ACS aaa认证、授权、审计配置.pdfVIP

技术服务热

实施前准备：

-挂线：

以15级权限telnet/SSH上要配置的设备，配置：

linevty015

exec-timeout00

然后保持telnet/SSH会话不退出。等待配置完成且测试通过后，再配置exec-timeout100(或者改成期望值，默认

是100)。这样做的目的是避免因为意外或者操作问题将用户自己锁在路由器外。

配置步骤(以下若无具体说明，均为全局模式配置，命令行红色字体为自定义值)：

1、开启aaa：

aaanew-model

2、配置tacacs+服务器：

tacacs-serverhost192.168.1.200keyI0$pAs$w0rd

3、配置ACS，配置client和user：

-登录ACS：

浏览器输入：192.168.1.200:2002，其中192.168.1.200为ACS的IP地址。

--client配置：

在左边点击进入networkconfig视图：

点击下图的AddEntry：

会弹出以下界面，hostname填写设备名称(也可以自定义)，IP地址填写网络设备的IP，key要和路由器上配置的

key相同，使用tacacs+(ciscoios)，然后点击submit+apply。如下图：

技术服务热

--user配置：

点击左边，会进入usersetup界面，如下图：

输入要建立的username，点击add/edit：

在user编辑界面，在usersetup界面输入密码，选择属于的组，然后点击最下方的submit即可。

技术服务热

作为例子，这里配置了4个用户：

usernamepasswordgroupprivilege

cisco1cisco1ACS预定义组11

cisco7cisco7ACS预定义组77

cisco10cisco10ACS预定义组1010

cisco15cisco15ACS预定义组1515

4、测试路由器和ACS连通性：

特权模式：testaaagrouptacacscisco7cisco7new-code，如果通过会有以下输出：

注意：如果不能通过，请确认两端是否能通信(ping)，两端的密码是否相同(比如路由器端的密码是否多了空格，

空格也被认为是密码string)。

5、定义aaamethod-list，名字为ios-manage：

aaanew-model

aaaauthenticationloginios-managegrouptacacslocal//定义登录的认证方法为tacacs+，当ACS不可达时使用本

地验证

aaaauthorizationexecios-managegrouptacacslocal//当通过登录认证后，授权登录用户能访问cli界面。

aaaauthorizationcommand1ios-managegrouptacacs//对1级命令通过tacacs+服务器授权。

aaaauthorizationcommand7ios-managegrouptacacsnone

aaaauthorizationcommand10ios-managegrouptacacsnone

aaaauthorizationcommand15ios-managegrouptacacsnone

注意：第二方法local，是线下保护，当ACS不可达后，仍然可以使用本地账户验证登陆。

本地账户设置：

aaanew-model

usernameXXXXpasswordXXXX//建议设置本地账户与AC