文档介绍:ACS 完全配置手册成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒第1 章章 ACS 的配置目录第1章目录 AAA 的配置超级用户的配置定义管理策略配置使用外部 Windows 数据库接口( Interface ) 的配置系统备份日志的配置创建网络设备组( Network Device Group ) 配置冗余服务器( Backup Server ) 配置命令授权创建用户内外数据库映射数据库的映射匿名用户策略(Unknown User Policy) ACS 的配置 11224 11 12 14 15 17 21 25 31 33 35 36 TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒 AAA 的配置 超级用户的配置在 Cisco ACS Engine 上首先进行管理员( administrator user )或超级用户( super user ) 的设置。此用户拥有使用 ACS 所有功能的权限, 因此此账户消息必须进行保密, 它是管理所有 ACS 应用资源的关键。请参考如下的配置步骤进行管理员用户的创建: 第一步:在 Aministration Control 菜单下,点击 Add Administrator 按钮添加管理员。插图 0-1 ACS 添加管理员 TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒第二步: 键入管理员的名字及密码并点击 Grant All 按钮, 然后点击 Submit 。插图 0-2 ACS 添加管理员(续)添加管理员( TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒 定义管理策略起初 Cisco ACS Engine 只能通过 Console 来进行本地访问,一旦管理策略建立好后, Cisco ACS Engine 可以通过配置的管理策略进行远程访问。管理策略包括访问策略( Access Policy ),会话策略( Session Policy ), 和审计策略( Audit Policy ) 。首先进行访问策略的配置,使其只允许用 HTTPS 进行远程访问, 并且限制访问端口范围为 2000-2999 从而制定相应的防火墙策略。 HTTPS 需要证书进行认证, 因此用 Cisco ACS Engine 来提供自签署证书,下面是自签署证书的配置方法。在 System Control 菜单下,点击 ACS Certificate Setup 然后点击 Generate Self-Signed Certificate 。 TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部插图 0-3 提供自签署证书陈雪寒当系统完成自签署证书后, ACS 服务需要进行重启。插图 0-4 ACS 自签署证书 TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒在 System Control 菜单下,点击 Service Control ,重启 ACS 服务, 服务重启后,确认其状态为 running 。插图 0-5 ACS 服务重启 TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒当系统重启后,点击 Administration Control 菜单,然后点击 Access Policy 。插图 0-6 ACS 管理员界面 TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒在 IP Address Filtering 中选择允许所有 IP Address to access ,然后在 HTTP Configuration 中选择限制端口范围为 2000-2999 ,最后选择使用 HTTPS 并点击 Submit 。在完成如下配置后, 可以通过 https://ip address:2002 进行远程访问。插图 0-7 ACS 管理员界面(续) TEL:********** 成都全码科技有限公司--- 技术部成都全码科技有限公司技术部陈雪寒在 Administration Control 菜单下, 选择 Session Policy 配置会话策略使其当会话空闲 10 分钟以上时,自动退出,同时迫使进行本地认证。插图 0-8 会话策略的设置 TEL:1343