acs安装＆配置手册acs配置

acs安装＆配置手册acs配置内容摘要：

果显示 UDV 0 已经被其他厂家的设备占用，请将 addUDV 0 d:\ 命令中的参数 “ 0” 改为其他没有被占用的数值。 图 2 （ 6）如果使用 listUDV 命令，能看到 “ Radius（ Huawei） ” 属性，则说明已经将华为扩展属性成功导入 ACS。 配置 ACS （ 1） 配置 AAA Client： 在 Network Configuration 中新建一个 AAA Client（或使用原有的）（如图 图 4）。 图 3 图 4 各参数说明如下： AAA Client Hostname： AAA 客户端设 备名。 比如 HWS6506R。 AAA Client IP Address： AAA 客户端设备的 IP 地址。 该地址必须与设备送到 ACS上的认证报文所带的源 IP地址相同。 比如。 Key： Radius 客户端与服务器端的加密密钥。 只有在密钥一致的情况下，双方才能彼此接受对方发来的报文，并作出响应。 Authenticate Using：认证方式。 此处选择新添加的 Radius（ Huawei）属性。 配置完成后，点击 “ Sumbit＋ Restart” 按钮，使配置生效。 （ 2） 配置 Interface 在 Interface Configuration 界面，选中新添加的华为扩展属性，使其出现在Group（组）编辑界面（如图 图 6） 图 5 图 6 （ 3） 配置 Group 在 Group Setup 中的 Radius（ IETF）栏，选择服务类型为 Login， LoginService为 Tel；同时，在 Radius（ Huawei）栏，为该 Group 选择相应的华为设备操作权限，有 0－ 3级四种（如图 图 8）。 图 7 图 8 （ 4） 添加 User 在 User Setup 中新建用户名，并设置密码，然后将其归类到不同的 Group 中，从而使其在 Tel 到华为设备上，拥有对应的操作权限（如图 图 10）。 图 9 图 10 用户要求 ACS 的 3A 认证 可用时 ，本地认证不能够使用，只有 ACS失效时，才能启用本地认证通过在 SYSTEM 域下配置相关参数并配置 “scheme radiusscheme（ hwtacas－ scheme） icbcxj local” 屏蔽 system 默认配置，可以实现客户要求。 S3552P 的 Radius配置 sysname Quidway super password level 3 simple tjfh radius scheme system servertype huawei primary authentication 1645 primary accounting 1646 usernameformat withoutdomain radius scheme hwra2 primary authentication 1812 secondary authentication 1812 key authentication cisco key accounting cisco usernameformat withoutdomain nasip domain system radiusscheme hwra2 accesslimit disable state active vlanassignmentmode integer idlecut disable selfserviceurl disable messenger time disable domain default enable system localserver nasip key cisco localuser localadmin password simple icbctj servicetype tel level 1 userinterface vty 0 4 authenticationmode scheme TACACS 方式下配置 CISCO ACS （ 1） 配置 AAA Client 在 Network Configuration 中新建一个 AAA Client（或使用原有的）， AAA Client 的 IP 地址，密码一定要配置正确，同时认证类型选择 TACACS＋。 （ 2） 配置或检查一下 AAA server 的配置 一般情况下 AAA server 用户已经配好，不需要我们配置，按照下图所示检查用户的配置没什么问题就行， AAA server 的类型选择成 CiscoSecure ACS 和TACACS+都可以。 （ 3） 配置 Interface Configuration 选择 Interface Configuration 中的 TACACS+（ Cisco IOS）进行 TACACS+的相关属性配置，选择 PPP IP 和 Sell（ exec）就行了。 （ 4） 配置用户组的相关属性 按照下图所示配置用户组中的 TACACS+选项，一定要选择 PPP IP 、 Shell(exec)，并且对 Privilege Level 进行设置一般设置为 3，也可以设置为 0、 2 对应我们设备的用户操作级别，如果不设置则无法登录。 （ 5） 添加 User 在 User Setup 中新建用户名，并设置密码，然后将其归类到不同的 Group 中，从而使其在 Tel 到华为设备上，拥有对应的操作权限 TACACS 认证交换机参考配置 hwtacacs scheme hwra2 //系统默认没有 tacacs scheme 根 据需要创建 nasip primary authentication primary authorization primary accounting key authentication cisco key authorization cisco key accounting cisco usernameformat withoutdomain domain sys。