ACS基本配置-权限等级管理

最新推荐文章于 2018-09-06 15:52:43 发布
最新推荐文章于 2018-09-06 15:52:43 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 前端 shell 操作系统 ViewUI
原文链接:https://yq.aliyun.com/articles/473662
版权
本文介绍了ACS的基本配置,包括如何创建管理员账户以进行远程管理,以及ACS的访问原理。此外,详细阐述了权限等级管理,如何通过TACACS+进行认证、授权配置,以及记账配置,提供网络设备权限控制的实例,帮助实现分权限集中管理。
摘要由CSDN通过智能技术生成
1, ACS 基本配置
ACS的安装这里不讲了,网上google一下就有很多。这里主要讲一下ACS的基本配置,以便于远程管理访问。
ACS正确安装后应该可以通过 [url]http://ip:2002/[/url]远程访问,当然要确保中间是否有防火墙等策略。然后就是通过正确的帐号和密码进行登录管理。下面是建立ACS管理帐户的图示。
a,本地登录ACS界面,点击左边的“Administration Control”按钮,进入下一个界面;
120756115659.JPG
b,点击“Add Administrator”,进入配置界面;
120756117128.JPG 
c,根据提示填写,一般选择全部权限,方便管理,当然如果有特殊管理帐户,可以分给不同权限,比如说只能管理某些group等;
120756117733.JPG 
d,然后“Submit”,就可以通过这个账户进行远程管理了。
2, ACS访问原理
ACS主要是应用于运行Cisco IOS软件的思科网络设备,当然,ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。这其中包括:
· Cisco Catalyst交换机(运行Cisco Catalyst操作系统[CatOS])
· Cisco PIX防火墙
· Cisco VPN 3000系列集中器
不运行Cisco IOS软件的思科设备(如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器)可能也支持启用特权、TACACS+(验证、授权和记帐[AAA])命令授权或以上两者。随着对集中管理控制和审计的需求的增加,本文作者预计目前不支持TACACS+命令授权的其他思科网络设备将得以改进,支持TACACS+命令授权。为最快了解思科设备的支持水平,请查看有关设备的最新文档。
运行Cisco IOS软件的思科设备提供了两个网络设备管理解决方案:
· 启用权利(Enable priviledges)
· AAA命令授权
Cisco IOS软件有16个特权级别,即0到15(其他思科设备可能支持数目更少的特权级别;例如,Cisco VPN 3000集中器支持两个级别)。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行启用命令,提供用户的启用口令和请求的新特权级别。如果口令正确,即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。表1为思科供货时Cisco IOS设备的缺省特权级别。这些等级缺省是有命令集的,比如说等级1只有一些基本的show命令等,而等级15是全部命令的集合。其他诸于2~14共13个等级的命令集是要用户自己在认证设备本地定义的。
表1 缺省级别
特权级别 说明
0
包括disable, enable, exit, help和logout命令
1
包括router>提示值时的所有用户级命令
15
包括router#提示值时的所有启用级命令
可修改这些级别并定义新级别,如图1所示。
图1 启用命令特权级别示例
120756118239.JPG 
每个设备上都有静态本地口令与特权级别相关联,这样有一个重要的内在缺陷:每个用户的启用口令必须在用户需访问的每个设备上进行配置。
为缓解这种情况提出的管理可扩展性问题,TACACS+可从中央位置提供特权级别授权控制。TACACS+服务器通常允许各用户有自己的启用口令并获得特定特权级别。这样即可从单一中央位置禁用用户或改变其特权级别,而不会影响其他管理员。
因为特权级别需在网络中每个设备上正确配置,以便管理员能在其管理的设备上有一致的体验,这就引发了另一个主要的问题。而不幸的是,使用TACACS+实现的启用特权级别控制的集中化,并不能解决这一规模管理可扩展性问题。为解决此问题,可在TACACS+服务器中定位命令授权。凭借此设置,设备上键入的任意命令都首先会针对当前特权级别进行检查,如果检查通过,它就会提交给TACACS+服务器进一步检查。图2为此设备用来判断是否用户得到执行命令行授权的逻辑。注意图中的红框标注,标明先要经过本地的登记命令认证,然后再通过ACS的认证。下面授权部分还会具体讲到。
图2 设备逻辑,用户被TACACS+验证;失败;用户登出;壳式授权…;用户输入Cisco IOS命令行;命令是否允许…;下一命令;授权命令行…;设备执行命令行。
120756118825.JPG 
作为通用T+壳式服务授权(priv-lvl=)的一部分,TACACS+能在用户登录设备时预定义用户获得的初始特权。这使管理员能在连接至设备时就能立即获得特权级别15。
3, 认证配置
3.1, 添加AAA客户端
a,点击左边“Network Configuration”,进入分组管理后,点击“Add Entry”,进入如下界面,按提示输入。这里要主要的是“key”,这个必须与客户端配置一致,才能进行通信。然后点击“Submit+Restart”即可。
最低0.47元/天 解锁文章
weixin_33924312
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACS配置
小屁孩
12-24 1万+
 February 17AC安装&配置手册 第二部分 ACS配置第二部分ACS配置2.1 通用配置ACS已经安装在服务器上,ACS的IP地址为11.156.198.200。安装完后会在桌面产生一个ACS管理页面。 点击即可登录进ACS进行管理操作。如:配置管理员帐号,数据库管理等等。 2.1.1 创建管理员点击界面左侧的安钮进入到管理页面
ACS详细配置手册
01-10
ACS详细配置手册,可以轻松配置ACS来搭建认证服务器
Cisco ACS+AAA配置
weixin_34194087的博客
02-14 452
最近在搭建公司的ACS,总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明,供参考。以下介绍ACS+aaa架构下aaa的配置模板。 aaa的配置可以大致分以下几个部分: 1.配置ACS(tacacs或radius)服务器 tacacs-serv...
ACS服务器配置
weixin_34242509的博客
04-11 582
这篇文章也是我2004年时做的一个工程(IP接入工程),现将文章整理出来,放到Blog: 前几天刚做完一个工程,发出来,给大家分享一下!:)案例:xxxxx终端采用GPRS拨号,通过×××联入xxxxxx内部网络。ACS服务器配置:1.增加用户名和密码,为每一个用户从地址池中分配一个IP地址。2.在ACS上配好KEY。路由器配置如下:sh runBuilding co...
ACS880变频器固件手册
03-30
- 介绍了ACS880变频器的控制面板布局和各个按钮的功能,便于用户进行基本设置和操作。 #### 三、控制方式与工作模式 **控制方式:** - **本地控制:** 直接通过变频器上的控制面板进行操作。 - **外部控制:** 通过...
轨道交通行业ACS系统应用
10-25
通过这种方式,系统能够统一管理持卡人的访问权限,并且可以根据轨道交通运营的需要灵活地设置门禁。这体现了ACS系统在轨道交通行业中为确保人员安全、提升运营效率以及满足紧急情况下的特殊需求所发挥的关键作用。 ...
MaxCompute 项目空间内的访问控制和权限管理
阿里云云栖号
09-06 4027
项目空间内的访问控制分为以下五类: 用户管理 ACL授权 Policy授权 角色管理 基于标签的访问控制管理 用户管理 任意非项目空间Owner用户必须被加入MaxCompute项目空间中,并被授予相对应权限,方能操作MaxCompute中的数据、作业、资源及函数。示例如下: 假设Alice创建一个名为WonderLand的项目,自动成为Owner。没有Alice的授权,其他任何...
ACS安装配置实验手册
11-14
ACS已经安装在服务器上,ACS的IP地址为11.156.198.200。安装完后会在桌面产生一个ACS管理页面。 点击即可登录进ACS进行管理操作。如:配置管理员帐号,数据库管理等等。
ACS_配置手册详解
06-23
cisco ACS4.2配置手册详解,包括了如何ACS与AD集成的操作,思科IOS分级授权管理
Cisco ACS5.8配置手册.docx
06-11
cisco ACS5.8配置手册,主要是关于ACS的一些常用功能,ACS打补丁,ACS HA,ACS与域联动,查看日志,ACS备份与还原
Cisco Secure ACS 数据同步配置
weixin_34186128的博客
12-18 441
使用ACS作为身份验证服务器时,对ACS提出了高可用性的要求,在WLC中可以同时设置三台ACS互为热备,那么这就必然涉及到ACS服务器间数据同步的问题。  首先配置好主ACS,确保可以完成要求的功能,然后安装备ACS,但暂时不要做任何配置。在两个ACS的 Network Configuation 的 AAA Servers 互相添加对方,就是在主ACS中添加备...
ACS
youshengyoushe的专栏
08-22 619
自动配置服务器--Automatic configuration server (ACS) --实现了一个CPE(客户端边缘网络提供设备,亦即普通的ADSL modern,router,wireless router等)的CWMP配置协议CWMP在TR-069规范中有详细定义,需要了解CWMP请参阅TR-069的规范。
ACS5中文配置手册详解
01-14
ACS5中文配置手册详解,很不错的图文并茂
Cisco ACS 4.1 官方配置手册
01-16
思科ACS4.1的官方配置指导手册,对部署ACS服务器有很大的帮助学习作用,从ACS部署搭建到后期需求配置和维护都有详细说明
openacs-bin-0.5
最新发布
07-05
openacs-bin-0.5还提供了一些简单易用的管理工具,用于配置管理网站、用户和内容。管理员可以使用这些工具来管理用户权限、发布和管理内容、监控网站性能等。这些工具可以帮助管理员轻松地管理和维护网站,提高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值