收藏
下载资源

ACS认证实施方案

上传人:飞****9 文档编号:127318833 上传时间:2020-04-01 格式:PDF 页数:40 大小:2.83MB
返回 下载 相关 举报
ACS认证实施方案_第1页
第1页 / 共40页
ACS认证实施方案_第2页
第2页 / 共40页
ACS认证实施方案_第3页
第3页 / 共40页
ACS认证实施方案_第4页
第4页 / 共40页
ACS认证实施方案_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《ACS认证实施方案》由会员分享,可在线阅读,更多相关《ACS认证实施方案(40页珍藏版)》请在金锄头文库上搜索。

1、中国 XX 银行河北省分行 ACS 项目实施方案 TACACS 认证 目录目录 项目背景 3 资源配置 3 实验网络架构 3 ACS 管理方案 3 权限规定 4 ACS 组件 4 网络资源 4 设备属性 4 设备位置属性 5 设备型号属性 8 AAA 客户端设置 9 用户标识仓库 12 用户组属性 12 用户属性 14 策略组件 15 设备过滤器 15 用户级别控制 19 命令控制 20 许可策略 23 条件选择器 23 许可服务 24 服务选择规则 26 用户认证库 28 授权策略 29 客户端配置 31 配置脚本 31 脚本解释 32 认证 32 授权 32 审计 33 配置验证 34 区

2、域路由器登录验证 34 省行路由器登录验证 35 查看认证日志 36 查看授权日志 37 查看审计日志 37 总结 38 项目背景项目背景 全省网络设备的远程管理现状 1 通过各网络设备中设置的本地账户和密码进行远程登录和管理 2 用户没有跟设备绑定 3 用户的权限没有区分和限制 4 用户登录以及操作没有详细的记录 根据总行网络设备管理的要求 1 省行以及二级行的网络设备管理员实行统一的身份验证和管理 2 通过部署在省行的 ACS 服务器对网络管理员进行验证和授权 3 管理员在获得 ACS 服务器的验证后方可对相应的网络设备实行远程登录和管理 4 管理员分为不同的级别 对于不同级别的管理员有不

3、同的授权 5 管理员对被管理设备的操作会在 ACS 服务器上进行记录 资源配置资源配置 实验网络架构实验网络架构 ACS 管理方案管理方案 分别建立各种需要的属性 然后将属性组合进授权策略 授权策略中匹配用户 匹配设备 符合则授权 不符合则拒绝 权限规定权限规定 5 级用户允许命令 Exit Show ip interface brief Ping Ping ip Traceroute Show ip route 15 级用户禁止命令 Erase Delete Copy Reload ACS 组件组件 网络资源 设备属性 网络资源 设备属性 设备属性 用户组均属于自定义属性 然后根据属性进行挑

4、选并匹配 确定设备属性 由于此项目所有路由器与交换机均属于网络部 因此不需要设置部门属性 设备的区别只是地点区别 HBSH7200 属性为河北全省 HBTS3600 属性为唐山市 HBTSKP2811 属性为唐山市开平区 HBTSFN2811 属性为唐山市丰南区 HBBD3600 属性为保定市 HBBDMC2811 属性为保定市满城区 HBBDSP2811 属性为保定市顺平县 设备按位置设置为三级 省 市 区 县 为了将来管理需求的变更 设置设备类型为 7200 3600 2811 三种 建立设备属性 系统默认设置了两种属性 设备位置属性设备位置属性 设备类型和位置点击位置 点击建立 建立河北

5、省属性 继续建立市级属性 选中上级为河北省 下箭头显示了层级关系 设备型号属性设备型号属性 进入 Device Type 选项 点击 Create 同理 也可以根据需要设置其它分类 例如 All Switchs 所有交换机 建立路由器与属性进行关联 并且设置 ACS 参与的认证方式及密码 可以单独建立路由器 也可以群组建立 如按地域 本项目需求全部按路由器名称建立 AAA 客户端设置客户端设置 点击进入 AAA client 设置 并点击 Create 建立省行设备 依次建立其它设备 设备建立完成 一共七台路由器 用户标识仓库 用户组属性 用户标识仓库 用户组属性 建立用户组和用户 唐山市属于

6、河北省 用户属性用户属性 sunxin 北方博业管理员 所有设备均可访问 15 级权限 hbts 唐山市行管理员 所有唐山市设备均可访问 15 级权限 hbtskp 唐山市行开平区管理员 所以本区域设备均可访问 5 级权限 hbtsfn 唐山市行丰南区管理员 所以本区域设备均可访问 5 级权限 hbbd 保定市行管理员 所有保定市设备均可访问 15 级权限 hbbdmc 保定市行满城区管理员 所有本区域设备均可访问 5 级权限 hbbdsp 保定市行顺平县管理员 所有本区域设备均可访问 5 级权限 除 bfby 外 其他用户均不可以访问上级设备和不同地区的设备 所有用户密码均为 bfby 建立

7、用户 策略组件 设备过滤器 策略组件 设备过滤器 作用是根据不同权限范围 将所需要管理的设备用一条指令挑选出来 方便策略调用 匹配方法多种多样 本例将所有型号的路由器都匹配进去 唐山市和保定市使用位置匹配 唐山和保定区级分别使用 IP 地址和设备名匹配 用户级别控制用户级别控制 命令控制命令控制 输入允许的命令点击 add 添加 允许其它命令 许可策略许可策略 目前所需要的属性组件已全部建立完成 接下来进行核心部分 策略设置 设置策略选择条件 根据需要设置需要匹配的条目 条件选择器条件选择器 许可服务许可服务 建立规则服务 以便被规则调用 点击完成 是否马上建立选择策略以激活此服务 选择是 也

8、可以以后建立 匹配原则 先匹配设备 匹配上设备后送给服务 服务进行匹配用户 最后根据不同的用户 进行授权 服务选择规则服务选择规则 进入服务选择规则 建立规则 建立设备访问规则 按设备优先级进行配置 先匹配上面的 后匹配下面的 保存规则 继续设置其它匹配规则 由于每个地区只设置了一台路由器 因此这里效果看起来不太明显 感觉有点儿累 按等级顺序 等级最低的在上 最先被选择 用户认证库用户认证库 修改服务 修改用户认证数据库为本地用户 保存 授权策略授权策略 点击 Authorization 选项 建立一条规则 赋予省行用户 15 级权限 赋予市行用户 15 级权限 赋予区域用户 5 级权限 继续

9、建立其它规则 客户端配置客户端配置 配置脚本配置脚本 所有省行和市行的设备删除区域路由器配置中以下几条 aaa authorization commands 5 vty group tacacs aaa accounting commands 5 vty start stop group tacacs authorization commands 5 vty accounting commands 5 vty 区域路由器配置 aaa new model tacacs server host 192 168 5 247 key cisco aaa authentication login noa

10、cs line none aaa authentication login vty group tacacs aaa authorization exec vty group tacacs aaa authorization commands 0 vty group tacacs aaa authorization commands 1 vty group tacacs aaa authorization commands 5 vty group tacacs aaa authorization commands 15 vty group tacacs aaa authorization co

11、nfig commands aaa accounting exec vty start stop group tacacs aaa accounting commands 0 vty start stop group tacacs aaa accounting commands 1 vty start stop group tacacs aaa accounting commands 5 vty start stop group tacacs aaa accounting commands 15 vty start stop group tacacs line con 0 logging sy

12、nchronous login authentication noacs line aux 0 login authentication noacs line vty 0 4 login authentication vty authorization exec vty authorization commands 15 vty accounting exec vty accounting commands 0 vty accounting commands 1 vty accounting commands 5 vty accounting commands 15 vty 脚本解释脚本解释

13、Cisco IOS 权限等级 Cisco IOS 提供了 16 种权限等级 0 级 最低级别 1 级 用户模式可以查看少数命令 2 14 级 等同于 1 级 管理员可以根据需要将 15 级的部分指令开放给其中某个等级 来 区别管理 15 级 最高级别 进入 enable 后默认就是 15 级 认证认证 线下保护作用是排除不必要的认证 定义一条不进行认证的策略 aaa authentication login noacs line none 挂在 con 和 aux 接口下 line con 0 logging synchronous login authentication noacs lin

14、e aux 0 login authentication noacs 定义服务器 tacacs server host 192 168 5 247 key cisco 测试 test aaa grout tacacs bfby bfby net code 登录认证策略 aaa authentication login vty group tacacs line vty 0 4 login authentication vty 授权授权 exec 级别命令授权 aaa authorization exec vty group tacacs line vty 0 4 authorization e

15、xec vty 本地命令授权 privilege configure level 5 router privilege exec level 5 configure terminal 将以下等级命令送到 ACS 上去授权 aaa authorization commands 0 vty group tacacs aaa authorization commands 1 vty group tacacs aaa authorization commands 5 vty group tacacs aaa authorization commands 15 vty group tacacs 针对 c

16、onfig terminal 下的命令集中授权 aaa authorization config commands 将授权挂到接口上应用 line vty 0 4 authorization commands 15 vty 审计审计 配置审计 aaa accounting exec vty start stop group tacacs line vty 0 4 accounting exec vty 命令审计 aaa accounting commands 0 vty start stop group tacacs aaa accounting commands 1 vty start stop group tacacs aaa accounting commands 5 vty start stop group tacacs aaa accounting commands 15 vty start stop group tacacs line vty 0 4 accounting commands 0 vty accounting commands 1 vty accounting

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号