TÀI LIỆU HƯỚNG DẪN CẤU HÌNH ACS SERVER 4.2 MỤC LỤC I Khái niệm: II Chứng thực Radius A Cấu hình thiết bị CISCO B Cấu hình ACS Server III Chứng thực Tacac+ A Cấu hình thiết bị CISCO B Cấu hình ACS Server IV Phân quyền truy cập Tacacs+ cho user 10 NỘI DUNG I Khái niệm: ACS phần mềm cho phép cấu hình chứng thực username/password phân quyền tập trung cho thiết bị mạng Ví dụ: Cisco Router, Switch Router,… Khi cài ACS server, ta cấp chứng thực username/password, quyền truy câp, quyền quản trị cho tất thiết bị mạng (router,switch)… Bằng cách sử dụng chứng thực AAA chuẩn truy cập TACACS+ RADIUS, ta có môt phương pháp quản trị user quyền truy cập với độ bảo mât cao Tài liệu cung cấp bước cấu hình ACS 4.2 thiết bị mạng Cisco II Chứng thực Radius A Cấu hình thiết bị CISCO #aaa new-model #aaa authentication login default group radius line #radius-server host 172.16.4.2 key 123456 #username u1 password 123456 #line vty 15 #priviledge level 15 #login authentication default B Cấu hình ACS Server Vào trang quản lý ACS trình duyệt hình dưới, click User Setup: Nhập tên user, click Add/Edit Nhập mật khẩu, chọn group, click Submit Click Network Configuration, click Add Entry phần AAA Clients: Nhập tên (AAA Client Hostname), địa IP thiết bị CISCO cần quản lý (AAA Client IP Address), khóa (Shared Secret), click Submit + Apply Mục Authenticate Using chọn RADIUS (IETF) (chuẩn chứng thực giới) Click Network Configuration, click Add Entry phần AAA Server: Nhập tên ACS Server (AAA Server Name), địa IP ACS Server (AAA Server IP Address), khóa (Key) III A Chứng thực Tacac+ Cấu hình thiết bị CISCO enable password cisco aaa new-model aaa group server tacacs+ win2k3 server 172.16.4.2 aaa aaa aaa aaa aaa aaa authentication login pvdauthen group win2k3 local authorization config-commands authorization exec default group win2k3 local authorization commands 15 default group win2k3 local accounting exec pvdacc start-stop group win2k3 accounting commands 15 pvdacc2 start-stop group win2k3 tacacs-server host 172.16.4.2 key 123456 tacacs-server directed-request line vty 15 accounting commands 15 pvdacc2 accounting exec pvdacc login authentication pvdauthen transport input telnet B Cấu hình ACS Server Vào trang quản lý ACS trình duyệt hình dưới, click User Setup: Nhập tên user, click Add/Edit, tạo user u1 admin Nhập mật khẩu, chọn group (ví dụ Group 1), click Submit Vd: u1 thuộc Group 1, admin thuộc Group Click Network Configuration, click Add Entry phần AAA Clients: Nhập tên (AAA Client Hostname), địa IP thiết bị CISCO cần quản lý (AAA Client IP Address), khóa (Shared Secret), click Submit + Apply Mục Authenticate Using chọn TACACS+ (CISCO IOS) (chuẩn chứng thực CISCO có tác dụng với thiết bị CISCO) Click Network Configuration, click Add Entry phần AAA Server: Nhập tên ACS Server (AAA Server Name), địa IP ACS Server (AAA Server IP Address), khóa (Key) IV Phân quyền truy cập Tacacs+ cho user Ví dụ: Các user Group có tất quyền, dùng tất lệnh trừ lệnh show bị cấm, user Group full quyền, full lệnh, không cấm Chọn Shared Profile Components, click Shell Command Authorization Sets: 10 Click Add để tạo profile: hình dưới: FullAccess đầy đủ quyền thiết bị CISCO (xem xét, cấu hình (config mode)), Helpdesk: xem (lệnh show): Profile FullAccess cấu đây: chọn mục Permit – nghĩa cho phép tất lệnh, trừ lệnh cấu hình bảng Unmathched Commands không cho phép, click Submit sau cấu hình xong Nếu chọn mục Deny nghĩa cấm tất lệnh, cho phép dùng lệnh cấu hình bảng Unmathced Commands Profile Helpdesk hình dưới: cấm dùng tất lệnh trừ lệnh show phép dùng 11 Click Group User, chọn Group 1, click Edit Settings: Mục Tacacs+ Settings: 12 Group 2: Dựa vào bước cấu hình ta làm theo yêu cầu sau: user u1 phép dùng lệnh show, user admin full quyền 13 [...]...Click Add để tạo 2 profile: như hình dưới: FullAccess đầy đủ quyền trên thiết bị CISCO (xem xét, cấu hình (config mode)), Helpdesk: chỉ được xem (lệnh show): Profile FullAccess cấu hình như dưới đây: chọn mục Permit – nghĩa là cho phép tất cả các lệnh, trừ các lệnh được cấu hình trong bảng Unmathched Commands không cho phép, click Submit sau khi cấu hình xong Nếu chọn mục Deny nghĩa... hình xong Nếu chọn mục Deny nghĩa là cấm tất cả các lệnh, chỉ cho phép dùng lệnh được cấu hình trong bảng Unmathced Commands Profile Helpdesk như hình dưới: cấm dùng tất cả các lệnh trừ lệnh show được phép dùng 11 Click Group User, chọn Group 1, click Edit Settings: Mục Tacacs+ Settings: 12 Group 2: Dựa vào các bước cấu hình ở trên ta có thể làm theo yêu cầu sau: user u1 chỉ được phép dùng lệnh show, còn