ACS5.3管理員手冊1 網(wǎng)絡(luò)部署1.1 部署位置1.2 部署方式1.2.1 現(xiàn)有部署方式華誠人壽保險公司ACS的部署方式為主備方式，主服務(wù)器提供認(rèn)證，授權(quán)和審計所有AAA服務(wù)，備份服務(wù)器不提供AAA服務(wù)，只有主服務(wù)器不能提供服務(wù)時，備份服務(wù)器才會接替主服務(wù)器，提供AAA服務(wù)，在所有client需要配置兩個AAA server。1.2.2 與第三方集成部署方式詳見ACS與第三方集成章節(jié)1.3 管理地址名稱服務(wù)狀態(tài)IP地址管理端口備注ACS-1主用443PrimaryACS-2備用443Standby2 軟件安裝2.1 安裝需求ACS5.3軟件安裝對服務(wù)器硬件要求CONFIGHDDRAMNICIBM 11212 x 250 GB4GB4X 10.100.1000 RJ-45CAM25-1-2-42 x 250 GB4 x 1GB2 x 1GEVMWare ESX 3.5 or 4.0500GB4GB2 NICsVMWare Server 2.060GB4GB1 or 2 virtual NICS2.2 安裝步驟第一步，將安裝光盤放入服務(wù)器，進(jìn)入啟動頁面后，選擇1安裝ACS5.3,如下圖：第二步，等到出現(xiàn)如下界面，輸入setup，如下圖：第三步，至如下界面依次輸入主機(jī)名，ip地址，用戶名及密碼（這個用戶名密碼是服務(wù)器登陸的用戶名密碼，不是ACSweb界面的用戶名密碼），至此ACS5.3安裝完成2.3 安裝License在瀏覽器上輸入https:/IP地址，進(jìn)入ACSweb界面，選擇license文件，如下圖：導(dǎo)入license文件后，即可正常配置ACS，初始用戶名是acsadmin，密碼是default3 系統(tǒng)管理3.1 管理員創(chuàng)建3.1.1 服務(wù)器管理員創(chuàng)建ACS5.3底層是以Linux為基礎(chǔ)，集成了ACS軟件，配置服務(wù)器管理員時就如同在cisco路由器上配置用戶名密碼一樣，在配置模式下輸入username xxx password xxx命令，即可創(chuàng)建服務(wù)器管理員，如下圖：3.1.2 WEB登錄管理員創(chuàng)建在瀏覽器中輸入ACS服務(wù)器地址，https:/ip地址，進(jìn)入ACSweb界面，點(diǎn)擊system administration，進(jìn)行帳號創(chuàng)建：第一步，點(diǎn)擊Administrators下的Accounts，進(jìn)入帳號創(chuàng)建界面，點(diǎn)擊create新建一個帳號，如下圖：第二步，進(jìn)入帳號創(chuàng)建界面后，輸入要創(chuàng)建的管理員和密碼，選擇用戶的角色，點(diǎn)擊submit完成管理員的創(chuàng)建，如下圖：3.2 雙機(jī)同步華誠目前ACS的部署方式為主備模式，主服務(wù)器提供認(rèn)證，授權(quán)和審計所有AAA服務(wù)，備份服務(wù)器不提供AAA服務(wù)，只有主服務(wù)器不能提供服務(wù)時，備份服務(wù)器才會接替主服務(wù)器，提供AAA服務(wù)，配置如下：在備份服務(wù)器上點(diǎn)擊system administration下的deployment operations，輸入主服務(wù)器的IP地址，用戶名密碼，點(diǎn)擊register to primary,完成雙機(jī)，如下圖：雙機(jī)配置完成后，在主服務(wù)器上能看到備份服務(wù)器的地址，狀態(tài)，版本等信息，如下圖：3.3 證書添加ACS添加證書需要添加兩個證書，一個根證書，一個實例證書，添加時需要先添加根證書，再添加實例證書3.3.1 根證書添加首先在CA服務(wù)器上下載一個根證書，通過users and identity stores下的certificate authorties，添加一個根證書，點(diǎn)擊create，輸入根證書所在路徑，點(diǎn)擊submit，完成根證書添加，如下圖：3.3.2 實例證書添加添加完根證書后，就可以安裝實例證書，首先在ACS服務(wù)器上生成一段請求代碼，我們利用這段請求代碼去CA服務(wù)器上申請證書。選擇system administration下的local certificates，點(diǎn)擊add，選中，如下圖：點(diǎn)擊next，輸入CN=CHD,Key Length選擇2048，Digest to sign with 選擇默認(rèn)SHA1即可，點(diǎn)擊finish，完成代碼請求，如下圖：點(diǎn)擊outstanding signing requests，選中剛才生產(chǎn)的代碼，點(diǎn)擊export，將剛才生成的代碼導(dǎo)出到本地，如下圖：將導(dǎo)出的代碼復(fù)制到CA服務(wù)器上，申請證書。選擇system administration下的local certificates，點(diǎn)擊add，選中，點(diǎn)擊next，如下圖：輸入所申請證書的所在路徑，點(diǎn)擊finish，完成實例證書添加，如下圖：3.4 AAA CLIENT（TACACS）添加選擇network resources下的Network devices and AAA clients,點(diǎn)擊create，新建一個AAA client，如下圖所示：Name輸入設(shè)備名，IP地址需要輸入設(shè)備nas地址，選擇TACACS+，輸入shared secret，點(diǎn)擊submit，完成AAA Client添加，如下圖所示：3.5 AAA CLIENT（RADIUS）添加選擇network resources下的Network devices and AAA clients,點(diǎn)擊create，新建一個AAA client，如下圖所示：Name輸入設(shè)備名，IP地址需要輸入設(shè)備nas地址，選擇RADIUS，輸入shared secret，點(diǎn)擊submit，完成AAA Client添加，如下圖所示：3.6 DOT1X第一步，選擇policy elements下的authorization profiles，點(diǎn)擊create，新建一個授權(quán)文件，如下圖所示：第二步，輸入一個授權(quán)文件名字，點(diǎn)擊radius attributes，如下圖所示：第三步，配置dot1x屬性，選擇下面的radius屬性，如下圖所示：第三步，新建一個訪問服務(wù)，選擇CHAPv2，配置訪問服務(wù)，授權(quán)文件選擇剛才新建的dot1x授權(quán)文件，點(diǎn)擊submit，完成dot1x配置，如下圖所示：3.7 動態(tài)VLAN下發(fā)動態(tài)VLAN下發(fā)可以為每個用戶賦予一個單獨(dú)的VLAN權(quán)限，當(dāng)用戶使用802.1X登陸時，ACS會自動賦予這個用戶一個相應(yīng)的VLAN，配置如下圖所示：Dot1x的配置請參照上面dot1x配置，這里只需要配置一個授權(quán)文件，在訪問策略那里調(diào)用即可，如下圖所示：3.8 第三方設(shè)備ACL下發(fā)通過在IETF RADIUS Attriutes中的Filter-Id中輸入在第三方設(shè)備中建立的ACL的號，建立一個授權(quán)文件，在訪問策略那里調(diào)用即可，如下圖所示：4 ACS與第三方集成4.1 ACS與LDAP集成ACS支持外部數(shù)據(jù)庫映射，將外部數(shù)據(jù)庫的用戶集成到ACS上，目前華誠ACS數(shù)據(jù)庫的部署，公司有線用戶使用ACS內(nèi)部數(shù)據(jù)庫，公司將來無線用戶可能使用外部數(shù)據(jù)庫LDAP映射過來的賬戶。4.1.1 ACS與LDAP部署結(jié)構(gòu)4.1.2 ACS與LDAP配置第一步，點(diǎn)擊users and identity stores下的LDAP，進(jìn)入LDAP映射界面，點(diǎn)擊create創(chuàng)建一個LDAP映射，如下圖：第二步，在LDAP映射界面輸入映射名字，點(diǎn)擊server connection，輸入hostname，port，admin DN，password等相關(guān)參數(shù)，點(diǎn)擊test bind to server，進(jìn)行連接測試，如下圖：第三步，點(diǎn)擊directory organization，配置以下LDAP參數(shù)，輸入相關(guān)參數(shù)后點(diǎn)擊submit，完成LDAP數(shù)據(jù)庫映射，如下圖：LDAP映射需要輸入的參數(shù)：Subject objectclassGroup objectclassSubject name attributeGroup map attributeSubject search baseGroup search base4.2 ACS與AD集成4.2.1 ACS與AD部署結(jié)構(gòu)4.2.2 ACS與AD配置ACS支持微軟的AD數(shù)據(jù)庫映射，目前華誠部署有這種數(shù)據(jù)庫映射，以下配置是測試配置。具體配置需要在現(xiàn)網(wǎng)環(huán)境中去做調(diào)試第一步，點(diǎn)擊users and identity stores下的Active Directory,進(jìn)入AD映射界面，如下圖：第二步，在AD映射界面，輸入域名，域控制器用戶名及密碼，點(diǎn)擊submit，完成AD映射，如果映射不成功，檢查ACS和AD時間是否同步，時間如果不一致，會導(dǎo)致ACS和AD映射不成功，如下圖：5 用戶管理5.1 創(chuàng)建用戶選擇users and identity stores下的users,點(diǎn)擊create，創(chuàng)建一個用戶，如下圖：在用戶界面輸入用戶名密碼，選擇用戶所在的組，點(diǎn)擊submit，完成用戶創(chuàng)建，如下圖所示：5.2 注銷用戶注銷用戶時，選擇users and identity stores下的users，選中要注銷的用戶，點(diǎn)擊edit，在status那選擇disabled，點(diǎn)擊submit，完成用戶注銷，如下圖所示：5.3 用戶更改登錄密碼修改用戶登錄密碼時，選擇users and identity stores下的users，選中要修改密碼的用戶，點(diǎn)擊change password，輸入新的password，點(diǎn)擊submit完成密碼修改，如下圖所示：6 有線訪問策略配置6.1 配置訪問服務(wù)選擇access policies下的access services，點(diǎn)擊create創(chuàng)建一個訪問服務(wù)，如下圖所示：進(jìn)入訪問服務(wù)配置界面，輸入服務(wù)名，選擇service type，點(diǎn)擊next，如下圖所示：選擇允許的協(xié)議，點(diǎn)擊finish，完成訪問服務(wù)創(chuàng)建，如下圖所示：6.2 配置訪問策略配置訪問策略之前首先要調(diào)用剛才創(chuàng)建的訪問服務(wù)，這樣才能激活服務(wù)，否則剛創(chuàng)建的服務(wù)是disabled的，選擇service selection rules ,點(diǎn)擊create，創(chuàng)建一個rule，如下圖所示：進(jìn)入rule以后，在results選擇剛創(chuàng)建的訪問服務(wù)，激活訪問服務(wù)，如下圖所示：選擇access policies下的identity，身份源選擇internal users，點(diǎn)擊save changes，如下圖所示：配置完身份源之后，選擇authorization，點(diǎn)擊create，新建一天訪問規(guī)則，如下圖所示：進(jìn)入規(guī)則配置界面后，選擇匹配規(guī)則，這里有很多匹配條件，大家可以自己組合，最后選擇authorization profiles，點(diǎn)擊ok，完成訪問策略配置，如下圖所示：7 ACS配置備份與恢復(fù)選擇monitoring and reports下的launch monitoring&