Tài liệu hướng dẫn cấu hình ACS 4 2
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (511.02 KB, 13 trang )
TÀI LIỆU HƯỚNG DẪN
CẤU HÌNH ACS SERVER 4.2
MỤC LỤC
I.
Khái niệm: ......................................................................................................................... 2
II. Chứng thực Radius ............................................................................................................ 2
A. Cấu hình trên thiết bị CISCO ........................................................................................ 2
B. Cấu hình trên ACS Server ............................................................................................. 2
III.
Chứng thực Tacac+........................................................................................................ 6
A. Cấu hình trên thiết bị CISCO ........................................................................................ 6
B. Cấu hình ACS Server .................................................................................................... 7
IV.
Phân quyền truy cập Tacacs+ cho user........................................................................ 10
NỘI DUNG
I.
Khái niệm:
ACS là phần mềm cho phép cấu hình chứng thực username/password và phân quyền tập
trung cho các thiết bị mạng. Ví dụ: Cisco Router, Switch Router,…
Khi cài ACS server, ta có thể cấp chứng thực username/password, và quyền truy câp, quyền
quản trị cho tất cả các thiết bị mạng (router,switch)…. Bằng cách sử dụng chứng thực AAA
và các chuẩn truy cập TACACS+ hoặc RADIUS, ta có được môt phương pháp quản trị user
và quyền truy cập với độ bảo mât cao.
Tài liệu này cung cấp các bước cấu hình ACS 4.2 và các thiết bị mạng của Cisco.
II.
Chứng thực Radius
A.
Cấu hình trên thiết bị CISCO
#aaa new-model
#aaa authentication login default group radius line
#radius-server host 172.16.4.2 key 123456
#username u1 password 123456
#line vty 0 15
#priviledge level 15
#login authentication default
B.
Cấu hình trên ACS Server
Vào trang quản lý ACS bằng trình duyệt như hình dưới, click User Setup:
2
Nhập tên user, click Add/Edit
Nhập mật khẩu, chọn group, click Submit
3
Click Network Configuration, click Add Entry trong phần AAA Clients:
4
Nhập tên (AAA Client Hostname), địa chỉ IP thiết bị CISCO cần quản lý (AAA Client IP
Address), khóa (Shared Secret), click Submit + Apply. Mục Authenticate Using chọn
RADIUS (IETF) (chuẩn chứng thực của thế giới)
Click Network Configuration, click Add Entry trong phần AAA Server:
5
Nhập tên ACS Server (AAA Server Name), địa chỉ IP ACS Server (AAA Server IP
Address), khóa (Key)
III.
A.
Chứng thực Tacac+
Cấu hình trên thiết bị CISCO
enable password cisco
aaa new-model
aaa group server tacacs+ win2k3
server 172.16.4.2
aaa
aaa
aaa
aaa
aaa
aaa
authentication login pvdauthen group win2k3 local
authorization config-commands
authorization exec default group win2k3 local
authorization commands 15 default group win2k3 local
accounting exec pvdacc start-stop group win2k3
accounting commands 15 pvdacc2 start-stop group win2k3
tacacs-server host 172.16.4.2 key 123456
tacacs-server directed-request
line vty 0 15
accounting commands 15 pvdacc2
accounting exec pvdacc
login authentication pvdauthen
6
transport input telnet
B.
Cấu hình ACS Server
Vào trang quản lý ACS bằng trình duyệt như hình dưới, click User Setup:
Nhập tên user, click Add/Edit, tạo user u1 và admin
7
Nhập mật khẩu, chọn group (ví dụ Group 1), click Submit. Vd: u1 thuộc Group 1, admin
thuộc Group 2.
Click Network Configuration, click Add Entry trong phần AAA Clients:
8
Nhập tên (AAA Client Hostname), địa chỉ IP thiết bị CISCO cần quản lý (AAA Client IP
Address), khóa (Shared Secret), click Submit + Apply. Mục Authenticate Using chọn
TACACS+ (CISCO IOS) (chuẩn chứng thực của CISCO chỉ có tác dụng với các thiết bị
CISCO)
Click Network Configuration, click Add Entry trong phần AAA Server:
9
Nhập tên ACS Server (AAA Server Name), địa chỉ IP ACS Server (AAA Server IP
Address), khóa (Key)
IV.
Phân quyền truy cập Tacacs+ cho user
Ví dụ: Các user trong Group 1 có tất cả các quyền, dùng được tất cả các lệnh trừ lệnh show
bị cấm, còn các user trong Group 2 full quyền, full lệnh, không cấm gì cả.
Chọn Shared Profile Components, click Shell Command Authorization Sets:
10
Click Add để tạo 2 profile: như hình dưới: FullAccess đầy đủ quyền trên thiết bị CISCO
(xem xét, cấu hình (config mode)), Helpdesk: chỉ được xem (lệnh show):
Profile FullAccess cấu hình như dưới đây: chọn mục Permit – nghĩa là cho phép tất cả các
lệnh, trừ các lệnh được cấu hình trong bảng Unmathched Commands không cho phép, click
Submit sau khi cấu hình xong. Nếu chọn mục Deny nghĩa là cấm tất cả các lệnh, chỉ cho
phép dùng lệnh được cấu hình trong bảng Unmathced Commands.
Profile Helpdesk như hình dưới: cấm dùng tất cả các lệnh trừ lệnh show được phép dùng
11
Click Group User, chọn Group 1, click Edit Settings:
Mục Tacacs+ Settings:
12
Group 2:
Dựa vào các bước cấu hình ở trên ta có thể làm theo yêu cầu sau: user u1 chỉ được phép
dùng lệnh show, còn user admin full quyền.
13
