ACS与目录服务器进行用户身份控制管理
经常面临一个用户要配置有多个用户名,多个口令的问题:
1. 各省的计算机网络上有大量的路由器、交换机设备,一般在500~600台左右 ,管理员首先面对的问题是口令管理问题,大量的设备口令配置工作量大,并且难于记忆,常常导致设备的口令长时间不变,甚至1年到2年不变,存在安全隐患。
2.计算机网络大多配置拨号访问服务器,除了做主线路的备份外,也允许税务内部职工拨号入网,因此要求每个用户分配一个用户名/口令。
3.企业网络内部运行许多应用软件,随之而来的问题是多个用户名多个口令的问题,给用户带来很多不便,大量增加了网络管理员的负担。
目录服务器如Windows Active Directory, Novell NDS可以有效接决第三个问题,前两个问题可以应用Cisco ACS软件的目录集成功能,使它有效的与目录服务器Windows Active Directory, Novell NDS集成,大大的简化了管理员的负担,提高工作效率。
二、实现目标
全网应用一个用户名,一个口令。
拨号用户使用Windows Active Directory的用户名/口令
网络设备的用户名/口令使用Windows Active Directory的用户名/口令
网络设备的用户名/口令集中管理,权限管理。
所有全网的网络设备的登录口令在ACS配置,不同的用户赋予不同的权限。如一般管理员可以看网络的状态,超级用户可以配置Router, Switch.
三、 配置步骤
Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器,下面以Cisco ACS与Windows 2000 的Active Directory集成为例,介绍一下配置步骤:
1. 配置Cisco 5350,和其他Router成为 ACS的AAA Client
Network Configuration----?输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
2. 配置用户名/口令数据库
Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.
External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
3.配置ACS group mapping, 以配置授权
由于使用Windows Active directory的用户名作为认证,因此配置此用户的授权由ACS的组完成,然后将此group与Windows Active directory的组映射。
External User Database----〉database configuration-----? windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
External User Database----〉database group mapping-----〉windows nt/2000---?domain ,local-?
Add mapping----?Windows users group, Cisco acs group group1-----? sumit
4.Cisco 5350和Router的配置
对于Router,配置ACS认证,授权。
配置一个本地的用户名/口令,防止在ACS认证失败后,使用此用户名/口令。
Router#username localusr pass usrpass
Router#config terminal
配置ACS认证
Router(config)#aaa new-model
Router(config)#aaa authentication login vty-login group tacacs local
配置ACS授权
Router(config)#aaa authorization exec exec-vty group tacacs
指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco
应用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty
对于Cisco 5350 访问服务器,除了上述步骤外,还需增加如下步骤 Router#aaa authentication ppp default group tacacs local
四、应用实例
某市地税所属的区县、所构成的WAN和LAN全部采用Cisco 公司的网络产品,所有的Router, Switch一共有100台左右,同时还配置有一台Cisco AS5350拨号访问服务器,实现税务集中应用软件备份。众多的网络设备对于管理员来讲经常更换口令有负担过重,此外为每个拨号用户配置用户名口令任务繁杂而巨大。
某省地税应用Cisco ACS软件成功的与现有的windows 2000 Active Directory结合起来,大大的简化了管理员的工作量,提高了工作效率,目前每一个月口令更换一次,大大的加强了网络的安全性,并实现了权限分级管理。
Cisco ACS 的一般安装步骤
安装步骤:
1.以超级用户登录NT或2000的ACS安装机器
2.在CD-ROM中插入ASC的安装光盘
3.用鼠标双击Install的图标
|
|||
4.在Software License Agreement 窗口中阅读Software License Agreement并点击ACCEPT按纽。
5.点击Next按纽,进入下一步。
6.选择属于你的网络配置情况的多选框,在点击Next按纽,进入下一步
7.如果ACS软件已经在本机上安装了,那么它会提示你是否覆盖还是保存原来的数据选择Yes, keep existing database 按纽,保存数据,不选择该按纽则新建数据库,再点击下一步在进行接下来的安装
8.如果发现有原来的ACS的配置文件,安装程序会提示你是否保存,选择后,再点击下一步在进行接下来的安装
9.选择安装都默认的路径请点击Next按纽,进入下一步,选择安装都其他路径请点击Browse按纽,选择路径。
10.选择要认证的用户的数据库是以NT的帐户数据库为基础还是独立的ACS的数据库为基础。选择后进入下一步。(建议选择独立的ACS数据库)
11.如果选择的是以NT的帐户数据库为基础的,还要选择是否对远程访问用户根据NT的用户管理器来进行限制。进入下一步。
12.完成Authenticate Users Using,Access Server Name,Access Server IP Address,Windows NT Server IP Address,TACACS+ or RADIUS Key等参数的填写,进入下一步
13.选择是否打开Interface Configuration window(在安装过程中)(默认为不打开)
14.选择是否打开Enable Log-in Monitoring按纽,同时选择报警方式,包括No Remedial Action,Reboot,Restart All,Restart RADIUS/TACACS+,还可以选择通过EMAIL进行报警,(同时要配置EMAIL的SMTP Mail Server和Mail account to notify),点击Next按纽进入下一步。
15.如果你不配置ACS服务器,就点击Next按纽完成安装,如果你要在安装完成后进行ACS的配置,则选择Yes, I want to configure Cisco IOS now,进行ACS的配置。
配置ACS服务器:
1.在客户端的IE上输入HTTP://ACS服务器的IP:2002
2.输入用户名和密码进入配置窗口。(如果选择是独立的数据库,默认为空的用户名和密码)
3.根据菜单进行具体的配置。
转载于:https://blog.51cto.com/beautymm/37739
ACS与目录服务器进行用户身份控制管理相关推荐
- forms角色验证,以普通用户身份登陆管理页面先弹出警告信息窗口
前提:forms验证角色. a.aspx:普通用户角色许可页面 b.aspx:管理员角色许可页面 一普通用户登陆到a.aspx,而a.aspx里面有个连接进入b.aspx,如果此用户点了这个连接想进入 ...
- 第七节 红帽认证培训 用户身份与文件权限(5.1-5.3)
第七节 红帽认证培训 用户身份与文件权限(5.1-5.3) 文章目录 5.1 用户身份与能力 1.id 命令 2.useradd命令 3.groupadd命令 4.usermod命令 5. passw ...
- Django实现adminx后台识别用户身份的内容编辑与显示
通常我们希望指定用户身份的用户才能访问或者编辑某些内容,因此要在adminx中进行一些修改. 在Django后台中依据用户的不同身份进行自定义列表页的功能开发. 后台管理者操作界面 子账号用户操作界面 ...
- 【Linux 内核 内存管理】内存管理架构 ② ( 用户空间内存管理 | malloc | ptmalloc | 内核空间内存管理 | sys_brk | sys_mmap | sys_munmap)
文章目录 一.用户空间内存管理 ( malloc / free / ptmalloc / jemalloc / tcmalloc ) 二.内核空间内存管理 1.内核内存管理系统调用 ( sys_brk ...
- Python控制流程语句实现各种小功能(用户身份认证、百分制转换等级制、英寸与厘米的转换、三角形的周长和面积、九九乘法表……)
目录 控制流程语句 用户身份认证 百分制转换等级制 英寸与厘米的转换 输入三条边长,计算三角形的周长和面积 计算1~100相加 猜数字游戏 电脑生成1-10之间的数字 九九乘法表 打印三角形嵌套for ...
- linux ftp用户指定多个目录,linux ftp服务器下用户限制目录的方法
我们使用服务器都要站在安全方面进行考虑,有必要将ftp服务下的用户限制在适当的范围内,那么linux ftp服务器下用户限制目录的方法有哪些呢?一起跟着爱站技术频道小编的步伐来了解一下吧! linux ...
- linux 家目录没有了,linux刀片服务器断电重启以后home目录下的用户文件夹丢失了...
我有一组IBM的刀片服务器,一共有14台.在没断电之前,这组服务器上的/home/zengtx文件夹是从另一台服务器上挂载过来的. [root@cmm03node01 zengtx]# df /hom ...
- 服务器3个w目录文件夹,第 4 章 目录服务器条目 (Sun Java System Directory Server Enterprise Edition 6.2 管理指南)...
第 4 章 目录服务器条目 本章讨论如何管理目录中的数据条目.此外,还介绍如何设置引用以及如何加密属性值. 除非定义了相应的访问控制指令 (Access Control Instruction, AC ...
- 用户身份与文件的权限(普通权限、特殊权限、隐藏权限和文件控制列表ACL)
用户身份 root用户是存在于所有类UNIX操作系统中的超级用户,它拥有最高的系统所有权.root用户的用户身份号码UID为0,UID相当于用户的身份证号码一样,具有唯一性.管理员用户(超级用户)UI ...
- Linux基础(用户身份和文件权限)
用户身份与能力 Linux是一个多用户.多任务的操作系统,具有很好的稳定性与安全性,在幕后保障Linux系统安全则是一系列复杂的配置工作. Linux系统的管理员之所以是root,并不是因为它的名字叫 ...
最新文章
- Outlook for Mac v15.36(170606)发布:新增收藏夹功能
- Swift3.0语言教程获取字符串长度
- ajax传递复选框的参数,ajax将table复选框的数组值传递到后台
- java四个基本步骤_javac编译的四个主要的流程
- 二进制安装 kubernetes 1.12(四) - 部署 Node 节点组件
- 国士无双:卖掉美国房子,回国创办姚班,他只为培养一流的程序员!
- LeetCode算法,多多路上从左到右有N棵树(编号1~N),其中第i个颗树有和谐值Ai。 多多鸡认为,如果一段连续的树,它们的和谐值之和可以被M整除,那么这个区间整体看起来就是和谐的....
- [阅读笔记]专访刘毅:阿里巴巴云计算平台运维故障分析与排查
- 回文数c语言(来源:力扣(LeetCode))
- 一些西安附近的旅游信息
- 布局中颜色搭配怎么看最舒服之白色的最佳10种颜色搭配
- C/C++ - http协议发送字段,文件,单个和多张图片
- php中显示li,请C语言大侠们帮忙看看,为什么总显示 array subsc... html中的ul li 用php怎么做?php在html中写 代码如......
- 计算机f8键的功能,f8键有什么作用(图文)
- 高性能风控数据平台设计
- 完美解决iphone连电脑蓝牙出现bluetooth外围设备无法正确安装
- UCAS - AI学院 - 自然语言处理专项课 - 第7讲 - 课程笔记
- AndroidX TabLayout使用、扩展及解析All In One,跪了
- 学完大数据开发一般可以胜任哪些工作?
- java求1000以内的完数及分析