AAA系统的简称: 认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
ACS简介:
思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。
适用场合:
◆集中控制用户通过有线或者无线连接登录网络
◆设置每个网络用户的权限
◆记录记帐信息,包括安全审查或者用户记帐
◆设置每个配置管理员的访问权限和控制指令
◆用于 Aironet 密钥重设置的虚拟 VSA
◆安全的服务器权限和加密
◆通过动态端口分配简化防火墙接入和控制
◆统一的用户AAA服务
案例:
一、使用路由器实现:
拓扑图:
[Router]radius server 192.168.101.100
[Router]radius shared-key 123456
[Router]aaa authentication-scheme login default radius [Router]login-method authen telnet default
1.安装JDK环境 :
2.安装ACS :
管理密码:数字+字母
打开桌面上“ACS Admin” 图标
ACS 的 ip地址:
修改浏览器的安全级别:
默认级别为高,且不能更改
打开服务器管理器
单击 “配置 IE ESC”
再次修改IE 安全 设置,将安全级别设置为中
打开命令行,切换到ACS的安装目录下
列举ACS中的私有属性:CSUtil -listUDV
增加华为私有属性:>CSUtil -addUDV 0 c:\h3c.ini (其中0 表示在0 位置,上图中共有0-9个位置)
列举现在的私有属性
修改网络配置,
增加客户端,并配置客户端
修改AAA server 配置:将服务器修改为标准服务器
单击interface configuration ,在右侧单击RADIUS (HUAWEI)
勾选华为的私有属性
要做telnet 和ssh 验证,首先需要有账号和密码,账号有在组中,编辑组1
点击 Edit Setting
新建用户test ,将该账户属于组 1
显示所有组
设置登录成功和失败的日志记录:
成功登录的账户不记录,单击该条目
修改后,将会记录成功和失败的日志
登录成功
二、利用防火墙实现:
拓扑图:
[H3C]firewall zone trust
[H3C-zone-trust]add interface Ethernet 0/0 [H3C]interface Ethernet 0/0
[H3C-Ethernet0/0]ip address 192.168.101.13 24 [H3C]radius scheme abc
[H3C-radius-abc]key authentication 123456
[H3C-radius-abc]primary authentication 192.168.101.100
[H3C-radius-abc]server-type ?
extended Server based on RADIUS extensions
standard Server based on RFC protocol(s) 若为标准,登录防火墙后进入0级别
[H3C-radius-abc]server-type extended
[H3C-radius-abc]user-name-format without-domain
[H3C]domain tec
[H3C-isp-tec]radius-scheme abc
[H3C-isp-tec]accounting optional
[H3C-isp-tec]access-limit enable 10
[H3C]domain default enable tec
ssh
[H3C-radius-abc]server-type standard
[H3C]rsa local-key-pair create
[H3C]ssh authentication-type default all
将进入0级别
可以先配置super 密码,切换到管理员级别
[H3C]super password level 3 simple 123
设置tec域为默认域
[H3C]domain default enable tec
ssh
三、利用交换机实现:
拓扑图:
[s2]radius scheme abc 新建方案 abc
[s2-radius-abc]server-type standard 登录后为普通用户模式
[s2-radius-abc]server-type huawei 登录后为管理员模式
[s2-radius-abc]primary authentication 192.168.101.30 24
[s2-radius-abc]key authentication 123456
[s2-radius-abc]user-name-format without-domain
[s2]domain tec
[s2-isp-tec]radius-scheme abc
[s2-isp-tec]accounting optional
[s2-isp-tec]access-limit enable 10 [s2]user-interface vty 0 4
[s2-ui-vty0-4]authentication-mode scheme
[s2-ui-vty0-4]protocol inbound all
ssh登录:
[s2]radius scheme abc 新建方案 abc
[s2-radius-abc]server-type standard 登录后为普通用户模式
[Quidway]rsa local-key-pair create
[Quidway]ssh authentication-type default all
[Quidway]super password level 3 simple 123
[s2-radius-abc]server-type standard
[s2-radius-abc]server-type huawei
ssh
转载于:https://blog.51cto.com/418182153/974172