CISCO ACS+H3C 交换机 实现验证 在企业网中的应用
H3C设备与cisco ACS配合实现AAA验证:
1.在windows server 2003上安装ACS
2.向ciscoACS中添加华为设备扩展文件
3.配置ACS
4.交换机额radius配置
5.telnet方式下配置cisco ACS
1.安装ACS
软件环境:
1.web浏览器
2.java虚拟机
3.ACS客户端
2.向ciscoACS中添加华为设备扩展文件
创建myvsa.ini 文件
内容如下:
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
Type=INTEGER
Profile=IN OUT
Enums=Encryption-Types
0=0
1=1
2=2
3=3
保存在C盘下
通过命令行提示符方式,使用DOS 命令进入该文件夹
通过如下命令,将myvsa.ini 文件导入ACS 内容如下:
C:\Program Files\CiscoSecure ACS v4.2\bin>CSUtil.exe -addUDV 0 c:\myvsa.ini
CSUtil v4.2(0.124), Copyright 1997-2008, Cisco Systems Inc
Adding or removing vendors requires ACS services to be re-started.
Please make sure regedit is not running as it can prevent registry
backup/restore operations
Are you sure you want to proceed? (Y or N)y
Parsing for addition at UDV slot
Stopping any running services
Creating backup of current config
Adding Vendor added as
Adding VSA
Done
Checking new configuration...
New configuration OK
Re-starting stopped services
C:\Program Files\CiscoSecure ACS v4.2\bin>CSUtil.exe -listUDV
CSUtil v4.2(0.124), Copyright 1997-2008, Cisco Systems Inc
UDV 0 - RADIUS (Huawei)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned
如果使用CSUtil.exe -listUDV 命令,能看到“Radius(Huawei)”属性,
则说明已经将华为扩展属性成功导入ACS。
3.配置ACS
(1)配置AAA client
AAA Client Hostname:AAA 客户端设备名。
AAA Client IP Address:AAA 客户端设备的IP 地址。该地址必须与设备送
到ACS 上的认证报文所带的源IP 地址相同。
Key:Radius 客户端与服务器端的加密密钥。只有在密钥一致的情况下,双
方才能彼此接受对方发来的报文,并作出响应。
Authenticate Using:认证方式。此处选择新添加的Radius(Huawei)属
性。
配置完成后,点击“Sumbit+Restart”按钮,使配置生效。
(2)配置interface
在Interface Configuration 界面,选中新添加的华为扩展属性,使其出现
在 Group(组)编辑界面。
(3)配置Group
在Group Setup 中的Radius ( IETF ) 栏, 选择服务类型为Login,
Login-Service 为Telnet;同时,在Radius(Huawei)栏,为该Group 选择相
应的华为设备操作权限,有0-3 级四种(
(4) 添加User
在User Setup 中新建用户名,并设置密码,然后将其归类到不同的Group
中,从而使其在Telnet 到华为设备上,拥有对应的操作权限
注意:用户要求ACS的3A认证 可用时,本地认证不能够使用,只有ACS失效时,
才能启用本地认证通过在SYSTEM域下配置相关参数并配置“scheme
radius-scheme(hwtacas-scheme) icbcxj local”屏蔽system 默认配置,
可以实现客户要求。
4.交换机的配置radius配置
二.TACACS 方式下配置CISCO ACS
(1) 配置AAA Client
在Network Configuration 中新建一个AAA Client(或使用原有的),AAA
Client 的IP 地址,密码一定要配置正确,同时认证类型选择TACACS+。
(2) 配置或检查一下AAA server 的配置
AAA server 的类型选择成CiscoSecure ACS 和TACACS+都可以。
(3)配置Interface Configuration
选择Interface Configuration 中的TACACS+(Cisco IOS)进行TACACS+
的相关属性配置,选择PPP IP 和Sell(exec)就行了。
(4)配置用户组的相关属性
按照下图所示配置用户组中的TACACS+选项,一定要选择PPP IP 、
Shell(exec),并且对Privilege Level 进行设置一般设置为3,也可以设置为0、
1、 2 对应我们设备的用户操作级别,如果不设置则无法登录。
(5) 添加User
在User Setup 中新建用户名,并设置密码,然后将其归类到不同的Group
中,从而使其在Telnet 到华为设备上,拥有对应的操作权限。
(6)TACACS 认证交换机配置:
页:
[1]