使用ACS配置TACACS+.doc

使用ACS配置TACACS+ Yewei_2009126.com 注意：1、需要安裝在Server版本上，最好是在域的環(huán)境下2、需要安裝JAVA虛擬機根據(jù)上面的拓撲設置網(wǎng)絡環(huán)境，并安裝ACS4.0一、設置ACS管理員帳號1、點擊ACS界面左邊的Administration control 按鈕 ，然后點擊Administrator control界面中的Add Administrator。2、點擊Add administrator 后出現(xiàn)此賬戶的諸多選項，逐一填寫后點擊Submit。3、設置了管理員后就可以通過web界面登錄到ACS服務器對ACS進行配置。二、ACS網(wǎng)絡設置（添加Tacacs+ 客戶端）1、點擊ACS界面的Network Configuration按鈕 ，出現(xiàn)網(wǎng)絡配置界面，然后點擊Add Entry。2、設添加Tacacs+客戶端，添加客戶端名稱和IP地址及KEY（ACS中必須指定Tacacs+客戶端的IP地址），選擇認證方式。Tacacs+設置3、點擊ACS界面左邊Interface configuration 按鈕 ，選擇TACACS+ (Cisco IOS)。4、根據(jù)個人具體應用，在Tacacs+相關項目中打勾(如果沒有將tacacs+相關項目選中，則在用戶組/用戶屬性中將不會出現(xiàn)tacacs+相關項目)。三、添加用戶組1、在ACS界面左邊點擊Group Setup在下拉列表中選取某個組，給這個組重命名，接著選擇Edit setting進入組的屬性配置在組的enable option 中的Max privilege for any AAA Client設置組的級別四、添加用戶1、在ACS界面的左邊點擊user setup 按鈕在user方框中填寫用戶名，然后點擊ADD/Edit 2、在出現(xiàn)的用戶屬性中逐一填寫，選擇用戶屬于哪個用戶組，選擇用戶屬于的級別（可以定義單個用戶級別，也可以和所屬的用戶組級別一樣）。設置用戶的enable 密碼。五、ACS授權(authorization)ACS中可以通過設置用戶組/用戶的級別privilege來實現(xiàn)不同用戶登錄設備后可用的命令的不同，也可以通過使用ACS的命令授權來實現(xiàn)不同用戶登錄設備的可用命令條目，以下介紹ACS的命令授權。1、在ACS的界面左邊的按鈕點擊shell command authorization sets2、點擊Add添加命令集 頁面下方有兩個方框，左邊填寫命令的前綴，右邊填寫命令的后綴，命令后綴填寫的語法格式是：permit/deny *3、將命令集運用到用戶組或者用戶 點擊用戶組屬性的tacacs+ setting項目給用戶組/用戶的屬性commands15中選擇用戶組/用戶的級別，然后點擊submit+restart六、ACS審計(accounting)點擊ACS界面左邊的按鈕，然后選擇TACACS+ Accounting,七、客戶端的配置aaa new-modelaaa authentication login default group tacacs+aaa authorization commands 15 default group tacacs+ aaa accounting exec default start-stop group tacacs+tacacs-server