 |
ACS与目录服务器结合进行用户身份控制管理 |
|
|
| ACS与目录服务器结合进行用户身份控制管理 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-23 21:42:13 |
|
一、应用背景
经常面临一个用户要配置有多个用户名,多个口令的问题:
1.各省的计算机网络上有大量的路由器、交换机设备,一般在500~600台左右 ,管理员首先面对的问题是口令管理问题,大量的设备口令配置工作量大,并且难于记忆,常常导致设备的口令长时间不变,甚至1年到2年不变,存在安全隐患。
2.计算机网络大多配置拨号访问服务器,除了做主线路的备份外,也允许税务内部职工拨号入网,因此要求每个用户分配一个用户名/口令。
3.企业网络内部运行许多应用软件,随之而来的问题是多个用户名多个口令的问题,给用户带来很多不便,大量增加了网络管理员的负担。
目录服务器如Windows Active Directory, Novell NDS可以有效接决第三个问题,前两个问题可以应用Cisco ACS软件的目录集成功能,使它有效的与目录服务器Windows Active Directory, Novell NDS集成,大大的简化了管理员的负担,提高工作效率。
二、实现目标
全网应用一个用户名,一个口令。
拨号用户使用Windows Active Directory的用户名/口令
网络设备的用户名/口令使用Windows Active Directory的用户名/口令
网络设备的用户名/口令集中管理,权限管理。
所有全网的网络设备的登录口令在ACS配置,不同的用户赋予不同的权限。如一般管理员可以看网络的状态,超级用户可以配置Router, Switch.
三、 配置步骤
Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器,下面以Cisco ACS与Windows 2000 的Active Directory集成为例,介绍一下配置步骤:
1. 配置Cisco 5350,和其他Router成为 ACS的AAA Client
Network Configuration----输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
2. 配置用户名/口令数据库
Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.
External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
3.配置ACS group mapping, 以配置授权
由于使用Windows Active directory的用户名作为认证,因此配置此用户的授权由ACS的组完成,然后将此group与Windows Active directory的组映射。
External User Database----〉database configuration----- windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
External User Database----〉database group mapping-----〉windows nt/2000---domain ,local-
Add mapping----Windows users group, Cisco acs group group1----- sumit
4.Cisco 5350和Router的配置
对于Router,配置ACS认证,授权。
配置一个本地的用户名/口令,防止在ACS认证失败后,使用此用户名/口令。
Router#username localusr pass usrpass
Router#config terminal
配置ACS认证
Router(config)#aaa new-model
Router(config)#aaa authentication login vty-login group tacacs local
配置ACS授权
Router(config)#aaa authorization exec exec-vty group tacacs
指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco
应用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty
对于Cisco 5350 访问服务器,除了上述步骤外,还需增加如下步骤 Router#aaa authentication ppp default group tacacs local
四、应用实例
某市地税所属的区县、所构成的WAN和LAN全部采用Cisco 公司的网络产品,所有的Router, Switch一共有100台左右,同时还配置有一台Cisco AS5350拨号访问服务器,实现税务集中应用软件备份。众多的网络设备对于管理员来讲经常更换口令有负担过重,此外为每个拨号用户配置用户名口令任务繁杂而巨大。
某省地税应用Cisco ACS软件成功的与现有的windows 2000 Active Directory结合起来,大大的简化了管理员的工作量,提高了工作效率,目前每一个月口令更换一次,大大的加强了网络的安全性,并实现了权限分级管理。【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: VPN的基本配置
下一篇文章: 双机热备的全面配置示例 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
