硬件安装要求

要求分配80G以上硬盘空间

安装过程

选[1]

根据提示输入setup,根据提示输入相关配置信息

安装完成后可以查看acs服务的状态 show application

show application version acs show application status acs

修改时区和时间

（config）#clock timezone Asia/Shanghai #clock set AUG 15 08:56:00 2016

License

https://ip地址

默认web账号 acsadmin/default

进入web页面会提示上传lic文件，点浏览，选择上传acs5.6_base

成功进入管理页面后，选择“System Administration”、“Configuration”、“Licensing”、“Feature Options”，上传acs5.6_feature

ACS配置逻辑：

根据收到的请求的认证类型（radius还是tacacs），由ServicesSelectionRules的设置交给指定的AccessServices处理。由Identity指定的用户数据库（内部/外部）和请求中的用户名比对，根据用户和设备的分类交给指定的Shell Profile和command set

授权应和认证配合使用，假设对vty启用本地认证和aaa授权，则无法telnet，提示授权失败。

浏览器

IE11不能查看报告，火狐配置“接入策略”不能保存，建议结合使用

1.设备分组

网络结构默认将网络设备即AAA client分为2个网络设备组，分别为Location位置、Device Type设备类型。根据需求依次点击Network

Resources >Network Device Group> Create 在根组下创建子组，更明细的划分网络设备所在组。

2.用户组

依次点击Users and Identity Stores > Identity Groups > Create新增用户组。此用户组只是用于区分用户所在的组别，实际的组名并无实质的区别。在策略调用时才用到用户组来控制权限。

3.新建用户

依次点击Users and Identity Stores > Internal Identity Stores > Users> Create新增用户，并将用户划分进已存在的用户组中，为创建的用户选择适当的用户组。Name代表telnet设备的用户名，Identity Group代表用户属于上步中定义的哪个用户组，Password代表telnet设备的密码，Enable Password代表特权密码。

4.用户等级Shell Profiles

依次点击Policy Elements > Authorization and Permissions >Device Administration >Shell Profiles>Create创建策略规则 建议都设置为默认15最大15 经过测试

1.如果最大登陆级别不是15，无法enable进入特权模式，提示认证失败，因为默认是“enable 15”

2.如果不配user的enable密码，但启用了enable的acs认证，可以用user的密码代替

4.show running-config要在优先级15下运行，如果下放到其它优先级运行会缺少内容，具体表现为只能show出此等级有权配置的内容。

5.命令集Command Set

依次点击Policy Elements > Authorization and Permissions >Device Administration >Command Sets，点击Create新增命令授权。

给管理员放开所有的命令（ \below\打勾允许所有命令）。

给受限制管理员指定可用的命令: show，ping，telnet， ssh等，enable和exit属于0级命令，客户端配置不做授权， 故不用指定。

6.接入策略-接入服务

修改策略之前建议先停用此策略再编辑，否则可能卡死

默认有两种接入服务

“Device Admin”规定用户等级和命令行，理解为命令行的授权等相关 “Network Access”规定acl、vlan接入、qos、dot1x等，理解为dot1x相关

依次点击Access Policies>Access Services>Default Device Admin，确认服务类型使用身份识别和授权，允许协议选择 PAP/ASCII ，否则验证无法通过。

识别

依次点击Access Policies >Access Services >Default Device Admin >Identity 选择内部数据Internal Users进行认证。 授权

依次点击Access Policies >Access Services >Default Device

Admin >Authorization 根据“用户所属的组和设备所属的分类”选择“优先级和命令集”。

点击customize，把command set调到界面上

7.服务选择器

依次点击Access Policies>Access Services>Service Selection Rules，创建服务选择器，满足使用Tacase协议做认证的网络设备将使用Default Device Admin接入服务处理。

8.添加客户端

依次点击Network Resources >Network Devices and AAA Clients新增网络客户端，在TACACS+中输入双方的共享密钥。

9.查看报告

客户端配置思科路由交换设备

1.新建本地账户，以防万一

username ADMIN privilege 15 secret ADMIN

enable secret ENABLE 没有enable密码的话，telnet用户不能enable 2.开启aaa功能 aaa new-model 3.配置aaa服务器

iptacacs source-interface 指定进行tacacs认证的源端口，建议选择lo口或者svi口，所指定接口的地址要配置到acs服务器里

tacacs-server host 10.1.1.250 key CISCO 指定tacacs服务器的地址和密码，密码要和acs服务器上设置的相同

tacacs-server directed-request //默认启用，只发送用户名到TACACS服务端，而不是全名username@host，如果用户指定的hostname不匹配TACACS服务器上配置上配置的客户端IP地址，则请求被拒绝 tacacs-server timeout 2 设定等到tacacs服务器的回复过期时间为2秒，默认5秒,现实环境中可设置的大一些 4.认证 登录账号认证

------------------方法一，明细----------------

aaa authentication login VTY group tacacs+ local //定义名字为VTY的tacacs+认证，在需要的地方调用。首选tacacs+，若不可达则启用本地。

linevty 0 15

login authentication VTY //telnet登录方式登录调用tacacs+认证 ------------------方法二，全局----------------

aaa authentication login default group tacacs+ local //全局所有方式登录都使用aaa认证

aaa authentication login NOACS local none //定义NOACS用于本地console保护，console不使用aaa。首选local密码，若无则不认证

line con 0

login authentication NOACS //本地console保护 enable认证

aaa authentication enable default group tacacs+ enable //使用ACS认证enable密码，密码是acs里user的enable密码，acs不通时使用本地enable密码。此时在console口enable会要求输入acs中user账号。所以建议不配 5.授权

默认通过console口登录后输入命令是无需授权的

aaa authorization exec default group tacacs+ none //应用acs服务器上配置的default privilege level，如无此命令，则忽略acs的这个配置 aaa authorization commands 0 default group tacacs+ local //在ACS服务器上查询级别0能够使用的命令，级别0包含五条命令：disable、enable、exit、help、logout，如果配置了此条级别0授权，那么要求在ACS上放过这几条命令。如果不配置此条，那么不认证，无需在ACS放过。建议不配。 aaa authorization commands 1 default group tacacs+ local //在ACS服务器上查询属于级别1的命令

aaa authorization commands 15 default group tacacs+ local //在ACS服务器上查询属于级别15的命令

2-14有无皆可，表示授权属于2-14级的命令，默认没有命令属于2-14。并不是授权2-14级的用户所敲的命令。

aaa authorization commands 2 default group tacacs+ local aaa authorization commands 3 default group tacacs+ local aaa authorization commands 4 default group tacacs+ local aaa authorization commands 5 default group tacacs+ local aaa authorization commands 6 default group tacacs+ local aaa authorization commands 7 default group tacacs+ local aaa authorization commands 8 default group tacacs+ local aaa authorization commands 9 default group tacacs+ local aaa authorization commands 11 default group tacacs+ local aaa authorization commands 12 default group tacacs+ local aaa authorization commands 13 default group tacacs+ local aaa authorization commands 14 default group tacacs+ local

aaa authorization config-commands //默认config模式下的配置命令不送到acs查询，这句命令是使其也送到acs

no aaa authorization console //通过console输入的命令不要经过授权，默认就是无需授权的。如果未启用console登录认证，又启用了console授权，极易被锁在外面 6.审计

aaa accounting exec default start-stop group tacacs+ //审计，在acs服务器上记录登录和登出的时间

aaa accounting commands 0 default start-stop group tacacs+ //审计，在acs服务器上记录0级用户使用过的命令，例如\

aaa accounting commands 1 default start-stop group tacacs+ //审计，在acs服务器上记录1级用户使用过的命令

aaa accounting commands 15 default start-stop group

tacacs+ //审计，在acs服务器上记录15级用户使用过的命令 2-14有无皆可，表示审计属于2-14级的命令，默认没有命令属于2-14。并不是审计2-14级的用户所敲的命令。

aaa accounting commands 2 default start-stop group tacacs+ aaa accounting commands 3 default start-stop group tacacs+ aaa accounting commands 4 default start-stop group tacacs+ aaa accounting commands 5 default start-stop group tacacs+ aaa accounting commands 6 default start-stop group tacacs+ aaa accounting commands 7 default start-stop group tacacs+ aaa accounting commands 8 default start-stop group tacacs+ aaa accounting commands 9 default start-stop group tacacs+ aaa accounting commands 10 default start-stop group tacacs+ aaa accounting commands 11 default start-stop group tacacs+ aaa accounting commands 12 default start-stop group tacacs+ aaa accounting commands 13 default start-stop group tacacs+ aaa accounting commands 14 default start-stop group tacacs+

思科ASA防火墙设备

username cisco password cisco aaa-serveracs protocol tacacs+ reactivation-mode timed

aaa-serveracs (outside) host 168.5.41.21 key cisco

aaa authentication ssh console acs LOCAL aaa authentication enable console acs LOCAL aaa authentication http console acs LOCAL

测试命令

#test aaa group tacacs+ ADMIN ADMIN new-code

密码恢复

如果系统默认用户acsadmin密码忘记，可SSH到ACS上，使用如下命令将acsadmin密码恢复到初始化状态 ACS/admin# acs reset-password

This command resets the 'ACSAdmin' password to its original value.

Are you sure you want to continue? (yes/no) y Password was reset successfully ACS/admin#

默认web用户名 acsadmin 密码default 如果系统cli密码忘记，可进入单用户模式 cd /storedconfig/startup-config.... vi startup-config

把username修改为以下行，保存后重启 username admin password hash

$1$L5XQE46c$reJnFjYJExv7cYAj..VJC. role admin

用admin账号登录，密码是Xx349821213 恢复出厂化设置 acs reset-config