ACS和目录服务器结合进行用户身份控制管理

on 2009-9-2 in Linux | 0 Comment
、应用背景 
        经常面临个用户要配置有多个用户名多个口令问题: 
        
       1.各省计算机网络上有大量路由器、交换机设备般在500~600台左右 管理员首先面对问题是口令管理问题大量设备口令配置工作量大并且难于记忆常常导致设备口令长时间不变甚至1年到2年不变存在安全隐患 
       
       2.计算机网络大多配置拨号访问服务器除了做主线路备份外也允许税务内部职工拨号入网因此要求每个用户分配个用户名/口令 
        
       3.企业网络内部运行许多应用软件Software随的而来问题是多个用户名多个口令问题给用户带来很多不便大量增加了网络管理员负担

目录服务器如Windows Active Directory, Novell NDS可以有效接决第 3个问题前两个问题可以应用Cisco ACS软件Software目录集成功能使它有效和目录服务器Windows Active Directory, Novell NDS集成大大简化了管理员负担提高工作效率

2、实现目标

全网应用个用户名个口令
拨号用户使用Windows Active Directory用户名/口令
网络设备用户名/口令使用Windows Active Directory用户名/口令
网络设备用户名/口令集中管理权限管理
所有全网网络设备登录口令在ACS配置区别用户赋予区别权限般管理员可以看网络状态超级用户可以配置Router, Switch.

3、 配置步骤

        Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器下面以Cisco ACS和Windows 2000 Active Directory集成为例介绍下配置步骤:

1. 配置Cisco 5350和其他Router成为 ACSAAA Client

Network Configuration----输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)

2. 配置用户名/口令数据库

Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.

External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit

3.配置ACS group mapping, 以配置授权
由于使用Windows Active directory用户名作为认证因此配置此用户授权由ACS组完成然后将此group和Windows Active directory组映射

External User Database----〉database configuration----- windows 2000-----〉configure-----〉add config do-list ,local----->sumit

External User Database----〉database group mapping-----〉windows nt/2000---do ,local-
Add mapping----Windows users group, Cisco acs group group1----- sumit

4.Cisco 5350和Router配置
 对于Router,配置ACS认证授权
配置个本地用户名/口令防止在ACS认证失败后使用此用户名/口令
Router#username localusr pass usrpass
Router#config terminal
配置ACS认证
Router(config)#aaa -model
Router(config)#aaa authentication login vty-login group tacacs local
配置ACS授权
Router(config)#aaa authorization exec exec-vty group tacacs
指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco
应用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty

 对于Cisco 5350 访问服务器除了上述步骤外还需增加如下步骤      Router#aaa authentication ppp default group tacacs local

4、应用例子
某市地税所属区县、所构成WAN和LAN全部采用Cisco 公司网络产品所有Router, Switch共有100台左右同时还配置有台Cisco AS5350拨号访问服务器实现税务集中应用软件Software备份众多网络设备对于管理员来讲经常更换口令有负担过重此外为每个拨号用户配置用户名口令任务繁杂而巨大
某省地税应用Cisco ACS软件Software成功和现有windows 2000 Active Directory结合起来大大简化了管理员工作量提高了工作效率目前每个月口令更换大大加强了网络安全性并实现了权限分级管理

Tags: 

延伸阅读

最新评论

发表评论