一、原理

  • ACS简介

      思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

  • AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。

首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。

接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是账户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行账户过程。

验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

二、案例

  • ACS安装与配置

首先要确保安装了java虚拟机,在此,我们安装JDK即可。

安装ACS,安装后,桌面会有ACS admin快捷键。用于每次连接到ACS。每次的端口也不一样。在打开ACS admin之前需要将浏览器级别调低点,如下设置

5117763_1345945486m9n2

因为此程序为cisco私有,而我们用的设备是华为设备,所以我们需要导入华为的私有属性

导入步骤如下:

编写h3c.ini文件(以下即为文件内容)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

将编译好的华为的配置设置文件夹考到硬盘中,找到acs的安装目录下的bin文件夹,复制其路径,打开命令提示符,进入该路径下,输入CSUtil.exe -addUDV 0 私有属性目录(c:\h3c.ini),回车

5628230_1346038110Ka9E

打开ACS admin对AAA服务器进行配置

5117763_1345945487YXLX

5117763_1345945488DKsE

D(@XXFL@1B7(`RK0M2DOM]W

WUAK`LS[I_R[(RLF6YKRW@D

5117763_1345945492dLAv

M]IEUSCM}I[UH0R4(9D@Z}6

AAA服务器到此搭建好了。

案例

拓扑图

F~1_TF2I_[8HCMX30@`VJ$L

实现用户的telnet远程管理

案例一、与华为交换机的结合实现AAA服务器认证

radius scheme xxx

primary authentication 192.168.10.1   #主验证服务器

key authentication 123456

accounting optional

server-type standard      #服务器类型

user-name-format without-domain#发送账号信息不带域名

quit

domain tec #域名

radius-scheme xxx  #引用方案

access-limit enable 10 #限制10个用户

accounting optional     #验证可选

authentication radius-scheme xxx

state active

quit

user-interface vty 0 4

authentication-mode scheme

accounting commands scheme

quit

super password simple 456

`[G`4RG~E0RT~[WRS9EXQU7

案例二、与防火墙的结合实现AAA服务器认证

配置如下

[H3C]firewall zone trust
[H3C-zone-trust]add interface Ethernet 0/0 #将接口加入信任区域

[H3C]interface Ethernet 0/0
[H3C-Ethernet0/0]ip address 192.168.10.2 24 #设置改接口的ip地址,即AAA客户端的地址

[H3C]radius scheme abc 新建方案 abc
[H3C-radius-abc]key authentication 123456 #验证的密钥对,应与ACS中设置的相同
[H3C-radius-abc]primary authentication 192.168.10.1 #主验证服务器地址
[H3C-radius-abc]server-type ?
extended Server based on RADIUS extensions
standard Server based on RFC protocol(s)   #若为标准,登录防火墙后进入0级别
[H3C-radius-abc]server-type extended   #服务类型为扩展类型,依赖radius服务器
[H3C-radius-abc]user-name-format without-domain   #客户端向radius服务器发送用户名时去掉域名
[H3C]domain tec 新建域tec
[H3C-isp-tec]radius-scheme abc tec   #域使用 “abc”方案
[H3C-isp-tec]accounting optional    #计费方式可选
[H3C-isp-tec]access-limit enable 10 # 允许最大的接入数量为10
[H3C]domain default enable tec #将tec域设置为默认域,用户登录时输入用户名可以不加@tec

ssh登录

[H3C-radius-abc]server-type standard 服务类型为标准
[H3C]rsa local-key-pair create 产生密钥对
[H3C]ssh authentication-type default all ssh的验证方式默认为所有方式
将进入0级别
可以先配置super 密码,切换到管理员级别
[H3C]super password level 3 simple 123 设置切换到管理员级别的密码

测试

9V6M(MAK84$CJ_I[A8`7%RX

案例三、与华为路由器的结合实现AAA服务器认证

aaa-enable
aaa authentication-scheme login default radius

radius server 192.168.10.1 # 配置RADIUS 服务器IP 地址

radius shared-key my-secret # 配置RADIUS 服务器密钥,计费方式。

aaa accounting-scheme optional int eth0

ip add 192.168.10.2 24     #配置客户端地址

测试暂未通过。。。