一、 應用背景
稅務網路的應用中,經常面臨乙個使用者要配置有多個使用者名稱,多個口令的問題:
1. 各省的計算機網路上有大量的路由器、交換機裝置,一般在500~600臺左右 ,管理員首先面對的問題是口令管理問題,大量的裝置口令配置工作量大,並且難於記憶,常常導致裝置的口令長時間不變,甚至1年到2年不變,存在安全隱患。
2. 計算機網路大多配置撥號訪問伺服器,除了做主線路的備份外,也允許稅務內部職工撥號入網,因此要求每個使用者分配乙個使用者名稱/口令。
3. 企業網路內部執行許多應用軟體,隨之而來的問題是多個使用者名稱多個口令的問題,給使用者帶來很多不便,大量增加了網路管理員的負擔。
目錄伺服器如windows active directory, novell nds可以有效解決第三個問題,前兩個問題可以應用cisco acs軟體的目錄整合功能,使它有效的與目錄伺服器windows active directory, novell nds整合,大大的簡化了管理員的負擔,提高工作效率,並且windows active directory有很好的使用者管理制度,級別的劃分使管理員可以輕鬆的分配資源。
二、實現目標
全網應用一套使用者名稱,一套口令。
撥號使用者使用windows active directory的使用者名稱/口令
網路裝置的使用者名稱/口令使用windows active directory的使用者名稱/口令
網路裝置的使用者名稱/口令集中管理,許可權管理。
所有全網的網路裝置的登入口令在acs配置,不同的使用者賦予不同的許可權。如一般管理員可以看網路的狀態,超級使用者可以配置router, switch.
三、配置步驟
cisco acs支援windows active directory, novell nds等目錄伺服器,下面以cisco acs與windows 2000 的active directory集成為例,安裝過程很簡單不必細說,主要介紹一下配置步驟:
1. 配置cisco 5350,和其他router成為 acs的aaa client
***work configuration---->輸入5350 ip address; key: cisco; authenticate using : tacacs+(cisco ios)
注:key: cisco與下文的tacacs key cisco命令相對應
2. 配置使用者名稱/口令資料庫
exterternal user databases----->unknown user policy--->check the following external user database--->select windows nt/2000---->sumit.
external user database---->>database configuration -----> windows nt/2000 -----> dial permission ,check grant dialin permission---> sumit
3.配置acs group mapping, 以配置授權
由於使用windows active directory的使用者名稱作為認證,因此配置此使用者的授權由acs的組完成,然後將此group與windows active directory的組對映。
external user database---->database configuration-----> windows 2000----->configure----->add config domain-list ,local----->sumit
external user database---->database group mapping----->windows nt/2000--->domain ,local->
add mapping---->windows users group, cisco acs group group1-----> sumit
需要提到的是,對於中國地區管理員來說我們使用windows2000 active directory的時候,一般都是中文版,安裝時沒有問題,但是使用的時候會出現瀏覽器報錯,只要換乙個英文版的瀏覽器就可以了,為了安全,我們只在windows active directory上安裝,然後選擇一台客戶機訪問windows active directory的acs服務就可以了。
4.cisco 5350和router的配置
對於router,配置acs認證,授權。
配置乙個本地的使用者名稱/口令,防止在acs認證失敗後,使用此使用者名稱/口令。
router#username localusr pass usrpass
router#config terminal
配置acs認證
router(config)#aaa new-model
router(config)#aaa authentication login vty-login group tacacs local
配置acs授權
router(config)#aaa authorization exec exec-vty group tacacs
指定acs server位址,key是必須加的,他是和acs伺服器交換的金鑰,只是為了說明問題,實際配置中要選擇更複雜的密要,達到安全的效果, acsipaddress的是指acs伺服器的網域名稱,或可以直接用ip位址
router(config)#tacacs host acsipaddress key cisco
或是用兩條命令分開來寫
router(config)#tacacs host acsipaddress
router(config)#tacacs key cisco
應用到vty上
router(config)# line vty 0 4
router(config-line)#login authentication vty-login
router(config-line)#authorization exec exec-vty
對於cisco 5350 訪問伺服器,除了上述步驟外,還需增加如下步驟
router#aaa authentication ppp default group tacacs local
四、 應用例項
河北省石家莊地稅所屬的區縣、所構成的wan和lan全部採用cisco 公司的網路產品,所有的router, switch一共有100臺左右,同時還配置有一台cisco as5350撥號訪問伺服器,實現稅務集中應用軟體備份。眾多的網路裝置對於管理員來講經常更換口令有負擔過重,此外為每個撥號使用者配置使用者名稱口令任務繁雜而巨大。
河北地稅應用cisco acs軟體成功的與現有的windows 2000 active directory結合起來,大大的簡化了管理員的工作量,提高了工作效率,目前每乙個月口令更換一次,大大的加強了網路的安全性,並實現了許可權分級管理。
伺服器租用與伺服器託管優缺點
中小企業想做乙個企業 這時就會遇到很多伺服器的需求,這個時候選擇好的 合適的伺服器無疑是重要前提。當遇到伺服器需求的時候,中小企業甚至一些大企業都會遇到兩難的選擇,因為對於伺服器的選擇我們通常有兩種做法,自己購買或向idc運營商租用。那麼,究竟哪一種做法更好,或者說價效比更高呢?下面我們來做個對比,...
DHCP伺服器與管理例項
基礎原理 相關知識 dhcp 避免了因手工設定ip位址及子網掩碼所產生的錯誤,同時也避免了把乙個ip位址分配給多台計算機所造成的位址衝突,而客戶機也只需將tcp ip配置全設定為自動獲取即可上網。dhcp服務降低了管理ip位址設定的負擔,使用dhcp 伺服器大大縮短了配置或重新配置網路中工作站所花費...
安裝與配置郵件伺服器
練習名稱 在windows server 2003下安裝與配置郵件伺服器 實驗目的 掌握在windows server 2003下安裝與配置郵件伺服器的方法 實驗內容 1.在windows server 2003下安裝郵件伺服器 2.在windows server 2003下配置郵件伺服器。實驗拓撲...