本文提供配置根據用戶的AD組成員和Authorization命令示例的TACACS+認證思科安全訪問控制系統(ACS) 5.x和以后。ACS使用Microsoft Active Directory (AD)，外部標識存儲存儲資源例如用戶、機器、組和屬性。

嘗試進行此配置之前，請確保滿足以下要求：

ACS 5.x充分地集成對希望的AD域。如果ACS沒有集成與希望的AD域，參考ACS 5.x和以后：與Microsoft Active Directory配置示例的集成欲知更多信息為了執行集成任務。

本文檔中的信息基于以下軟件和硬件版本：

Cisco Secure ACS 5.3

Cisco IOS軟件版本12.2(44)SE6。

注意：此配置在所有Cisco IOS設備可以被執行。

Microsoft Windows服務器2003域

本文檔中的信息都是基于特定實驗室環境中的設備編寫的。本文檔中使用的所有設備最初均采用原始(默認)配置。如果您使用的是真實網絡，請確保您已經了解所有命令的潛在影響。

有關文檔規則的詳細信息，請參閱 Cisco 技術提示規則。

在您開始ACS 5.x的配置認證和授權的前，應該順利地集成ACS與Microsoft AD。如果ACS沒有集成與希望的AD域，參考ACS 5.x和以后：與Microsoft Active Directory配置示例的集成欲知更多信息為了執行集成任務。

在此部分，您映射兩AD組對兩不同命令集和兩Shell配置文件，一與全部存取和其他與有限享用在Cisco IOS設備。

使用Admin憑證，登錄ACS GUI。

選擇用戶，并且標識存儲>外部標識存儲>活動目錄并且驗證ACS加入希望的域并且連接狀態顯示如連接。

點擊目錄組選項卡。

單擊選擇。

選擇需要被映射到Shell配置文件并且發出命令集在配置的后部的組。單擊 Ok。

點擊Save Changes。

選擇訪問策略>Access Services>服務選擇規則并且識別訪問服務，處理TACACS+認證。在本例中，它是默認設備Admin。

選擇訪問策略>Access Services>默認設備Admin >標識并且在標識來源旁邊單擊精選。

選擇AD1并且點擊OK鍵。

點擊Save Changes。

選擇訪問策略>Access Services>默認設備Admin >授權并且點擊自定義。

復制AD1:ExternalGroups從聯機到自定義情況所選的部分然后移動Shell配置文件并且發出命令集從聯機到自定義結果所選的部分。現在請單擊 OK。

單擊創建為了創建新規則。

點擊精選在AD1:ExternalGroups情況。

選擇組您在Cisco IOS設備要提供完全權限。單擊 Ok。

在Shell配置文件字段點擊精選。

單擊創建為了創建全部存取的用戶的一新的Shell配置文件。

提供名稱和Description(optional)在常規選項卡并且點擊普通的任務選項卡。

更改默認權限和最大數量權限對與值15的靜態。單擊 submit。

現在請選擇新建立的全部存取的Shell配置文件(在本例中的FULL權限)并且點擊OK鍵。

在命令集字段點擊精選。

單擊創建為了創建全部存取的用戶的new命令集。

提供一名稱并且保證在permit any命令旁邊的復選框不在下表的被檢查。單擊 submit。

單擊 Ok。

單擊 Ok。這完成Rule-1的配置。

單擊創建為了創建有限享用用戶的一新規則。

選擇AD1:ExternalGroups并且點擊精選。

選擇組(或)組您要提供有限訪問對和點擊OK鍵。

在Shell配置文件字段點擊精選。

單擊創建為了創建有限訪問的一新的Shell配置文件。

提供名稱和Description(optional)在常規選項卡并且點擊普通的任務選項卡。

分別更改默認權限和最大數量權限對與值1和15的靜態。單擊 submit。

單擊 Ok。

在命令集字段點擊精選。

單擊創建創建有限享用組的new命令集。

提供一名稱并且保證在permit any命令旁邊的復選框不在下表的沒有選擇。單擊在鍵入以后添加顯示在section命令提供的空間并且選擇在授予部分的Permit，以便僅顯示命令為用戶在有限享用組中允許。

同樣請添加所有其他命令為用戶允許在有使用的有限享用組中Add。單擊 submit。

單擊 Ok。

單擊 Ok。

點擊Save Changes。

單擊創建為了添加Cisco IOS設備作為ACS的一個AAA客戶端。

為TACACS+提供一名稱， IP地址，共享塞克雷并且單擊提交。

完成這些步驟為了配置Cisco IOS設備和ACS認證和授權的。

創建一個本地用戶有fallback的全雙工權限用username命令如顯示此處：

username admin privilege 15 password 0 cisco123!

提供ACS的IP地址為了啟用AAA和添加ACS 5.x作為TACACS服務器。

aaa new-model

tacacs-server host 192.168.26.51 key cisco123

注意：密鑰應該配比與在ACS提供的共享密鑰為此Cisco IOS設備。

測試與

test aaa group tacacs+ user1 xxxxx legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

前面的命令的輸出顯示TACACS服務器可及的，并且用戶順利地驗證。

注意：User1和密碼xxx屬于AD。如果測試請失敗請保證在上一步提供的共享密鑰正確。

配置登錄并且啟用認證然后請使用Exec和命令授權如顯示此處：

aaa authentication login default group tacacs+ local

aaa authentication enable default group tacacs+ enable

aaa authorization exec default group tacacs+ local

aaa authorization commands 0 default group tacacs+ local

aaa authorization commands 1 default group tacacs+ local

aaa authorization commands 15 default group tacacs+ local

aaa authorization config-commands

注意：如果TACACS服務器分別為不可得到的，本地和Enable (event)關鍵字使用對Cisco IOS本地用戶和enable secret的fallback。

為了驗證認證和授權請登陸到Cisco IOS設備通過Telnet。

遠程登錄到屬于AD的全部存取的組的Cisco IOS設備作為user1。網絡管理員組是被映射的FULL權限Shell配置文件和全部存取的Set命令在ACS AD的組。設法運行所有命令保證您有完全權限。

遠程登錄到屬于AD的有限享用組的Cisco IOS設備作為user2。(網絡維護團隊組是在ACS的被映射的有限權限Shell配置文件和SHOW訪問Set命令) AD的組。如果設法運行任何命令除在SHOW訪問set命令提及的那個之外，您應該收到Authorization命令失敗的錯誤，顯示該user2有有限訪問。

登陸對ACS GUI并且啟動監聽并且報告查看器。選擇AAA協議> TACACS+Authorization為了驗證user1和user2執行的活動。

總結

以上是生活随笔為你收集整理的ad证书服务器在ADgroup,ACS 5.x ：根据AD组成员配置示例和Authorization命令的TACACS+认证...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。