本文提供配置根据用户的AD组成员和Authorization命令示例的TACACS+认证思科安全访问控制系统(ACS) 5.x和以后。ACS使用Microsoft Active Directory (AD)，外部标识存储存储资源例如用户、机器、组和属性。

尝试进行此配置之前，请确保满足以下要求：

ACS 5.x充分地集成对希望的AD域。如果ACS没有集成与希望的AD域，参考ACS 5.x和以后：与Microsoft Active Directory配置示例的集成欲知更多信息为了执行集成任务。

本文档中的信息基于以下软件和硬件版本：

Cisco Secure ACS 5.3

Cisco IOS软件版本12.2(44)SE6。

注意：此配置在所有Cisco IOS设备可以被执行。

Microsoft Windows服务器2003域

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

在您开始ACS 5.x的配置认证和授权的前，应该顺利地集成ACS与Microsoft AD。如果ACS没有集成与希望的AD域，参考ACS 5.x和以后：与Microsoft Active Directory配置示例的集成欲知更多信息为了执行集成任务。

在此部分，您映射两AD组对两不同命令集和两Shell配置文件，一与全部存取和其他与有限享用在Cisco IOS设备。

使用Admin凭证，登录ACS GUI。

选择用户，并且标识存储>外部标识存储>活动目录并且验证ACS加入希望的域并且连接状态显示如连接。

点击目录组选项卡。

单击选择。

选择需要被映射到Shell配置文件并且发出命令集在配置的后部的组。单击 Ok。

点击Save Changes。

选择访问策略>Access Services>服务选择规则并且识别访问服务，处理TACACS+认证。在本例中，它是默认设备Admin。

选择访问策略>Access Services>默认设备Admin >标识并且在标识来源旁边单击精选。

选择AD1并且点击OK键。

点击Save Changes。

选择访问策略>Access Services>默认设备Admin >授权并且点击自定义。

复制AD1:ExternalGroups从联机到自定义情况所选的部分然后移动Shell配置文件并且发出命令集从联机到自定义结果所选的部分。现在请单击 OK。

单击创建为了创建新规则。

点击精选在AD1:ExternalGroups情况。

选择组您在Cisco IOS设备要提供完全权限。单击 Ok。

在Shell配置文件字段点击精选。

单击创建为了创建全部存取的用户的一新的Shell配置文件。

提供名称和Description(optional)在常规选项卡并且点击普通的任务选项卡。

更改默认权限和最大数量权限对与值15的静态。单击 submit。

现在请选择新建立的全部存取的Shell配置文件(在本例中的FULL权限)并且点击OK键。

在命令集字段点击精选。

单击创建为了创建全部存取的用户的new命令集。

提供一名称并且保证在permit any命令旁边的复选框不在下表的被检查。单击 submit。

单击 Ok。

单击 Ok。这完成Rule-1的配置。

单击创建为了创建有限享用用户的一新规则。

选择AD1:ExternalGroups并且点击精选。

选择组(或)组您要提供有限访问对和点击OK键。

在Shell配置文件字段点击精选。

单击创建为了创建有限访问的一新的Shell配置文件。

提供名称和Description(optional)在常规选项卡并且点击普通的任务选项卡。

分别更改默认权限和最大数量权限对与值1和15的静态。单击 submit。

单击 Ok。

在命令集字段点击精选。

单击创建创建有限享用组的new命令集。

提供一名称并且保证在permit any命令旁边的复选框不在下表的没有选择。单击在键入以后添加显示在section命令提供的空间并且选择在授予部分的Permit，以便仅显示命令为用户在有限享用组中允许。

同样请添加所有其他命令为用户允许在有使用的有限享用组中Add。单击 submit。

单击 Ok。

单击 Ok。

点击Save Changes。

单击创建为了添加Cisco IOS设备作为ACS的一个AAA客户端。

为TACACS+提供一名称， IP地址，共享塞克雷并且单击提交。

完成这些步骤为了配置Cisco IOS设备和ACS认证和授权的。

创建一个本地用户有fallback的全双工权限用username命令如显示此处：

username admin privilege 15 password 0 cisco123!

提供ACS的IP地址为了启用AAA和添加ACS 5.x作为TACACS服务器。

aaa new-model

tacacs-server host 192.168.26.51 key cisco123

注意：密钥应该配比与在ACS提供的共享密钥为此Cisco IOS设备。

测试与

test aaa group tacacs+ user1 xxxxx legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

前面的命令的输出显示TACACS服务器可及的，并且用户顺利地验证。

注意：User1和密码xxx属于AD。如果测试请失败请保证在上一步提供的共享密钥正确。

配置登录并且启用认证然后请使用Exec和命令授权如显示此处：

aaa authentication login default group tacacs+ local

aaa authentication enable default group tacacs+ enable

aaa authorization exec default group tacacs+ local

aaa authorization commands 0 default group tacacs+ local

aaa authorization commands 1 default group tacacs+ local

aaa authorization commands 15 default group tacacs+ local

aaa authorization config-commands

注意：如果TACACS服务器分别为不可得到的，本地和Enable (event)关键字使用对Cisco IOS本地用户和enable secret的fallback。

为了验证认证和授权请登陆到Cisco IOS设备通过Telnet。

远程登录到属于AD的全部存取的组的Cisco IOS设备作为user1。网络管理员组是被映射的FULL权限Shell配置文件和全部存取的Set命令在ACS AD的组。设法运行所有命令保证您有完全权限。

远程登录到属于AD的有限享用组的Cisco IOS设备作为user2。(网络维护团队组是在ACS的被映射的有限权限Shell配置文件和SHOW访问Set命令) AD的组。如果设法运行任何命令除在SHOW访问set命令提及的那个之外，您应该收到Authorization命令失败的错误，显示该user2有有限访问。

登陆对ACS GUI并且启动监听并且报告查看器。选择AAA协议> TACACS+Authorization为了验证user1和user2执行的活动。