./CISCOACS4.0安裝配置指導一．安裝CISCOACS4.0CISCOACS4.0運行環(huán)境要求windowsserver2003,IE6.0SP1以上,JAVA組件,在運行ACS之前要確認已安裝Java組件<java下載.java./>。雙擊CISCO_ACS4.0安裝文件目錄下的Setup.exe,彈出對話框,選ACCEPT,如下圖所示：在彈出的對話框中單擊Next,繼續(xù)安裝,如下圖所示：安裝前確保符合以下條件：<1>.接入終端用戶能夠連接到AAA設(shè)備。<2>.安裝ACS的Windows服務(wù)器能夠ping通AAA接入設(shè)備<3>.AAA接入設(shè)備運行的IOS最低版本為11.1<4>.使用的瀏覽器版本最低是IEv6SP1或Netscapev8.0彈出對話框安裝時需要將4個復選框全部選中才能夠單擊Next,繼續(xù)安裝,如下圖所示：選擇安裝路徑,ACS安裝完成后,一般的都是文本的方式保存細信息,不需要多大的硬盤空間,保持默認路徑,單擊Next,繼續(xù)安裝,如下圖所示：選擇ACS賬戶類型,ACS單獨的賬戶管理或者使用Windows賬戶管理,默認選擇ACS賬號管理,單擊Next繼續(xù)安裝,如下圖所示：開始安裝,如下圖所示：彈出對話框選擇ACS全部功能,單擊Next,繼續(xù)安裝,如下圖所示：UserLevelNetworkaccessRestrictionsACS賬號訪問設(shè)備時可以設(shè)定級別grouplevelnetworkaccessrestrictionsACS過組來設(shè)定用戶訪問的級別MaxSessions最大的會話數(shù)DefaultTimeofday/dayofweekspeciftication設(shè)置用戶訪問的時間Distributedsystemsettings分布式的系統(tǒng)設(shè)置DatabaseReplication數(shù)據(jù)庫復制彈出對話框有兩個選項：<1>Enable登陸是否檢測,選擇全部。<2>提醒,選擇時需要輸入服務(wù)器和發(fā)送的賬號,放棄發(fā)送,單擊Next,繼續(xù)安裝,如下圖所示：彈出對話框輸入ACS的賬號數(shù)據(jù)的密碼,單擊Next,繼續(xù)安裝,如下圖所示：彈出對話框三個選項：<1>啟動新裝的ACS服務(wù)；<2>安裝從IE配置ACS的功能,這樣以后就可以直接通過IE登陸和配置ACS服務(wù)器；<3>查看說明文件,默認選擇,單擊Next,繼續(xù)安裝,如下圖所示：彈出對話框點Finish安裝完成,如下圖所示：安裝完成后桌面會生成一個ACSAdmin的IE快捷方式,可以登錄ACS服務(wù),同時可以在瀏覽器中輸入:2002登錄打開ACS軟件。需要注意如果服務(wù)器的ie安全等級設(shè)定太高將無法打開ACS界面,建議將IE安全等級設(shè)定為中等,如下圖所示：二.設(shè)置ACS管理員賬號默認情況下,已安裝ACS的本地服務(wù)器無需使用管理員,即可使用ACS。如果要進行遠程管理,就必須設(shè)置ACS管理員,遠程管理通過和http：//ACS服務(wù)器IP地址：2002的方式登錄。1.單擊ACS左邊功能選擇區(qū)的"AdministratorControl"按鈕,中間配置區(qū)顯示詳細配置,如下圖所示：2.單擊"AddAdministrator"按鈕添加管理員賬戶,設(shè)置管理員賬戶和密碼,然后在"AdministratorPrivileges"屬性框中單擊"Grantall"按鈕賦予全部權(quán)限,最后單擊"Submit"按鈕。如下圖所示：3.ACS管理員用戶創(chuàng)建完成后在"AdministratorControl"頁面"Administrators"欄下可以看到管理員用戶dcp,如下圖所示：三．添加TACACS+接入設(shè)備1.登錄ACS服務(wù)器在瀏覽器輸入http：//ACS服務(wù)器IP地址：2002打開Web登錄頁面,輸入Web登錄用戶名和密碼,單擊"Login"按鈕,即可登錄ACS服務(wù)器,如下圖所示：2.在左側(cè)導航欄中選擇[NetworkConfiguration],打開網(wǎng)絡(luò)配置界面,單擊<AddEntry>,進入AAAClient的編輯頁面,如下圖所示：#在AAAClient的編輯頁面中進行如下配置：?輸入接入設(shè)備名稱,接入設(shè)備IP地址和交互TACACS+報文的共享密鑰；?選擇認證協(xié)議類型為"TACACS+<CiscoIOS>"；?單擊"Submit+Apply"按鈕完成操作。如下圖所示：：3.添加高級選項#在左側(cè)導航欄中選擇[InterfaceConfiguration],打開接口配置界面,單擊"TACACS+<CiscoIOS>",進入TACACS+的高級屬性頁面,如下圖所示：#選中高級配置選項中的"AdvancedTACACS+Features"項,讓用戶配置界面中隱藏的高級選項顯示出來,該高級選項中包含了Enable密碼的相關(guān)配置,單擊"Submit"按鈕完成操作,如下圖所示：四.添加RADIUS添加接入設(shè)備1.在左側(cè)導航欄中選擇[NetworkConfiguration],打開網(wǎng)絡(luò)配置界面,單擊<AddEntry>,進入AAAClient的編輯頁面,如下圖所示：#在AAAClient的編輯頁面中進行如下配置：?輸入接入設(shè)備名稱,接入設(shè)備IP地址和交互RADIUS報文的共享密鑰；?選擇認證協(xié)議類型為"RADIUS+<IETF>"；?單擊"Submit+Apply"按鈕完成操作。如下圖所示：五：配置用戶1.在左側(cè)導航欄中選擇[UserSetup],打開用戶配置界面,點擊Find按鈕或者Listallusers按鈕可以在右邊的列表欄查看到當前已經(jīng)建立的所用用戶,在文本框中輸入用戶名"dcp",單擊"Add/Edit"后,進入該用戶的編輯頁面,如下圖所示：#輸入用戶的相關(guān)輔助信息,配置PasswordAuthentication用戶登錄密碼為"123456",此處密碼為telnet登錄密碼,如下圖所示：用戶默認在DefaultGroup組,可點擊下拉框選擇用戶組,如下圖所示：2.配置級別切換密碼#繼續(xù)在用戶dcp的編輯頁面中進行下面的高級TACACS+設(shè)置。?選中"MaxPrivilegeforanyAAAClient",在下拉框中選擇"Level15"。該配置表示級別切換后,用戶可執(zhí)行的命令的最高級別為15。?選擇"Useseparatepassword",輸入級別切換TACACS+Enable密碼"ABCabc123"。?單擊"Submit"按鈕完成操作。如下圖所示：六.配置用戶組1.在左側(cè)導航欄中選擇[GroupSetup],打開用戶組配置界面,點擊"RenameGroup"可以對用戶組的名稱進行編輯,點擊"EditSettings",如下圖所：2.點擊Group欄的下拉框可以看到數(shù)據(jù)庫默認創(chuàng)建了500個組,可根據(jù)需要使用"RenameGroup"更名,點擊"EditSettings"進入組配置界面,根據(jù)需要定制相關(guān)配置,EnableOptions定義權(quán)限級別,輸入enable授權(quán)用戶的最高權(quán)限級,如果選擇NoEnablePrivilege,將只能是在Level0這個級別中,此處必選,否則console無法登錄,如下圖所示：七.ACS審訊查看<ACS可以自動網(wǎng)絡(luò)設(shè)備記錄的用戶的操作,包括各個用戶登錄時間,登錄后使用的命令,登錄驗證失敗的記錄以及當前各個設(shè)備上活動的用戶,在左側(cè)導航欄中選擇[ReportsandActivity],打開用戶活動報告頁面,如下圖所示：選擇Reports欄的TACACS+Accounting和RADIUSAccounting選項,右邊界面可以選擇某天TACACS+和RADIUS用戶登錄的Accounting記錄信息,如下圖所示：Reports欄點擊TACACS+Administration可以查看tacacs用戶登錄后使用的所有命令,右側(cè)選擇某天的Tacacs+Administration文件查看,如下圖所示：八．Log信息的設(shè)置1.在左側(cè)導航欄中選擇systemconfiguration欄目,并點擊ServiceContorl選項：#在ServicesLogFile