一、应用背景
　　
　　经常面临一个用户要配置有多个用户名，多个口令的问题：
　　
　　1. 各省的计算机网络上有大量的路由器、交换机设备，一般在500~600台左右 ，管理员首先面对的问题是口令管理问题，大量的设备口令配置工作量大，并且难于记忆，常常导致设备的口令长时间不变，甚至1年到2年不变，存在安全隐患。
　　
　　2.计算机网络大多配置拨号访问服务器，除了做主线路的备份外，也允许税务内部职工拨号入网，因此要求每个用户分配一个用户名/口令。
　　
　　3.企业网络内部运行许多应用软件，随之而来的问题是多个用户名多个口令的问题，给用户带来很多不便，大量增加了网络管理员的负担。
　　
　　目录服务器如Windows Active Directory, Novell NDS可以有效接决第三个问题，前两个问题可以应用Cisco ACS软件的目录集成功能，使它有效的与目录服务器Windows Active Directory, Novell NDS集成，大大的简化了管理员的负担，提高工作效率。
　　
　　二、实现目标
　　
　　全网应用一个用户名，一个口令。
　　
　　拨号用户使用Windows Active Directory的用户名/口令
　　
　　网络设备的用户名/口令使用Windows Active Directory的用户名/口令
　　
　　网络设备的用户名/口令集中管理，权限管理。
　　
　　所有全网的网络设备的登录口令在ACS配置，不同的用户赋予不同的权限。如一般管理员可以看网络的状态，超级用户可以配置Router, Switch.
　　
　　三、 配置步骤
　　
　　Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器，下面以Cisco ACS与Windows 2000 的Active Directory集成为例，介绍一下配置步骤：
　　
　　1． 配置Cisco 5350，和其他Router成为 ACS的AAA Client
　　
　　Network Configuration----?输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
　　
　　2. 配置用户名/口令数据库
　　
　　Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.
　　
　　External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
　　
　　3．配置ACS group mapping, 以配置授权
　　
　　由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows Active directory的组映射。
　　
　　External User Database----〉database configuration-----? windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
　　
　　External User Database----〉database group mapping-----〉windows nt/2000---?domain ,local-?
　　
　　Add mapping----?Windows users group, Cisco acs group group1-----? sumit
　　
　　4．Cisco 5350和Router的配置
　　
　　对于Router,配置ACS认证，授权。
　　
　　配置一个本地的用户名/口令，防止在ACS认证失败后，使用此用户名/口令。
　　Router#username localusr pass usrpass
　　Router#config terminal
　　
　　配置ACS认证
　　Router(config)#aaa new-model
　　Router(config)#aaa authentication login vty-login group tacacs local
　　
　　配置ACS授权
　　Router(config)#aaa authorization exec exec-vty group tacacs
　　
　　指定ACS Server地址
　　Router(config)#tacacs host acsipaddress key Cisco
　　
　　应用到VTY上
　　Router(config)# line vty 0 4
　　Router(config-line)#login authentication vty-login
　　Router(config-line)#authorization exec exec-vty
　　
　　对于Cisco 5350 访问服务器，除了上述步骤外，还需增加如下步骤　　　Router#aaa authentication ppp default group tacacs local
　　
　　四、应用实例
　　
　　某市地税所属的区县、所构成的WAN和LAN全部采用Cisco 公司的网络产品，所有的Router, Switch一共有100台左右，同时还配置有一台Cisco AS5350拨号访问服务器，实现税务集中应用软件备份。众多的网络设备对于管理员来讲经常更换口令有负担过重，此外为每个拨号用户配置用户名口令任务繁杂而巨大。
　　
　　某省地税应用Cisco ACS软件成功的与现有的windows 2000 Active Directory结合起来，大大的简化了管理员的工作量，提高了工作效率，目前每一个月口令更换一次，大大的加强了网络的安全性，并实现了权限分级管理。

 

 

ACS是Cisco出的一个 AAA 认证软件，可以对路由器进行用户认证、授权、记账操作。
　　
　　安装步骤：
　　
　　1．以超级用户登录NT或2000的ACS安装机器
　　2．在CD-ROM中插入ASC的安装光盘
　　3．用鼠标双击Install的图标

　　4．在Software License Agreement 窗口中阅读Software License Agreement并点击ACCEPT按纽。
　　5．点击Next按纽，进入下一步。
　　6．选择属于你的网络配置情况的多选框，在点击Next按纽，进入下一步
　　7．如果ACS软件已经在本机上安装了，那么它会提示你是否覆盖还是保存原来的数据选择Yes， keep existing database 按纽，保存数据，不选择该按纽则新建数据库，再点击下一步在进行接下来的安装
　　8．如果发现有原来的ACS的配置文件，安装程序会提示你是否保存，选择后，再点击下一步在进行接下来的安装
　　9．选择安装都默认的路径请点击Next按纽，进入下一步，选择安装都其他路径请点击Browse按纽，选择路径。
　　10．选择要认证的用户的数据库是以NT的帐户数据库为基础还是独立的ACS的数据库为基础。选择后进入下一步。（建议选择独立的ACS数据库）
　　11．如果选择的是以NT的帐户数据库为基础的，还要选择是否对远程访问用户根据NT的用户管理器来进行限制。进入下一步。
　　12．完成Authenticate Users Using，Access Server Name，Access Server IP Address，Windows NT Server IP Address，TACACS+ or RADIUS Key等参数的填写，进入下一步
　　13．选择是否打开Interface Configuration window（在安装过程中）（默认为不打开）
　　14．选择是否打开Enable Log-in Monitoring按纽，同时选择报警方式，包括No Remedial Action，Reboot，Restart All，Restart RADIUS/TACACS+，还可以选择通过EMAIL进行报警，（同时要配置EMAIL的SMTP Mail Server和Mail account to notify），点击Next按纽进入下一步。
　　15．如果你不配置ACS服务器，就点击Next按纽完成安装，如果你要在安装完成后进行ACS的配置，则选择Yes, I want to configure Cisco IOS now，进行ACS的配置。
　　
　　配置ACS服务器：
　　
　　1．在客户端的IE上输入HTTP：//ACS服务器的IP：2002
　　2．输入用户名和密码进入配置窗口。（如果选择是独立的数据库，默认为空的用户名和密码）
　　3．根据菜单进行具体的配置。