ACS-AAA配置探讨.docx

3.4.3?配置Cisco Secure ACS 1.?????????登录ACS客户端，输入用户名和密码，进入系统的主页面。 a.?????????在浏览器的地址栏输入ACS的URL（Universal Resource Locator）地址，并按“Enter”键，进入ACS登录页面，输入用户名和密码，单击“登录”，如图3-3所示。 ACS的URL地址格式：“http://?IP?/”或者“https://?IP?/”。例如：“/”或者“/”。 图3-3?ACS登录页面 ? b.?????????成功登录ACS后，会显示系统的主页面，如图3-4所示。主页面的介绍可以参考“客户界面组成”。 图3-4?系统的主页面 ? 2.?????????添加接入设备。 a.?????????单击导航树中的“Network Resources Network Devices and AAA clients Creat”菜单，如图3-5所示。 图3-5?网络设备与AAA客户端配置页面 ? b.?????????进入新增网络设备与AAA客户端页面后，输入交换机名称、交换机IP地址，并选择交换机与ACS通信方式为RADIUS，输入交换机与ACS的共享密钥、端口号，并单击“Submit”，如图3-6所示。 图3-6?添加网络设备与AAA客户端 ? 3.?????????添加接入用户。 a.?????????单击导航树中的“Users and Identity Stores Internal Identity Stores Users”菜单，如图3-7所示。 图3-7?接入用户配置页面 ? b.?????????输入接入用户的用户名、密码，再次输入密码，并单击“Submit”，如图3-8所示。 图3-8为添加802.1x用户参数的配置页面，请根据管理员用户参数再自行添加管理用户。 图3-8?添加接入用户 ? 4.?????????添加认证授权模板。 a.?????????单击导航树中的“Policy Elements Authorization and Permissions Network Access Authorization Profiles Creat”菜单，添加认证授权模板，如图3-9所示。 当使用RADIUS协议时，建议选择““Policy Elements Authorization and Permissions Network Access”。 当使用TACACS+协议时，建议选择“Policy Elements Authorization and Permissions Authorization Profiles”。 图3-9?添加认证授权模板 ? b.?????????添加对应于管理员用户的认证授权模板，指定用户只能通过Telnet登录，用户成功上线后的用户级别为15。 配置“Genernal”页签如图3-10所示。 图3-10?管理员用户认证授权模板的“Genernal”页签 ? 配置“RADIUS Attributes”页签如图3-11和图3-12所示。配置完成后，单击“Submit”，提交新建的认证授权模板。 图3-11?管理员用户认证授权模板的“RADIUS Attributes”页签 ? 图3-12?“RADIUS Attributes”页签添加完成后提交 ? c.?????????添加对应于802.1x用户的认证授权模板，指定用户只能通过802.1x方式登录，用户成功上线后的用户级别为2，并且ACS下发ACL 3000和VLAN 100属性，如图3-13、图3-14和图3-15所示。配置完成后，单击“Submit”，提交新建的认证授权模板。 图3-13?802.1x用户认证授权模板的“Genernal”页签 ? 图3-14?802.1x用户认证授权模板的“Common Tasks”页签 ? 图3-15?802.1x用户认证授权模板的“RADIUS Attributes”页签 ? 5.?????????添加接入策略，将用户和认证授权模板绑定。 a.?????????新建接入业务，单击导航树中的“Access Policies Access Services Creat”菜单，如图3-16所示。 图3-16?新建接入业务 ? b.?????????配置接入业务：指定通信方式为“Network Access”和指定用户接入使用的协议，如图3-17和图3-18所示。 图3-17?指定通信方式为“Network Access” ? 对于S系列交换机来说，接入用户的协议一般为图中前五种。 图3-18?用户接入使用的协议 ? c.?????????新建规则，单击导航树中的“Access Policie