是允许还是禁止其它），permit为允许deny为禁止，如果所有命令都允许使用则选择permit，反之选择deny。之后继续往下设置，在“Command”选项上勾选，在下面的输入框内打上主命令，如：show或者configure等命令，在arguments输入框内加入允许操作的扩展命令，语法是permit或者deny加上扩展命令。如：允许进行show vlan等命令禁止show run、show configuration命令操作，需要在上面设置show命令以外，还需要在下面设置： permit vlan和deny run，以及其他permit和deny的设置，设置先后顺序没有区别。例如下图：

在最后还有Unlisted arguments的选项，不在上面arguments列表内的，同一主命令下的其它命令（这里表示其它的show命令）是否允许使用，如果为permit是允许使用，反之是deny。 配置完成之后需要点Submit+Restart，进行应用和刷新，之后才可以再继续设置下面的其他命令权限。在页面同样位置新出现的command配置区域按照之前的配置语法增加配置就可以了。

2.2 察看记录

ACS可以自动接收网络设备记录的用户的操作，包括各个用户登陆的时间、每个用户登陆后使用的命令、用户登录验证失败的记录以及当前在各个设备上面的用户。ACS界面左边功能项区选择reports and activity，进入察看记录界面。

2.2.1 察看用户登录时间

在reports and activity页面内，选择reports栏的TACACS+ Accounting选项，右面进入accounting页面，是acs生效之后的日期列表，分别每天一个记录保存登陆的信息，可以点任意一天的条目进入具体察看当天的登陆记录。

进入某一天的相应条目后，在右面的栏内可以察看当天具体的用户登陆情况，包括有登陆时间、登陆用户名、用户所属分组、用户的ip地址、当前时间状态是登陆还是注销离开、注销离开则会带有该用户登录时长，向右拉动滚动条在最后面还会有用户所登陆的地址。

2.2.2 察看用户使用过的命令

在reports and activity页面内，选择reports栏的TACACS+ Administration选项，右面同样会有日期栏，点击每个日期可以察看当天的用户使用命令记录。

进入某一天的相应条目后，在右面的栏内可以察看当天具体的每个用户具体时间所使用过的命令、用户当时的登陆等级以及用户当时登陆的设备地址。

2.2.3 登录认证失败的记录

在reports and activity页面内，选择reports栏的Failed Attempts选项，右面同样会有日期栏，点击每个日期可以察看当天的用户使用命令记录。

进入某一天的相应条目后，在右面的栏内可以察看当天具体的每个用户所登陆过的时间、用户当时的登陆名、用户当时登陆失败的原因、用户的ip地址以及拉动滚动条向右到最后可以看到用户试图登录的设备地址。

2.2.4 察看当前登录

在reports and activity页面内，选择reports栏的Logged-in Users选项，右面可以看到当前有用户登录的由ACS控制的设备列表，包括设备ip地址和上面的用户数。TACACS+ Default表示远程登录到aaa server上的用户。点击各自设备名可以察看具体设备上的用户。

在右面可以看到具体设备上的用户列表，包括用户名、用户所在组、用户登录的设备ip，使用下面的purge logged in users可以把当前用户踢出设备。

2.3 NetScreen设备与ACS配合

注：本节实验为真实生产环境的实际配置，

2.3.1 向Cisco ACS添加NetScreen扩展字典文件

Juniper为RADIUS服务器提供专用字典文件，用来扩展RADIUS用户属性，与NetScreen防火墙用户权限匹配，RADIUS字典库文件可以到www.juniper.net/support网站免费获得。

拷贝Cisco ACS字典文件“NSRadDef2.ini”文件到ACS服务器本地，进入ACS子目录utils，通过csutils.exe命令导入字典文件，在导入过程中ACS服务将停止和重启。命令行格式如下：

显示当前加载的所有扩展字典文件：

使用下面命令进行安装NetScreen扩展字典文件。

2.3.2 启用用户属性

ACS用户及用户组属性默认不包含NetScreen属性选项，需要通过修改interface configuration参数，打开NetScreen在用户组属性上的选项－Interface configuration－>RADIUS（netscreen），如图所示：

启用RADIUS（NetScreen）选项ns-admin-privilege（读写权限）和ns-user-group（只读权限）。

2.3.3 配置组

NetScreen依据组功能设定属性，加入本组的用户将拥有此属性。

在ACS Radius Server上可以定义如下属性：

² 2=READ_WRITE

² 3=VSYS_ADMIN

² 4=READ_ONLY

² 5=VSYS_READ_ONLY

本例中我们使用组2和组4的管理权限：

对于用户组Managermant，我们配置如下属性：

对于用户组Monitor，我们配置如下属性：

2.3.4 配置用户

用户的属性可以简单地从组中继承。可以按照各组中的用户名把用户加入各组。只是在配置密码时要考虑不同的用户设置各自不同的密码。

2.4 Huawei设备与ACS配合

注：本章节以华为内部资料为主，结合本人实验结果而成。

我们可以基于Radius和TACACS协议实现同Cisco ACS 服务器的配合，本实例中使用的华为设备为S6506R版本 VRP 3.10 3030SP2 Cisco ACS Server版本为3.3

配置主要过程为：

在Network Configuration中添加AAA Client参数——在Interface Configuration配置认证属性的参数——在Group Setup中为不同的组选择不同的权限等级——在User Setup中将创建用户名，并归类到不同的Group中——配置交换机的AAA认证参数

2.4.1 向Cisco ACS添加华为设备扩展文件

向ACS中添加华为扩展属性（ACS添加扩展属性后可以对认证用户权限级别进行控制），同添加NetScreen设备字典文件一样配置方式。

（1） 创建myvsa.ini文件。内容如下：

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=Encryption-Types

[Encryption-Types]

0=0

1=1

2=2

3=3

（2） 将文件myvsa.ini保存在/Program Files/CiscoSecure ACS v3.3/Utils文件夹里。

（3） 通过命令行提示符方式，使用DOS命令进入该文件夹

CD /Program Files/CiscoSecure ACS v3.3/Utils

（4） 通过如下命令，将myvsa.ini文件导入ACS（如图1）。

CSUtil.exe -addUDV 0 myvsa.ini

图 1

（5）建议在将myvsa.ini导入到ACS前，使用CSUtil.exe -listUDV命令，查看Slot 0是否已经被占用（如图2）。如果显示UDV 0 已经被其他厂家的设备占用，请将CSUtil.exe -addUDV 0 d:/myvsa.ini命令中的参数“0”改为其他没有被占用的数值。

图 2

（6）如果使用CSUtil.exe -listUDV命令，能看到“Radius（Huawei）”属性，则说明已经将华为扩展属性成功导入ACS。

2.4.2 配置ACS

（1） 配置AAA Client：

在Network Configuration中新建一个AAA Client（或使用原有的）（如图3、图4）。

图3

图4

各参数说明如下：

AAA Client Hostname：AAA客户端设备名。比如HWS6506R。

AAA Client IP Address：AAA客户端设备的IP地址。该地址必须与设备送到ACS上的认证报文所带的源IP地址相同。比如192.168.0.2。

Key：Radius客户端与服务器端的加密密钥。只有在密钥一致的情况下，双方才能彼此接受对方发来的报文，并作出响应。

Authenticate Using：认证方式。此处选择新添加的Radius（Huawei）属性。

配置完成后，点击“Sumbit＋Restart”按钮，使配置生效。

（2） 配置Interface

在Interface Configuration界面，选中新添加的华为扩展属性，使其出现在Group（组）编辑界面（如图5、图6）

图5

图6

（3） 配置Group

在Group Setup中的Radius（IETF）栏，选择服务类型为Login，Login-Service为Telnet；同时，在Radius（Huawei）栏，为该Group选择相应的华为设备操作权限，有0－3级四种（如图7、图8）。

图7

图8

（4） 添加User

在User Setup中新建用户名，并设置密码，然后将其归类到不同的Group中，从而使其在Telnet到华为设备上，拥有对应的操作权限（如图9、图10）。

图9

图10

用户要求ACS的3A认证 可用时 ，本地认证不能够使用，只有ACS失效时，才能启用本地认证通过在SYSTEM域下配置相关参数并配置“scheme radius-scheme（hwtacas－scheme） icbcxj local”屏蔽system 默认配置，可以实现客户要求。

2.4.3 S3552P的Radius配置

sysname Quidway

super password level 3 simple tjfh

#

radius scheme system

server-type huawei

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

radius scheme hwra-2

primary authentication 11.156.198.200 1812

secondary authentication 127.0.0.1 1812

key authentication cisco

key accounting cisco

user-name-format without-domain

nas-ip 11.156.198.254

domain system

radius-scheme hwra-2

access-limit disable

state active

vlan-assignment-mode integer

idle-cut disable

self-service-url disable

messenger time disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key cisco

local-user localadmin

password simple icbctj

service-type telnet level 1

user-interface vty 0 4

authentication-mode scheme

2.4.4 TACACS方式下配置CISCO ACS

（1） 配置AAA Client

在Network Configuration中新建一个AAA Client（或使用原有的），AAA Client 的IP地址，密码一定要配置正确，同时认证类型选择TACACS＋。

（2） 配置或检查一下AAA server的配置

一般情况下AAA server 用户已经配好，不需要我们配置，按照下图所示检查用户的配置没什么问题就行，AAA server的类型选择成CiscoSecure ACS  和TACACS+都可以。

（3） 配置Interface Configuration

选择Interface Configuration中的TACACS+（Cisco IOS）进行TACACS+的相关属性配置，选择PPP IP和Sell（exec）就行了。

（4） 配置用户组的相关属性

按照下图所示配置用户组中的TACACS+选项，一定要选择PPP IP 、Shell(exec)，并且对Privilege Level进行设置一般设置为3，也可以设置为0、1、 2对应我们设备的用户操作级别，如果不设置则无法登录。

（5） 添加User

在User Setup中新建用户名，并设置密码，然后将其归类到不同的Group中，从而使其在Telnet到华为设备上，拥有对应的操作权限

2.4.5 TACACS认证交换机参考配置

hwtacacs scheme hwra-2

//系统默认没有tacacs scheme 根据需要创建

nas-ip 11.156.198.254

primary authentication 11.156.198.200

primary authorization 11.156.198.200

primary accounting 11.156.198.200

key authentication cisco

key authorization cisco

key accounting cisco

user-name-format without-domain

#

#

domain system

//修改默认SYSTEM域配置

scheme hwtacacs-scheme hwra-2 local

//为本地认证留后门

vlan-assignment-mode integer

access-limit disable

state active

idle-cut disable

self-service-url disable

messenger time disable

local-user test

//配置本地用户，如果radius服务器挂了，可以进行本地认证管理设备。但是要

password cipher $=HA/9GHI8^26SFXB8Z+%A!!

service-type telnet level 1

user-interface vty 0 4

authentication-mode scheme

//认证的模式设置

检查运行情况

[s6506]dis domain system

The contents of Domain system:

State = Active

Scheme : TACACS Scheme= aaa and LOCAL

Access-limit = Disable

Vlan-assignment-mode = Integer

Domain User Template:

Idle-cut = Disable

Self-service = Disable

Messenger Time = Disable

下面是server down 掉后的登陆log

%Dec 3 10:20:42 2006 s6506 SHELL/5/LOGOUT: hanxm@aaa logout from 27.27.27.2

%Dec 3 10:20:53 2006 s6506 SHELL/5/LOGIN: hanxm@aaa login from 27.27.27.2

%Dec 3 10:20:57 2006 s6506 SHELL/5/LOGOUT: hanxm@aaa logout from 27.27.27.2

2.4.6 ACS同VRP1.74软件版本的特殊配置方法

Telnet用户通过VRP1.74的radius认证，需要radius server下发107属性，属性值为0（guest用户）、1（operator用户）、2（admin用户）。采用shiva作radius server可以通过修改Dictionary解决，CISCO ACS目前需要通过修改windows注册表解决。修改方法如下：

（1）增加如下键值：

[HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/CSAdmin/Config/Vendors/000/107]

"Default Integer"=dword:00000000

"Default String"=""

"Display State"=dword:00000001

"User Display State"=dword:00000001

（2）修改如下键值

原始：

[HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/Dictionaries/002/107]

"Name"="Ascend-Calling-Subaddress"

"Type"="STRING"

"Profile"="IN OUT"

修改后：

[HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/Dictionaries/002/107]

"Name"="Level-Privilege"

"Type"="INTEGER"

"Profile"="IN OUT"

（3）增加如下键值

[HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/Dictionaries/002/107/Enumerations]

"guest"=dword:00000000

"operator"=dword:00000001

"admin"=dword:00000002

（4）修改如下键值

原始：

[HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/NAS Vendors/000]

"Vendor Name"="RADIUS (IETF)"

"Radius Outbound Attrs"=

"6,7,8,9,10,11,12,13,14,15,16,18,19,20,22,23,24,25,27,28,29,33,34,35,36,37,38,39,62,63,64,65,66,67,69,71,72,78,81,82,83,85,90,91"

"Vendor Supplied Attrs"=

"1,2,3,4,5,6,7,9,10,11,12,13,14,15,16,17,18,20,22,23,24,25,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,85,87,88,90,91"

"Protocol"="Radius"

修改后：

[HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/NAS Vendors/000]

"Vendor Name"="RADIUS (IETF)"

"Radius Outbound Attrs"=

"6,7,8,9,10,11,12,13,14,15,16,18,19,20,22,23,24,25,27,28,29,33,34,35,36,37,38,39,62,63,64,65,66,67,69,71,72,78,81,82,83,85,90,91,107"

"Vendor Supplied Attrs"=

"1,2,3,4,5,6,7,9,10,11,12,13,14,15,16,17,18,20,22,23,24,25,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,85,87,88,90,91,107"

"Protocol"="Radius"

修改后需要重启windows系统，然后进入ACS配置界面，认证Telnet用户时，只需下发如下3个属性：

2.4.7 华为Case一：ACS服务器配合华为属性对Terminal用户的认证案例

关于Cisco ACS服务器和我司路由器配合做radius认证，我们最常用的是对Telnet用户进行认证、授权及计费。当在radius scheme里配置server-type huawei，即采用华为私有Radius属性进行AAA认证时，我们需要在ACS服务器加入华为私有属性，使ACS服务器可以设置huawei用户等级，当然这是针对VRP3.4而言；对于VRP1.74，由于不支持huawei radius属性，无法进行radius授权。同时VRP1.74没有命令可以进行guest级别用户到admininstrator级别用户切换命令，通过radius认证后只能停留在guest级别。不过CISCO ACS可以通过修改windows注册表下发107属性解决，属性值为0（guest用户）、1（operator用户）、2（admin用户），其前提是确保其它服务没有使用该属性。关于注册表的修改方法请参见相关文档。

最近处理一个网上问题：ACS服务器配合华为radius属性对Terminal用户认证失败，后来在实验室复现了该问题，原因是CiscoACS服务器默认下发的Login_Service属性中没有“Terminal”这一选项，后经研发确认需要修改Windows注册表增加值为52（Terminal）的Login_Service属性。这点与Telnet不同，ACS服务器默认下发的Login_Service属性就有Telnet选项，因此不需要增加属性。

下面以对Terminal用户的认证为例说明其配置方法。

Ø 组网环境

Ø 相关配置

1. 路由器AR46－40配置

# 配置RADIUS方案。

[Quidway] radius scheme system

[Quidway-radius-system] primary authentication 192.168.0.1 1812

[Quidway-radius-system] primary accounting 192.168.0.1 1813

[Quidway-radius-system] key authentication expert

[Quidway-radius-system] key accounting expert

[Quidway-radius-system] user-name-format with-domain

[Quidway-radius-system] quit

# 创建domain，配置domain和RADIUS的关联。

[Quidway] domain system

[Quidway-isp-system] scheme radius-scheme system

[Quidway-isp-system] accounting optional

#在全局模式下，指定domain system 为默认的缺省域。

[Quidway] domain default enable system

# 配置Terminal用户采用AAA认证方式。

[Quidway-ui-con] authentication-mode scheme

＃配置AAA Client的 互联AAA Server的IP地址（略）。

2．ACS服务器配置指导

（1）编辑Windows注册表，在radius服务类型属性上增加terminal的类型：

HKEY_LOCAL_MACHINE/SOFTWARE/Cisco/CiscoAAAv3.1/Dictionaries/002/015/Enumerations

增加一个双字节值:Terminal　数据设置为：52(十进制)。

同样我们也可以在radius服务类型属性上增加SSH和FTP的类型，即

增加一个双字节值:FTP　数据设置为：51(十进制)。

增加一个双字节值:SSH　数据设置为：50(十进制)。

修改完后需要重启ACS服务器主机。然后需要配置radius用户，选择用户访问等级；编辑用户组属性，选择[015]Login-Service为: Terminal

（2）配置AAA Client：

在Network Configuration中新建一个AAA Client（或使用原有的）；在其中的Authenticate Using中选择Radius（Huawei）。

（3）配置AAA Server：

在Network Configuration中新建一个AAA Server（或使用原有的）；在其中的AAA Server type中选择Radius。

（4）设置组：

在Interface Configuration中的RADIUS（Huawei）的Group中选择[026/2011/029]及[hw_Exec_Privilege]

（5）配置用户及权限：

注意：在Group Setup和 User Setup中均可设置用户的权限。但User Setup设置的优先级高于Group Setup，一般情况下只需要在Group Setup中设置用户的权限即可。Group Setup设置的是组内所有用户的权限。

2.4.8 关于华为私有属性的补充说明

1、如果在radius scheme里配置server-type huawei，那么设备会要求服务器下发的Login_Service属性和用户上线的service匹配，目前设备支持的有：

0 Telnet

5 X25_PAD

50 SSH

51 FTP

52 Terminal

显然50以后的值是我们私有的，思科的服务器可能会不支持。也就是说当采用server-type为huawei的radius方案认证时，必须要求认证成功的报文里下发

值为52的Login_Service属性。

2、给用户分配登录的level是通过29号华为私有属性（hw_Exec_Privilege）来实现的（RADIUS标准属性里也没有这样功能的属性，所以只能用私有属性实现）。所以呢，当采用标准server-type来验证时，只能给用户分配0级的权限。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2:47 PM | Blog it