• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

ComwareV5平台交换机结合CiscoACS 5.2进行TACACS认证配置及经验总结

2014-03-05 发表
  • 0关注
  • 0收藏,1576浏览
秦军 六段
粉丝:13人 关注:4人

ComwareV5平台交换机结合CiscoACS 5.2进行TACACS认证配置及经验总结

本文主要讲述ComwareV5平台交换机与Cisco ACS 5.2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项。

一、组网需求:

PC直连S5500-EIS5500-EI直连Cisco ACS 5.2服务器。

1.     PC

PC使用Windows 7操作系统,IP地址:10.1.1.1/24

2.     S5500-EI

S5500-EI使用软件版本Release 2220P02

Vlan-if 10 IP地址:10.1.1.254/24,用于与PC互联;

Vlan-if 172 IP地址:172.16.8.1/24,用于与ACS服务器互联。

3.     Cisco ACS 5.2

IP address172.16.8.254

二、组网图:

三、配置步骤:

1.     PC配置

配置IP地址:

2.     S5500-EI配置

S5500-EI配置

telnet server enable

#

vlan 10

#

vlan 172

#

interface Vlan-interface10

 ip address 10.1.1.254 255.255.255.0

#

interface Vlan-interface172

 ip address 172.16.8.1 255.255.255.0

#

interface GigabitEthernet1/0/23

 port access vlan 10

#

interface GigabitEthernet1/0/24

 port access vlan 172

#

user-interface vty 0 15

 authentication-mode scheme

command authorization  //使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置

command accounting  //使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置。

#

hwtacacs scheme login

 primary authentication 172.16.8.254

 primary authorization 172.16.8.254

 primary accounting 172.16.8.254

 nas-ip 172.16.8.1

 key authentication 123456

 key authorization 123456

 key accounting 123456

 user-name-format without-domain

#

domain system

 authentication login hwtacacs-scheme login

 authorization login hwtacacs-scheme login

 accounting login hwtacacs-scheme login

authorization command hwtacacs-scheme login

 accounting command hwtacacs-scheme login

#

3.     Cisco ACS5.2配置

3.1命令行配置

Cisco ACS配置

interface GigabitEthernet 0

 ip address 172.16.8.254 255.255.255.0

 no shutdown

!

ip default-gateway 172.16.8.1

3.2 Web页面配置

1)通过GUI登录ACS

通过IE浏览器键入https://172.16.8.254登录ACS WEB页面。

2)配置网络资源

需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(Device Type)进行规划。

网络资源组(Network Device Groups>网络设备组(Network Device Groups>位置(Location)视图下创建新的位置:

网络资源组(Network Device Groups>网络设备组(Network Device Groups>设备类型(Device Type)视图下创建新的设备类型:

网络资源组(Network Device Groups>网络设备组(Network Device Groups>网络设备和AAA客户端(Network Devices and AAA Clients)视图下创建网络设备(Network Devices):

将新创建的设备分配到指定位置(Location)、设备类型(Device Type),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致。

创建完成后返回网络设备列表:

3)配置用户组和用户

用户与身份库(Users and Identity Stores>身份组(Identity Groups)视图下创建新的身份组,并分配到All Groups组中:

用户与身份库(Users and Identity Stores> 内部身份库(Internal Identity Stores>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:

创建完成后返回内部用户列表:

4)配置策略元素

策略元素(Policy Elements>授权与权限(Authorization and Permissions>设备管理( Device Administration> Shell Profiles视图下创建授权策略,其中Permit Access是缺省的授权策略,这里再定义一个授权级别为三级的授权策略。

定义授权级别为级:

这时在定制属性中可以看到名称为Assigned Privilege Level,属性值为3的属性:

配置完成后返回Shell Profiles列表:

如果要对命令进行授权,在设备授权操作中配置授权命令集。策略元素(Policy Elements>授权与权限(Authorization and Permissions>设备管理( Device Administration> 授权命令集(Command Sets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令。其中DenyAllCommands是缺省的命令集。

配置完成后返回授权命令集列表:

5)配置接入服务

接入策略(Access Policies >接入服务(Access Services)视图下创建新的接入服务。缺省情况下存在设备管理(Default Device Admin)和网络接入控制(Default Network Access)两个默认的访问策略。

创建接入服务时,可以基于已存在的访问策略进行配置:

点击下一步,勾选允许的认证协议,这里只需勾选PAPCHAP即可:

配置完成后,返回接入服务列表:

在接入服务(Access Services)中配置授权操作,单击接入服务“Login Service”对应的“Authorization”。首先选择定制方式(Customize),选择使用这一接入服务的身份组(Identity Group)、位置(NDG Location)以及设备类型(NDG Device Type),并对认证成功的用户按照Shell Profile和授权命令集,为认证用户下发授权级别以及对命令做授权:

然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及Shell Profile和授权命令集:

配置完成后返回授权策略列表:

单击“Save Changes”保存配置。

6)配置服务选择规则

配置服务选择规则,选择已创建的接入服务。

接入策略(Access Policies >接入服务(Access Services>服务选择规则(Service Selection Rules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:

配置完成后,返回服务选择策略列表:

单击“Save Changes”保存配置。

4. 验证

Telnet登录设备后,查看用户的授权级别为三级:

display users    

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel

F 0   AUX 0   00:00:00      3

  25  VTY 0   00:00:26 TEL  3

 

Following are more details.

VTY 0   :

        User name: JuneQ

        Location: 10.1.1.1

 +    : Current operation user.

 F    : Current operation user work in async mode.

分别测试授权和未授权的命令:

通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:

查看TACACS协议的认证、授权、计费的记录信息:

查看TACACS授权记录,可以看到认证成功后调用的Shell Profile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:

如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:

四、配置关键点:

1.    HWTACACS认证、授权、计费报文的共享密钥必须与ACSTACACS+的共享密钥一致;

2.    默认情况下,在配置接入服务的授权项时,只能按照Shell Profile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(Command Sets);

3.    配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作