Конфигуриране на Cisco за контрол на достъпа до сървъра (ACS) - това е лесен

Добър ден.

В предишния пост ще имате инсталирана версия 4.0 ACS и обновен до версия 4.1.4. Днес, аз предлагам да продължим работата си и започнете да настройвате за контрол на достъпа на сървъра, и сървъра, TACACS +. Също така добави първото устройство за удостоверяване с ACS.
Интересува покани котка ...

Отиваме към сървъра и стартирате ACS. Ако се отвори основния прозорец. Ако имате проблеми, когато отворите страницата (не отваряйте елементите на страници, които не се отварят), а след това проверете дали са инсталирани Java. Трябва да се :).
Така че, ние продължаваме. Меню на прав поглед. За да започнете, нека да създадете профил за администратора на ACS (тя ще се нуждае, за да бъде в състояние да се изкачи на сървъра ACS през уеб интерфейса на мрежата, а не на местно ниво). За да направите това, отидете на раздела "Администриране контрол»:

След това добавете нов администратор, той даде паролата си, направи знак, че паролата никога няма да изтече. Освен това, ако искате да дадете права на администратор за всяка конфигурация на ACS, след това кликнете върху «Грант всички». Ако имате нужда да споделят правата между няколко администратора за всеки от тях ще трябва да изберете желания правило. След това натиснете "Изпращане" и е създаден от администратора трябва да се появи в списъка.
На следващо място, създаване на нова група за бъдещи потребители (въпреки че никой не забранява да се използва по подразбиране Group). Отидете в раздела «Setup Group»:

Опциите са по-горе, за да ограничи достъпа до групата по различни критерии. Ние не трябва да ги смените, така че оставете по подразбиране. промени настройките на групата трябва да се рестартира ACS, така че кликнете върху бутона «Подайте + Рестарт».
Група, създадена, отидете на раздела «User Setup», за да създадете първия потребител:

Предписва име и кликнете върху «Добавяне / Редактиране».

В имота на потребителя му се даде паролата, с които ще се удостоверява с устройството и го определи за група, създадена по-рано. Кликнете «Подайте».
Сега трябва да добавите първия AAA клиента (комутатор или маршрутизатор) на ACS. За тази цел първо ние организираме мрежата между устройството и наличието на ACS. Ето един малък схема:

Направете начален Test_Router настройка:

• 
  R1> ен
  R1 # конф т
  R1 (конфигурационния) #hostname Test_Router
  Test_Router (конфигурационния) #int еа 0/0
  Test_Router (довереник-ако) #ip адрес 10.10.10.1 255.255.255.0
  Test_Router (довереник-ако) #No изключване
  Test_Router (конфигурационния-ако) #exit
  Test_Router (довереник) #service парола криптиране
  Test_Router (конфигурационния) #exit
  Test_Router # WR
  

Проверете за наличието на мрежа на сървъра:

достъпността на мрежата е налице, се процедира, за да добавите клиента към ACS. Отидете в раздела «мрежовата конфигурация»:

Кликнете върху «Добавяне на запис».

Посочете името на групата и ключа. Кликнете «Подайте» и след това кликнете върху новосъздадената група в списъка. Трябва да отвори врати следния прозорец:

На пръв добавите сървър. Натиснете 1.

Така че, това, което имаме :). 1 - Въведете потребителското си име, 2 - въведете паролата (вписан в ACS), 3 - опитайте се да отидете на привилегирован режим и ... ние не можем. Но проблемът е известен :). Върнете се към сървъра ACS и отиде в качествата на нашия потребител ( «User Setup» - «Списък на всички потребители» - «нашия потребител"):

Ходим на свойствата (кликнете върху него):

Ние намираме и маркирайте елементите (освен ако не е отбелязано) 1 - използвайте настройките за групата, и 2 - чрез използване на основния потребител парола. Кликнете «Подайте». На следващо място, отиваме в свойствата на нашата група ( «Group Setup» - «admingroup» - «Редактиране на настройките"). това е, което ние намираме в свойствата:

В този момент ( «Активиране Options») може да различи параметри за достъп до различните команди на устройството за всяка група потребители. Изберете максимално ниво привилегия и натиснете «Подайте + Рестарт».
Сега, ние се върнем към нашето устройство и се опитайте да го отворите на конзолата:

Всичко се оказа. Сега за Telnet:

Също така тя работи :). Поздравления.
Така че ние настроите устройството удостоверяване чрез Access Control Server. За да добавите други устройства достатъчно конфигурират TACACS + на комутатори и маршрутизатори, както и всеки производител (които подкрепят TACACS +). Основното нещо е, че те попадат в обхвата на мрежата, е регистриран в параметър AAA Клиента (макар че нищо не пречи да се добавят още няколко мрежи :)).
В колежа е много удобно, ако имате голям брой мрежови устройства. Възможно е да се конфигурира много интересни неща. Като се започне от свързването на потребителската база на Active Directory, използване сертификат, е-жетони и за изсичането на всяка команда, направени от администратор. Но това е друга история и писане ресурс за нови и интересни мнения :).

Това заключава този пост. Както винаги, аз се надявам, че е за вас интересни, полезни и подходящи за използване в практиката.

Очаквам с нетърпение да ви в следващия пост.

С уважение, Ant0ni0n