最近在搭建公司的ACS,總結了一些經驗寫在這裏。附件1是網上流傳比較多的一份ACS、aaa以及包括PIX的配置說明,很詳細,熟悉aaa的朋友可以直接看看附件1。附件2是cisco對aaa的官方說明,供參考。以下介紹ACS+aaa架構下aaa的配置模板。
aaa的配置可以大致分以下幾個部分:
1.配置ACS(tacacs或radius)服務器
tacacs-server host x.x.x.x
tacacs-server host x.x.x.x
tacacs-server key *****
tacacs-server host x.x.x.x
tacacs-server key *****
2.配置設備local後門用戶
username testuser password *****
之所以配置後門用戶,是考慮到在ACS異常的時候仍能telnet到設備。
3.啓用aaa
aaa new-model
aaa new-model
4.認證並應用到線路
aaa authentication login login-list group tacacs+ local
aaa authentication login login-list group tacacs+ local
line vty 0 15
login authentication login-list
login authentication login-list
這裏的login-list定義了訪問控制的列表,即首先使用tacacs+認證,如果認證失敗則使用local後門用戶認證。後面的將認證應用到vty、配置accounting均調用這個login-list。
5.授權
5.授權
aaa authorization exec default local if-authenticated
授權的配置不同的需求差異會很大,我個人不建議太複雜的授權,詳細解釋看看附件吧。
6.記賬
aaa accounting exec login-list start-stop group tacacs+
aaa accounting commands 1 login-list start-stop group tacacs+
aaa accounting commands 15 login-list start-stop group tacacs+
aaa accounting network login-list start-stop group tacacs+
aaa accounting exec login-list start-stop group tacacs+
aaa accounting commands 1 login-list start-stop group tacacs+
aaa accounting commands 15 login-list start-stop group tacacs+
aaa accounting network login-list start-stop group tacacs+
ACS+aaa的模式可以很好的管理網絡設備的訪問控制,只可惜ACS不是免費的軟件,不過也自己搭建Tacacs服務器。