授权服务器是干什么的
服务器是干什么的 时间:2021-01-08 阅读:()
知Tacacs秦军2014-03-05发表ComwareV5平台交换机结合CiscoACS5.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
2进行TACACS认证配置及经验总结ComwareV5ComwareV5平台交换机结合平台交换机结合CiscoACS5.
2CiscoACS5.
2进行进行TACACSTACACS认证配置及认证配置及经验总结经验总结本文主要讲述ComwareV5平台交换机与CiscoACS5.
2认证服务器通过TACACS方式进行Telnet认证、授权和计费配置方法以及注意事项.
一、组网需求:一、组网需求:PC直连S5500-EI,S5500-EI直连CiscoACS5.
2服务器.
1.
1.
PCPCPC使用Windows7操作系统,IP地址:10.
1.
1.
1/24.
2.
2.
S5500-EIS5500-EIS5500-EI使用软件版本Release2220P02;Vlan-if10IP地址:10.
1.
1.
254/24,用于与PC互联;Vlan-if172IP地址:172.
16.
8.
1/24,用于与ACS服务器互联.
3.
3.
CiscoACS5.
2CiscoACS5.
2IPaddress:172.
16.
8.
254.
二、组网图:二、组网图:三、配置步骤:三、配置步骤:1.
1.
PCPC配置配置配置IP地址:2.
2.
S5500-EIS5500-EI配置配置S5500-EI配置telnetserverenable#vlan10#vlan172#interfaceVlan-interface10ipaddress10.
1.
1.
254255.
255.
255.
0#interfaceVlan-interface172ipaddress172.
16.
8.
1255.
255.
255.
0#interfaceGigabitEthernet1/0/23portaccessvlan10#interfaceGigabitEthernet1/0/24portaccessvlan172#user-interfacevty015authentication-modeschemecommandauthorization//使能命令行授权功能,如果不需要服务器对命令行做授权,则无需配置commandaccounting//使能命令行计费功能,如果不需要服务器对命令行做计费,则无需配置.
#hwtacacsschemeloginprimaryauthentication172.
16.
8.
254primaryauthorization172.
16.
8.
254primaryaccounting172.
16.
8.
254nas-ip172.
16.
8.
1keyauthentication123456keyauthorization123456keyaccounting123456user-name-formatwithout-domain#domainsystemauthenticationloginhwtacacs-schemeloginauthorizationloginhwtacacs-schemeloginaccountingloginhwtacacs-schemeloginauthorizationcommandhwtacacs-schemeloginaccountingcommandhwtacacs-schemelogin#3.
3.
CiscoACS5.
2CiscoACS5.
2配置配置3.
1命令行配置CiscoACS配置interfaceGigabitEthernet0ipaddress172.
16.
8.
254255.
255.
255.
0noshutdown!
ipdefault-gateway172.
16.
8.
13.
2Web页面配置1)通过GUI登录ACS通过IE浏览器键入https://172.
16.
8.
254登录ACSWEB页面.
2)配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置(Location)或者设备所属类型(DeviceType)进行规划.
网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>位置(Location)视图下创建新的位置:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>设备类型(DeviceType)视图下创建新的设备类型:网络资源组(NetworkDeviceGroups)>网络设备组(NetworkDeviceGroups)>网络设备和AAA客户端(NetworkDevicesandAAAClients)视图下创建网络设备(NetworkDevices):将新创建的设备分配到指定位置(Location)、设备类型(DeviceType),指定设备的IP地址,选择TACACS+协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致.
创建完成后返回网络设备列表:3)配置用户组和用户用户与身份库(UsersandIdentityStores)>身份组(IdentityGroups)视图下创建新的身份组,并分配到AllGroups组中:用户与身份库(UsersandIdentityStores)>内部身份库(InternalIdentityStores)>用户(Users)视图下创建新用户,设置用户密码,并将用户分配到特定组:创建完成后返回内部用户列表:4)配置策略元素策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>ShellProfiles视图下创建授权策略,其中PermitAccess是缺省的授权策略,这里再定义一个授权级别为三级的授权策略.
定义授权级别为三级:这时在定制属性中可以看到名称为AssignedPrivilegeLevel,属性值为3的属性:配置完成后返回ShellProfiles列表:如果要对命令进行授权,在设备授权操作中配置授权命令集.
策略元素(PolicyElements)>授权与权限(AuthorizationandPermissions)>设备管理(DeviceAdministration)>授权命令集(CommandSets)视图下创建授权命令集,这里创建三级授权所使用的授权命令集,除了不允许查看路由表、进入接口视图、添加静态路由以外,允许其他所有的三级权限命令.
其中DenyAllCommands是缺省的命令集.
配置完成后返回授权命令集列表:5)配置接入服务接入策略(AccessPolicies)>接入服务(AccessServices)视图下创建新的接入服务.
缺省情况下存在设备管理(DefaultDeviceAdmin)和网络接入控制(DefaultNetworkAccess)两个默认的访问策略.
创建接入服务时,可以基于已存在的访问策略进行配置:点击"下一步",勾选允许的认证协议,这里只需勾选PAP、CHAP即可:配置完成后,返回接入服务列表:在接入服务(AccessServices)中配置授权操作,单击接入服务"LoginService"对应的"Authorization".
首先选择定制方式(Customize),选择使用这一接入服务的身份组(IdentityGroup)、位置(NDGLocation)以及设备类型(NDGDeviceType),并对认证成功的用户按照ShellProfile和授权命令集,为认证用户下发授权级别以及对命令做授权:然后创建授权规则,选择用户组、NDG位置、NDG设备类型,以及ShellProfile和授权命令集:配置完成后返回授权策略列表:单击"SaveChanges"保存配置.
6)配置服务选择规则配置服务选择规则,选择已创建的接入服务.
接入策略(AccessPolicies)>接入服务(AccessServices)>服务选择规则(ServiceSelectionRules)视图下,创建服务选择策略,选择匹配TACACS协议时所使用的接入服务:配置完成后,返回服务选择策略列表:单击"SaveChanges"保存配置.
4.
4.
验证验证Telnet登录设备后,查看用户的授权级别为三级:displayusersTheuserapplicationinformationoftheuserinterface(s):IdxUIDelayTypeUserlevelF0AUX000:00:00325VTY000:00:26TEL3Followingaremoredetails.
VTY0:Username:JuneQLocation:10.
1.
1.
1+:Currentoperationuser.
F:Currentoperationuserworkinasyncmode.
分别测试授权和未授权的命令:通过ACS的监控功能,查看登录用户的认证、授权、计费的记录:查看TACACS协议的认证、授权、计费的记录信息:查看TACACS授权记录,可以看到认证成功后调用的ShellProfile对用户下发授权级别,以及对于命令授权成功、未授权的记录信息:如果没有配置命令行授权功能,则当前用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则当前用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
这里在开启命令行授权的情况下,查看TACACS计费记录,只记录了授权成功的命令行:四、配置关键点:四、配置关键点:1.
HWTACACS认证、授权、计费报文的共享密钥必须与ACS侧TACACS+的共享密钥一致;2.
默认情况下,在配置接入服务的授权项时,只能按照ShellProfile下发授权,如果要调用授权命令集对每条命令做授权服务,则首先要在定制方式中选择授权命令集(CommandSets);3.
配置服务选择策略时,如果存在多条策略,注意调整策略的先后顺序,按照从上到下的顺序对协议类型进行匹配.
无忧云:洛阳BGP云服务器低至38.4元/月起;雅安高防云服务器/高防物理机优惠
无忧云怎么样?无忧云,无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点。一、无忧云官网点击此处进入无忧云官方网站二...
PQ.hosting全线9折,1Gbps带宽不限流量VPS/€3/月,全球11大机房可选
Hostadvice主机目录对我们的服务进行了测试,然后给PQ.hosting颁发了十大WordPress托管奖。为此,宣布PQ.Hosting将在一周内进行折扣优惠,购买和续订虚拟服务器使用优惠码:Hostadvice ,全部优惠10%。PQ.hosting,国外商家,成天于2019年,正规公司,是全球互联网注册商协会 RIPE 的成员。主要是因为提供1Gbps带宽、不限流量的基于KVM虚拟的V...
月神科技 国内上新成都高防 全场八折促销续费同价!
月神科技是由江西月神科技有限公司运营的一家自营云产品的IDC服务商,提供香港安畅、香港沙田、美国CERA、成都电信等机房资源,月神科技有自己的用户群和拥有创宇认证,并且也有电商企业将业务架设在月神科技的平台上。本次带来的是全场八折促销,续费同价。并且上新了国内成都高防服务器,单机100G集群1.2T真实防御,上层屏蔽UDP,可定制CC策略。非常适合网站用户。官方网站:https://www.ysi...
服务器是干什么的为你推荐
-
全能虚拟主机时代互联的全能云虚拟主机怎么样,稳不稳定,速度怎么样的?ip代理地址ip代理有什么用?有图片..个人虚拟主机个人商城要选多大的虚拟主机?重庆虚拟空间重庆顺丰快递运的电脑主机19号中午11点到的第二天物流状态还是在重庆集散中心?今天能不能领导件?论坛虚拟主机我要做个论坛,是用虚拟主机呢?还是用空间?除论坛外还有好及个单页,还带数据库。虚拟主机测评虚拟主机怎么看好坏!!!!安徽虚拟主机合肥蜀山区哪家网络公司做网站最好安徽虚拟主机华夏网络科技有限公司的介绍www二级域名顶级域名,二级域名,网站中文域名中文域名有哪写类型?