ACS完全配置手册.doc

成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
第1章章
目录
第1章
目录














ACS 的配置
ACS 的配置
1
1
AAA 的配置
超级用户的配置
定义管理策略
配置使用外部 Windows 数据库
接口(Interface)的配置
系统备份
日志的配置
work Device Group)
配置冗余服务器(Backup Server)
配置命令授权
创建用户
内外数据库映射
数据库的映射
匿名用户策略(Unknown User Policy)
2
2
4
11
12
14
15
17
21
25
31
33
35
36
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
AAA 的配置
超级用户的配置
在 Cisco ACS Engine 上首先进行管理员(administrator user)或
超级用户(super user)的设置。此用户拥有使用 ACS 所有功能的权
限,因此此账户消息必须进行保密,它是管理所有 ACS 应用资源的
关键。请参考如下的配置步骤进行管理员用户的创建:
第一步: 在 Aministration Control 菜单下, 点击 Add
Administrator 按钮添加管理员。
插图 0-1 ACS 添加管理员
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
第二步:键入管理员的名字及密码并点击 Grant All 按钮,然后
点击 Submit。
插图 0-2 ACS 添加管理员(续)添加管理员(
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
定义管理策略
起初 Cisco ACS Engine 只能通过 Console 来进行本地访问,一旦
管理策略建立好后,Cisco ACS Engine 可以通过配置的管理策略进行
远程访问。管理策略包括访问策略(Access Policy),会话策略
(Session Policy),和审计策略(Audit Policy)。首先进行访问策略
的配置,使其只允许用 HTTPS 进行远程访问,并且限制访问端口范
围为 2000-2999 从而制定相应的防火墙策略。HTTPS 需要证书进行
认证,因此用 Cisco ACS Engine 来提供自签署证书,下面是自签署证
书的配置方法。在 System Control 菜单下,点击 ACS Certificate Setup
然后点击 Generate Self-Signed Certificate。
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
插图 0-3 提供自签署证书
陈雪寒
当系统完成自签署证书后,ACS 服务需要进行重启。
插图 0-4 ACS 自签署证书
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
在 System Control 菜单下,点击 Service Control,重启 ACS 服
务,服务重启后,确认其状态为 running。
插图 0-5 ACS 服务重启
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
当系统重启后,点击 Administration Control 菜单,然后点击
Access Policy。
插图 0-6 ACS 管理员界面
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
在 IP Address Filtering 中选择允许所有 IP Address to access,然
后在 HTTP Configuration 中选择限制端口范围为 2000-2999,最后选
择使用 HTTPS 并点击 Submit 。在完成如下配置后, 可以通过
https://ip address:2002 进行远程访问。
插图 0-7 ACS 管理员界面(续)
TEL:**********
成都全码科技有限公司---技术部成都全码科技有限公司技术部
陈雪寒
在 Admin