Khái niệm: ACS là phần mềm cho phép cấu hình chứng thực username/password và phân quyền tập trung cho các thiết bị mạng.. Ví dụ: Cisco Router, Switch Router,… Khi cài ACS server, ta có
Trang 1TÀI LIỆU HƯỚNG DẪN CẤU HÌNH ACS SERVER 4.2
Trang 2MỤC LỤC
I Khái niệm: 2
II Chứng thực Radius 2
A Cấu hình trên thiết bị CISCO 2
B Cấu hình trên ACS Server 2
III Chứng thực Tacac+ 6
A Cấu hình trên thiết bị CISCO 6
B Cấu hình ACS Server 7
IV Phân quyền truy cập Tacacs+ cho user 10
NỘI DUNG
I Khái niệm:
ACS là phần mềm cho phép cấu hình chứng thực username/password và phân quyền tập trung cho các thiết bị mạng Ví dụ: Cisco Router, Switch Router,…
Khi cài ACS server, ta có thể cấp chứng thực username/password, và quyền truy câp, quyền quản trị cho tất cả các thiết bị mạng (router,switch)… Bằng cách sử dụng chứng thực AAA
và các chuẩn truy cập TACACS+ hoặc RADIUS, ta có được môt phương pháp quản trị user
và quyền truy cập với độ bảo mât cao
Tài liệu này cung cấp các bước cấu hình ACS 4.2 và các thiết bị mạng của Cisco
II Chứng thực Radius
#aaa new-model
#aaa authentication login default group radius line
#radius-server host 172.16.4.2 key 123456
#username u1 password 123456
#line vty 0 15
#priviledge level 15
#login authentication default
Vào trang quản lý ACS bằng trình duyệt như hình dưới, click User Setup:
Trang 3Nhập tên user, click Add/Edit
Nhập mật khẩu, chọn group, click Submit
Trang 4Click Network Configuration, click Add Entry trong phần AAA Clients:
Trang 5Nhập tên (AAA Client Hostname), địa chỉ IP thiết bị CISCO cần quản lý (AAA Client IP
Address), khóa (Shared Secret), click Submit + Apply Mục Authenticate Using chọn RADIUS (IETF) (chuẩn chứng thực của thế giới)
Click Network Configuration, click Add Entry trong phần AAA Server:
Trang 6Nhập tên ACS Server (AAA Server Name), địa chỉ IP ACS Server (AAA Server IP
Address), khóa (Key)
III Chứng thực Tacac+
enable password cisco
aaa new-model
aaa group server tacacs+ win2k3
server 172.16.4.2
aaa authentication login pvdauthen group win2k3 local
aaa authorization config-commands
aaa authorization exec default group win2k3 local
aaa authorization commands 15 default group win2k3 local
aaa accounting exec pvdacc start-stop group win2k3
aaa accounting commands 15 pvdacc2 start-stop group win2k3
tacacs-server host 172.16.4.2 key 123456
tacacs-server directed-request
line vty 0 15
accounting commands 15 pvdacc2
accounting exec pvdacc
login authentication pvdauthen
Trang 7transport input telnet
Vào trang quản lý ACS bằng trình duyệt như hình dưới, click User Setup:
Nhập tên user, click Add/Edit, tạo user u1 và admin
Trang 8Nhập mật khẩu, chọn group (ví dụ Group 1), click Submit Vd: u1 thuộc Group 1, admin thuộc Group 2
Click Network Configuration, click Add Entry trong phần AAA Clients:
Trang 9Nhập tên (AAA Client Hostname), địa chỉ IP thiết bị CISCO cần quản lý (AAA Client IP
Address), khóa (Shared Secret), click Submit + Apply Mục Authenticate Using chọn TACACS+ (CISCO IOS) (chuẩn chứng thực của CISCO chỉ có tác dụng với các thiết bị
CISCO)
Click Network Configuration, click Add Entry trong phần AAA Server:
Trang 10Nhập tên ACS Server (AAA Server Name), địa chỉ IP ACS Server (AAA Server IP
Address), khóa (Key)
IV Phân quyền truy cập Tacacs+ cho user
Ví dụ: Các user trong Group 1 có tất cả các quyền, dùng được tất cả các lệnh trừ lệnh show
bị cấm, còn các user trong Group 2 full quyền, full lệnh, không cấm gì cả
Chọn Shared Profile Components, click Shell Command Authorization Sets:
Trang 11Click Add để tạo 2 profile: như hình dưới: FullAccess đầy đủ quyền trên thiết bị CISCO (xem xét, cấu hình (config mode)), Helpdesk: chỉ được xem (lệnh show):
Profile FullAccess cấu hình như dưới đây: chọn mục Permit – nghĩa là cho phép tất cả các
lệnh, trừ các lệnh được cấu hình trong bảng Unmathched Commands không cho phép, click Submit sau khi cấu hình xong Nếu chọn mục Deny nghĩa là cấm tất cả các lệnh, chỉ cho phép dùng lệnh được cấu hình trong bảng Unmathced Commands
Profile Helpdesk như hình dưới: cấm dùng tất cả các lệnh trừ lệnh show được phép dùng
Trang 12Click Group User, chọn Group 1, click Edit Settings:
Mục Tacacs+ Settings:
Trang 13Group 2:
Dựa vào các bước cấu hình ở trên ta có thể làm theo yêu cầu sau: user u1 chỉ được phép dùng lệnh show, còn user admin full quyền