为UNIX配置CSU (Solaris)

下载选项

PDF (505.5 KB)
在各种设备上使用 Adobe Reader 查看
ePub (183.1 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (366.6 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2009 年 5 月 14 日

文档 ID:13842

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

Cisco Secure ACS for UNIX (CSU)软件有助于确保网络安全，并跟踪成功连接到网络的人员的活动。CSU充当TACACS+或RADIUS服务器，并使用身份验证、授权和记帐(AAA)来提供网络安全。

CSU支持以下数据库选项来存储组和用户配置文件以及记帐信息：

SQLAnywhere（随CSU提供）。

此版本的Sybase SQLAnywhere不支持客户端/服务器。但是，它经过优化，可以通过CSU执行基本的AAA服务。

注意：SQLAnywhere数据库选项不支持超过5,000个用户的配置文件数据库、数据库站点间的配置文件信息复制或Cisco安全分发会话管理器(DSM)功能。
Oracle或Sybase关系数据库管理系统(RDBMS)。

要支持5,000个或更多用户的Cisco Secure配置文件数据库、数据库复制或Cisco Secure DSM功能，必须预安装Oracle（版本7.3.2、7.3.3或8.0.3）或Sybase SQL server（版本11） RDBMS以保存Cisco Secure配置文件信息。在Cisco Secure安装完成后，数据库复制需要进一步的RDBMS配置。
从CSU的早期(2.x)版本升级现有数据库。

如果从早期的2.x版本的Cisco Secure升级，Cisco Secure安装程序将自动升级配置文件数据库以与UNIX的CSU 2.3兼容。
导入现有配置文件数据库。

您可以转换现有免费软件TACACS+或RADIUS配置文件数据库或平面文件，以便用于此版本的CSU。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Secure ACS 2.3 for UNIX。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文件规则的更多信息请参见“ Cisco技术提示规则”。

CSU配置

按照以下过程配置CSU。

启动Cisco Secure Administrator界面

使用此程序登录到Cisco Secure Administrator。

从任何通过Web连接到ACS的工作站启动Web浏览器。
为Cisco Secure Administrator网站输入以下URL之一：
- 如果未启用浏览器上的安全套接字层功能，请输入：
```
http://your_server/cs
```
  其中，your_server是安装CSU的SPARCstation的主机名(或完全限定域名(FQDN)，如果主机名和FQDN不同)。您也可以将SPARCstation的IP地址替换为your_server。
- 如果启用浏览器上的安全套接字层功能，请指定“https”而不是“http”作为超文本传输协议。输入：
```
https://your_server/cs
```
  其中，your_server是安装CSU的SPARCstation的主机名（如果主机名和FQDN不同，则为FQDN）。您也可以将SPARCstation的IP地址替换为your_server。
  
  注意：URL和服务器名称区分大小写。必须完全按照图中所示使用大写和小写字母进行输入。
  
  系统将显示CSU Logon页面。
请输入您的用户名和密码。单击“Submit”。

注意：初始默认用户名是“superuser”。初始默认密码是“changeme”。首次登录后，您需要立即更改用户名和密码，以实现最大安全性。

登录后，将显示CSU主页，并且主菜单栏位于顶部。仅当用户提供具有管理员级别权限的名称和密码时，才会显示CSU主菜单页。如果用户提供的名称和密码仅具有用户级权限，则会显示其他屏幕。

启动高级配置程序

从任何CSU Administrator网页启动基于Java的Cisco Secure Administrator高级配置程序。从CSU Web界面的菜单栏中，单击Advanced，然后再次单击Advanced。

系统将显示Cisco Secure Administrator高级配置程序。加载可能需要几分钟时间。

创建组配置文件

使用Cisco Secure Administrator高级配置程序创建和配置组配置文件。Cisco建议您创建组配置文件，为大量类似用户配置详细的AAA要求。定义组配置文件后，使用CSU Add a User网页将用户配置文件快速添加到组配置文件。为组配置的高级要求适用于每个成员用户。

使用此过程创建组配置文件。

在Cisco Secure Administrator高级配置程序中，选择Members选项卡。在“导航器”窗格中，取消选中浏览复选框。系统随即会显示“创建新配置文件”图标。
在“导航器”窗格中，执行以下操作之一：
- 要创建没有父组的组配置文件，请找到并单击[Root]文件夹图标。
- 要将您的组配置文件创建为另一个组配置文件的子项，请找到要作为父项的组并单击它。
- 如果要作为父组的组是子组，请单击其父组的文件夹以显示它。
单击Create New Profile。系统随即会显示“新建配置文件”对话框。
选中Group复选框，键入要创建的组的名称，然后单击OK。新组将显示在树中。
创建组配置文件后，请指定TACACS+或RADIUS属性以配置特定AAA属性。

在高级配置模式下创建用户配置文件

使用Cisco Secure Administrator高级配置模式来创建和配置用户配置文件。您可以执行此操作，以自定义用户配置文件的授权和记帐相关属性，比使用“添加用户”(Add a User)页面可能更详细。

使用此过程创建用户配置文件：

在Cisco Secure Administrator高级配置程序中，选择Members选项卡。在“导航器”窗格中，找到并取消选择浏览。系统随即会显示“创建新配置文件”图标。
在“导航器”窗格中，执行以下操作之一：
- 找到并点击用户所属的组。
- 如果不希望用户属于某个组，请单击[根]文件夹图标。
单击Create Profile。系统随即会显示“新建配置文件”对话框。
确保取消选中Group复选框。
输入要创建的用户的名称，然后单击OK。新用户将显示在树中。
创建用户配置文件后，分配特定TACACS+或RADIUS属性以配置特定AAA属性：
- 要将TACACS+配置文件分配给用户配置文件，请参阅将TACACS+属性分配给组或用户配置文件。
- 要将RADIUS配置文件分配到用户配置文件，请参阅将RADIUS属性分配到组或用户配置文件。

应用属性的策略

使用CSU组配置文件功能以及TACACS+和RADIUS属性通过CSU实施网络用户的身份验证和授权。

组和用户的计划属性

通过CSU的组配置文件功能，您可以为大量用户定义一组通用的AAA要求。

您可以将一组TACACS+或RADIUS属性值分配给组配置文件。分配给组的这些属性值适用于作为成员或被添加为该组成员的任何用户。

有效使用组配置文件功能

要将CSU配置为管理具有复杂AAA要求的大量不同类型的用户，Cisco建议您使用Cisco Secure Administrator高级配置程序的功能来创建和配置组配置文件。

组配置文件需要包含并非特定于用户的所有属性。这通常表示除密码以外的所有属性。然后，您可以使用Cisco Secure Administrator的Add a User页面创建具有密码属性的简单用户配置文件，并将这些用户配置文件分配给相应的组配置文件。然后，为特定组定义的功能和属性值将应用于其成员用户。

父组和子组

您可以创建组的层次结构。在组配置文件中，您可以创建子组配置文件。分配给父组配置文件的属性值是子组配置文件的默认值。

组级别管理

Cisco Secure系统管理员可以分配单个Cisco Secure用户组管理员状态。“组管理员”(Group Administrator)状态允许单个用户管理其组下属的任何子组配置文件和用户配置文件。但是，它不允许管理员管理属于其组层次结构之外的任何组或用户。因此，系统管理员将管理大型网络的任务外包给其他人，而未授予每个人平等的权限。

我应该为个人用户定义哪些属性？

Cisco建议您为各个用户分配用户唯一的基本身份验证属性值，例如定义用户名、密码、密码类型和Web权限的属性。通过CSU的Edit a User或Add a User页面将基本身份验证属性值分配给用户。

我应该为组配置文件定义哪些属性？

思科建议您在组级别定义与资格审批、授权和记帐相关的属性。

在本示例中，为名为“Dial-In Users”的组配置文件分配了属性值对Frame-Protocol=PPP和Service-Type=Framed。

什么是绝对属性？

可以为CSU中TACACS+和RADIUS属性的子集分配组配置文件级别的绝对状态。为组配置文件层绝对状态启用的属性值将覆盖子组配置文件层或成员用户配置文件层的任何冲突属性值。

在具有多个组管理员级别的多级网络内，绝对属性使系统管理员可以设置选定组属性值，而较低级别的组管理员无法覆盖这些值。

可分配绝对状态的属性在Cisco Secure Administrator高级配置程序的Attributes框中显示Absolute复选框。选中此复选框可启用绝对状态。

组属性值和用户属性值是否冲突？

分配给父组配置文件、子组配置文件和成员用户配置文件的属性值之间的冲突解决取决于属性值是绝对值还是它们是TACACS+或RADIUS属性：

分配给具有绝对状态的组配置文件的TACACS+或RADIUS属性值将覆盖在子组或用户配置文件级别设置的任何冲突属性值。
如果TACACS+属性值的绝对状态在组配置文件级别未启用，则会被在子组或用户配置文件级别设置的任何冲突属性值覆盖。
如果在父组级别未启用RADIUS属性值的绝对状态，则在子组上设置的任何冲突属性值都会导致不可预知的结果。为组及其成员用户定义RADIUS属性值时，请避免将同一属性同时分配给用户和组配置文件。

使用“禁止”和“允许”选项

对于TACACS+，请通过为服务规范添加关键字prohibit或permit的前缀来覆盖继承的服务值的可用性。permit关键字允许指定的服务。prohibit关键字不允许使用指定的服务。结合使用这些关键字，您可以构建“除外的一切”配置。例如，此配置允许从除X.25之外的所有服务进行访问：

default service = permit
prohibit service = x25

将TACACS+属性分配给组或用户配置文件

要将特定TACACS+服务和属性分配给组或用户配置文件，请执行以下步骤：

在Cisco Secure Administrator高级配置程序中，选择Members选项卡。在Navigator（导航器）窗格中，点击向其分配TACACS+属性的组或用户配置文件的图标。
如有必要，请在“配置文件”窗格中单击配置文件图标将其展开。

屏幕右下方的窗口中将显示一个列表或对话框，其中包含适用于所选配置文件或服务的属性。此窗口中的信息根据您在“配置文件”窗格中选择的配置文件或服务而变化。
单击要添加的服务或协议，然后单击Apply。服务会添加到配置文件。
在“属性”窗口中输入或选择所需的文本。

有关有效条目的说明，请参阅《CSU 2.3 for UNIX Reference Guide》中的Strategies for Applying Attributes部分。

注：如果在组配置文件层分配属性值，并且指定的属性显示绝对复选框，请选中该复选框以分配值绝对状态。值分配的绝对状态不能被在从属组配置文件或用户配置文件级别分配的任何冲突值覆盖。
对需要添加的每个附加服务或协议重复步骤1到步骤。
完成所有更改后，单击Submit。

将RADIUS属性分配到组或用户配置文件

要将特定RADIUS属性分配给组或用户配置文件，请执行以下操作：

为组配置文件分配RADIUS字典：
1. 在Cisco Secure Administrator Advanced Configuration程序的Members页上，单击Group或User图标，然后单击Profiles窗格中的Profile图标。在“属性”窗格中，将显示“选项”菜单。
2. 在选项菜单上，单击希望组或用户使用的RADIUS词典的名称。（例如，RADIUS - Cisco。）单击 Apply。
将所需的Check Items（检查项）和Reply Attributes（应答属性）添加到RADIUS配置文件：

注意：检查项是身份验证所需的属性，例如用户ID和密码。应答属性是在配置文件通过身份验证过程（例如Framed-Protocol）后发送到网络接入服务器(NAS)的属性。有关检查项和应答属性的列表和说明，请参阅《CSU 2.3 for UNIX Reference Guide》中的RADIUS Attribute-Value Pairs and Dictionary Management。
1. 在“配置文件”窗口中，单击RADIUS - dictionaryname文件夹图标。（您可能需要单击配置文件的+符号来展开RADIUS文件夹。） “检查项目”和“回复属性”选项显示在“属性组”窗口中。
2. 要使用其中一个或多个属性，请点击要使用的属性，然后点击Apply。您可以一次添加多个属性。
3. 单击RADIUS - dictionaryname的+符号以展开文件夹。
  
  注意：如果选择RADIUS-Cisco11.3选项，请确保在连接的NAS上安装了Cisco IOS^®软件版本11.3.3(T)或更高版本，并将新的命令行添加到NAS配置中。请参阅在CSU 2.3 for UNIX中完全启用RADIUS-Cisco11.3词典参考指南。
为添加的“检查项”和“回复属性”指定值：

注意：对于RADIUS协议，继承是累加的，而不是分层的。（TACACS+协议使用分层继承）。例如，如果您将相同的应答属性同时分配给用户和组配置文件，授权将失败，因为NAS收到的属性数是原来的两倍。它无法理解回复属性。请勿将相同的检查项或回复属性同时分配给组和用户配置文件。
1. 单击Check Items或Reply Attributes，或者同时单击两者。右侧下方窗口中将显示适用的“检查项目”和“回复属性”值列表。单击+符号展开文件夹。
2. 单击要分配的值，然后单击Apply。有关这些值的详细信息，请参阅《CSU 2.3 for UNIX Reference Guide》中的RADIUS Attribute-Value Pairs and Dictionary Management。
  
  注：如果在组配置文件层分配属性值，并且指定的属性显示“绝对”复选框，请选中该复选框以分配值绝对状态。分配的绝对状态值不能被从属组配置文件或用户配置文件级别分配的任何冲突值覆盖。
3. 完成更改后，单击Submit。
要使用其中一个或多个属性，请点击要使用的属性，然后点击Apply。您可以一次应用多个属性。

分配访问控制权限级别

超级用户管理员使用Web权限属性为Cisco Secure用户分配一定级别的访问控制权限。

在Cisco Secure Administrator Advanced Configuration程序中，点击要为其分配访问控制权限的用户，然后点击Profiles窗格中的Profile图标。
在“选项”菜单中，单击Web权限，然后选择一个值。
- 0 -拒绝用户任何访问控制权限，包括更改用户的Cisco安全密码的能力。
- 1 -授予用户访问CSUser网页的权限。这允许Cisco Secure用户更改其Cisco Secure密码。有关如何更改口令的详细信息，请参阅简单用户和ACS管理中的“用户级功能”（更改口令）。
- 12 -授予用户组管理员权限。
- 15 -授予用户系统管理员权限。
注意：如果选择除0以外的任何Web权限选项，还必须指定密码。为了满足Web权限密码要求，最小可以接受单个空格。

启动和停止CSU

通常，CSU在您启动或重新启动安装它的SPARCstation时自动启动。但是，您可以手动启动CSU，或者关闭它而不关闭整个SPARCStation。

以[Root]身份登录到您安装CSU的SPARCStation。

要手动启动CSU，请键入：

# /etc/rc2.d/S80CiscoSecure

要手动停止CSU，请键入：

# /etc/rc0.d/K80CiscoSecure

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。