一、原理
- ACS簡介
思科安全訪問控制服務器(Cisco Secure Access Control Sever)是一個高度可擴展、高性能的訪問控制服務器,提供了全面的身份識別網絡解決方案,是思科基於身份的網絡服務(IBNS)架構的重要組件。Cisco Secure ACS通過在一個集中身份識別聯網框架中將身份驗證、用戶或管理員接入及策略控制相結合,強化了接入安全性。這使企業網絡能具有更高靈活性和移動性,更爲安全且提高用戶生產率。Cisco Secure ACS 支持範圍廣泛的接入連接類型,包括有線和無線局域網、撥號、寬帶、內容、存儲、VoIP、防火牆和 ***。Cisco Secure ACS 是思科網絡准入控制的關鍵組件。
- AAA ,認證(Authentication):驗證用戶的身份與可使用的網絡服務;授權(Authorization):依據認證結果開放網絡服務給用戶;計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。整個系統在網絡管理與安全問題中十分有效。
首先,認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行權限審覈。認證的原理是每個用戶都有一個唯一的權限獲得標準。由AAA服務器將用戶的標準同數據庫中每個用戶的標準一一覈對。如果符合,那麼對用戶認證通過。如果不符合,則拒絕提供網絡連接。
接下來,用戶還要通過授權來獲得操作相應任務的權限。比如,登陸系統後,用戶可能會執行一些命令來進行操作,這時,授權過程會檢測用戶是否擁有執行這些命令的權限。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中。一旦用戶通過了認證,他們也就被授予了相應的權限。 最後一步是賬戶,這一過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發流量等等。可以根據連接過程的統計日誌以及用戶信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行賬戶過程。
驗證授權和帳戶由AAA服務器來提供。AAA服務器是一個能夠提供這三項服務的程序。當前同AAA服務器協作的網絡連接服務器接口是“遠程身份驗證撥入用戶服務 (RADIUS)”。
二、案例
- ACS安裝與配置
首先要確保安裝了java虛擬機,在此,我們安裝JDK即可。
安裝ACS,安裝後,桌面會有ACS admin快捷鍵。用於每次連接到ACS。每次的端口也不一樣。在打開ACS admin之前需要將瀏覽器級別調低點,如下設置
因爲此程序爲cisco私有,而我們用的設備是華爲設備,所以我們需要導入華爲的私有屬性
導入步驟如下:
編寫h3c.ini文件(以下即爲文件內容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
將編譯好的華爲的配置設置文件夾考到硬盤中,找到acs的安裝目錄下的bin文件夾,複製其路徑,打開命令提示符,進入該路徑下,輸入CSUtil.exe -addUDV 0 私有屬性目錄(c:\h3c.ini),回車
打開ACS admin對AAA服務器進行配置
AAA服務器到此搭建好了。
案例
拓撲圖
實現用戶的telnet遠程管理
案例一、與華爲交換機的結合實現AAA服務器認證radius scheme xxx
primary authentication 192.168.10.1 #主驗證服務器
key authentication 123456
accounting optional
server-type standard #服務器類型
user-name-format without-domain#發送賬號信息不帶域名
quit
domain tec #域名
radius-scheme xxx #引用方案
access-limit enable 10 #限制10個用戶
accounting optional #驗證可選
authentication radius-scheme xxx
state active
quit
user-interface vty 0 4
authentication-mode scheme
accounting commands scheme
quit
super password simple 456
案例二、與防火牆的結合實現AAA服務器認證配置如下
[H3C]firewall zone trust
[H3C-zone-trust]add interface Ethernet 0/0 #將接口加入信任區域
[H3C]interface Ethernet 0/0
[H3C-Ethernet0/0]ip address 192.168.10.2 24 #設置改接口的ip地址,即AAA客戶端的地址
[H3C]radius scheme abc 新建方案 abc
[H3C-radius-abc]key authentication 123456 #驗證的密鑰對,應與ACS中設置的相同
[H3C-radius-abc]primary authentication 192.168.10.1 #主驗證服務器地址
[H3C-radius-abc]server-type ?
extended Server based on RADIUS extensions
standard Server based on RFC protocol(s) #若爲標準,登錄防火牆後進入0級別
[H3C-radius-abc]server-type extended #服務類型爲擴展類型,依賴radius服務器
[H3C-radius-abc]user-name-format without-domain #客戶端向radius服務器發送用戶名時去掉域名
[H3C]domain tec 新建域tec
[H3C-isp-tec]radius-scheme abc tec #域使用 “abc”方案
[H3C-isp-tec]accounting optional #計費方式可選
[H3C-isp-tec]access-limit enable 10 # 允許最大的接入數量爲10
[H3C]domain default enable tec #將tec域設置爲默認域,用戶登錄時輸入用戶名可以不加@tec
ssh登錄
[H3C-radius-abc]server-type standard 服務類型爲標準
[H3C]rsa local-key-pair create 產生密鑰對
[H3C]ssh authentication-type default all ssh的驗證方式默認爲所有方式
將進入0級別
可以先配置super 密碼,切換到管理員級別
[H3C]super password level 3 simple 123 設置切換到管理員級別的密碼
測試
案例三、與華爲路由器的結合實現AAA服務器認證aaa-enable
aaa authentication-scheme login default radius
radius server 192.168.10.1 # 配置RADIUS 服務器IP 地址
radius shared-key my-secret # 配置RADIUS 服務器密鑰,計費方式。
aaa accounting-scheme optional int eth0
ip add 192.168.10.2 24 #配置客戶端地址
測試暫未通過。。。