Cisco Secure ACS for UNIX (CSU)軟體有助於確保網路的安全性並跟蹤成功連線到網路的人員的活動。CSU充當TACACS+或RADIUS伺服器,並使用驗證、授權和計量(AAA)來提供網路安全。
CSU支援以下資料庫選項來儲存組和使用者配置檔案以及記帳資訊:
SQLAnywhere (隨CSU一起提供)。
此版本的Sybase SQLAnywhere不支援客戶端/伺服器。但是,它經過最佳化,可以透過CSU執行基本的AAA服務。
注意:SQLAnywhere資料庫選項不支援超過5,000個使用者的配置檔案資料庫、資料庫站點間的配置檔案資訊複製或Cisco Secure Distribute Session Manager (DSM)功能。
Oracle或Sybase關聯式資料庫管理系統(RDBMS)。
要支援5,000或更多使用者的Cisco Secure配置檔案資料庫、資料庫複製或Cisco Secure DSM功能,必須預先安裝Oracle(版本7.3.2、7.3.3或8.0.3)或Sybase SQL server(版本11) RDBMS以儲存Cisco Secure配置檔案資訊。在Cisco Secure安裝完成之後,資料庫複製需要進一步的RDBMS配置。
從先前(2.x)版本的CSU升級現有資料庫。
如果您從舊版Cisco Secure 2.x升級,Cisco Secure安裝程式會自動升級設定檔資料庫,使其與CSU 2.3 for UNIX相容。
匯入現有的設定檔資料庫。
您可以轉換現有免費的TACACS+或RADIUS配置檔案資料庫或平面檔案,以便用於此版本的CSU。
本文件沒有特定需求。
本文檔中的資訊基於Cisco Secure ACS 2.3 for UNIX。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
使用以下過程配置CSU。
使用此過程可登入到Cisco Secure Administrator。
從與ACS建立Web連線的任何工作站,啟動Web瀏覽器。
為Cisco Secure Administrator網站輸入以下URL之一:
如果瀏覽器上的安全通訊端層功能未啟用,請輸入:
http://your_server/cs
其中your_server是安裝CSU的SPARCstation的主機名(如果主機名和FQDN不同,則為完全限定域名(FQDN))。您也可以將SPARCstation的IP位址替換為your_server。
如果瀏覽器上的安全通訊端層功能已啟用,請指定「https」而不是「http」作為超文字傳輸通訊協定。輸入:
https://your_server/cs
其中your_server是安裝CSU的SPARCstation的主機名(如果主機名和FQDN不同,則為FQDN)。您也可以將SPARCstation的IP位址替換為your_server。
注意:URL和伺服器名稱區分大小寫。必須以大寫字母和小寫字母輸入,如圖所示。
此時會顯示「CSU登入」頁面。
輸入您的使用者名稱和密碼。按一下Submit。
注意:初始預設使用者名稱為「superuser」。 初始預設密碼為「changeme」。 首次登入後,您需要立即更改使用者名稱和密碼以獲得最大安全性。
登入後,將顯示CSU首頁,主選單欄位於頂部。只有使用者提供具有管理員層級許可權的名稱和密碼時,才會顯示「CSU主功能表」頁面。如果使用者提供的名稱和密碼只具有使用者層級許可權,則會顯示不同的畫面。
從任何CSU管理員網頁啟動基於Java的Cisco Secure Administrator高級配置程式。從CSU Web介面的選單欄中,按一下Advanced,然後再次按一下Advanced。
將顯示Cisco Secure Administrator Advanced Configuration程式。載入可能需要幾分鐘的時間。
使用Cisco Secure Administrator Advanced Configuration程式建立和配置組配置檔案。Cisco建議您建立組配置檔案,為大量類似使用者配置詳細的AAA要求。定義組配置檔案後,使用CSU Add a User網頁將使用者配置檔案快速增加到組配置檔案中。為組配置的高級要求適用於每個成員使用者。
使用此程式來建立群組設定檔。
在Cisco Secure Administrator高級配置程式中,選擇Members頁籤。在「導航器」窗格中,取消選擇瀏覽覈取方塊。此時會顯示「建立新設定檔」圖示。
在「導航器」窗格中,執行以下操作之一:
要建立沒有父項的組配置檔案,請查詢並按一下[Root]資料夾圖示。
若要將您的群組設定檔建立為另一個群組設定檔的子系,請找出您要做為父項的群組,然後按一下。
如果您要作為父項的群組是子群組,請按一下其父項群組的資料夾以顯示它。
按一下Create New Profile。「新建輪廓」通話方塊隨即顯示。
選中Group覈取方塊,鍵入要建立的組的名稱,然後按一下OK。新群組會顯示在樹狀結構中。
建立組配置檔案後,請指定TACACS+或RADIUS屬性以配置特定AAA屬性。
使用Cisco Secure Administrator高級配置模式建立和配置使用者配置檔案。您可以執行此操作以自定義使用者配置檔案的授權和記帳相關屬性,其細節比使用「增加使用者」頁面所能提供的要更詳細。
使用此程式來建立使用者設定檔:
在Cisco Secure Administrator高級配置程式中,選擇Members頁籤。在Navigator窗格中,找到並取消選擇Browse。此時會顯示「建立新設定檔」圖示。
在「導航器」窗格中,執行以下操作之一:
查詢並按一下使用者所屬的組。
如果您不想讓使用者屬於某個群組,請按一下[根]資料夾圖示。
按一下Create Profile。「新建輪廓」通話方塊隨即顯示。
確保取消選中Group覈取方塊。
輸入要建立的使用者的名稱,然後按一下OK。新使用者會顯示在樹狀結構中。
建立使用者配置檔案後,分配特定的TACACS+或RADIUS屬性以配置特定的AAA屬性:
要將TACACS+配置檔案分配到使用者配置檔案,請參閱將TACACS+屬性分配到組或使用者配置檔案。
要將RADIUS配置檔案分配到使用者配置檔案,請參閱將RADIUS屬性分配到組或使用者配置檔案。
使用CSU組配置檔案功能以及TACACS+和RADIUS屬性透過CSU實施網路使用者的身份驗證和授權。
CSU的組配置檔案功能使您能夠為大量使用者定義一組通用的AAA要求。
您可以為組配置檔案分配一組TACACS+或RADIUS屬性值。指派給群組的這些屬性值會套用至身為成員或新增為該群組成員的任何使用者。
要將CSU配置為管理具有複雜AAA要求的大量不同型別的使用者,思科建議您使用Cisco Secure Administrator高級配置程式的功能來建立和配置組配置檔案。
組配置檔案需要包含並非特定於使用者的所有屬性。這通常表示除密碼以外的所有屬性。然後,您可以使用Cisco Secure Administrator的Add a User頁面建立具有密碼屬性的簡單使用者配置檔案,並將這些使用者配置檔案分配到適當的組配置檔案。然後,為特定群組定義的功能和屬性值會套用至其成員使用者。
您可以建立群組的階層。在群組設定檔中,您可以建立子群組設定檔。指定給父群組設定檔的屬性值是子群組設定檔的預設值。
Cisco Secure系統管理員可以分配單個Cisco Secure使用者組管理員狀態。「群組管理員」狀態可讓個別使用者管理其群組從屬的任何子群組設定檔和使用者設定檔。但是,它不允許他們管理位於其組層次結構之外的任何組或使用者。因此,系統管理員將管理大型網路的任務外包給其他人,而未給予每個人同等的權利。
Cisco建議您為個別使用者指定使用者專屬的基本驗證屬性值,例如定義使用者名稱、密碼、密碼型別和Web許可權的屬性。透過CSU的Edit a User或Add a User頁將基本身份驗證屬性值分配給使用者。
Cisco建議您在組級別定義與資格、授權和記帳相關的屬性。
在本示例中,為名為「撥入使用者」的組配置檔案分配了屬性值對Frame-Protocol=PPP和Service-Type=Framed。
CSU中的TACACS+和RADIUS屬性的子集可以在組配置檔案級別上分配絕對狀態。在群組設定檔層次為絕對狀態啟用的屬性值會覆寫在子項群組設定檔或成員使用者設定檔層次的任何衝突屬性值。
在具有數個群組管理員層級的多層次網路中,絕對屬性可讓系統管理員設定選取的群組屬性值,而較低層級的群組管理員無法覆寫。
可以指定絕對狀態的屬性會在Cisco Secure Administrator高級配置程式的「屬性」框中顯示「絕對」覈取方塊。選取核取方塊以啟用絕對狀態。
分配給父組配置檔案、子組配置檔案和成員使用者配置檔案的屬性值之間的衝突解決取決於屬性值是否為絕對屬性以及它們是TACACS+還是RADIUS屬性:
分配給具有絕對狀態的組配置檔案的TACACS+或RADIUS屬性值將覆蓋在子組或使用者配置檔案級別設定的任何衝突屬性值。
如果在組配置檔案級別未啟用TACACS+屬性值的絕對狀態,則任何在子組或使用者配置檔案級別設定的衝突屬性值都會覆蓋該屬性。
如果在父組級別上未啟用RADIUS屬性值的絕對狀態,則在子組上設定的任何衝突屬性值都會導致不可預知的結果。定義群組及其成員使用者的RADIUS屬性值時,請避免將相同的屬性同時指定給使用者和群組設定檔。
對於TACACS+,請為服務規範加上關鍵字prohibit或permit字首,以覆蓋繼承的服務值的可用性。permit關鍵字允許指定的服務。prohibit關鍵字不允許使用指定的服務。同時使用這些關鍵字,您可以建構「除外的所有專案」組態。例如,此組態允許從X.25以外的所有服務存取:
default service = permit prohibit service = x25
要將特定TACACS+服務和屬性分配給組或使用者配置檔案,請執行以下步驟:
在Cisco Secure Administrator高級配置程式中,選擇Members頁籤。在Navigator窗格中,點選分配TACACS+屬性的組或使用者配置檔案的圖示。
如果需要,請在Profile窗格中按一下Profile圖示將其展開。
熒幕右下方的視窗中會顯示一個清單或通話方塊,其中包含適用於所選設定檔或服務的屬性。此視窗中的資訊會根據您在「設定檔」窗格中選取的設定檔或服務而變更。
按一下要增加的服務或協定,然後按一下Apply。服務即會新增至設定檔。
在「屬性」視窗中輸入或選取必要的文字。
《CSU 2.3 for UNIX參考指南》的應用屬性的策略部分介紹了有效條目。
備註:如果您在群組設定檔層次指定屬性值,而您指定的屬性顯示絕對核取方塊,請選取該核取方塊以指定值絕對狀態。指定值的絕對狀態不能被在從屬群組設定檔或使用者設定檔層次指定的任何衝突值所覆寫。
對需要增加的每個其他服務或協定重複步驟1到步驟。
完成所有更改後,按一下Submit。
要將特定RADIUS屬性分配給組或使用者配置檔案,請執行以下操作:
為組配置檔案分配RADIUS詞典:
在Cisco Secure Administrator Advanced Configuration程式的「Members」頁上,按一下Group或User圖示,然後按一下「Profiles」窗格中的Profile圖示。在「屬性」窗格中,將顯示「選項」選單。
在選項選單上,按一下希望組或使用者使用的RADIUS詞典的名稱。(例如,RADIUS - Cisco。) 按一下「Apply」。
將所需的[檢查專案]和[回覆屬性]新增至RADIUS設定檔:
附註:檢查專案是驗證所需的屬性,例如使用者ID和密碼。回覆屬性是在設定檔透過驗證程式(例如Framed-Protocol)之後,傳送至網路存取伺服器(NAS)的屬性。有關檢查項和應答屬性的清單和說明,請參閱《CSU 2.3 for UNIX參考指南》中的RADIUS屬性-值對和詞典管理。
在「設定檔」視窗中,按一下RADIUS - dictionaryname資料夾圖示。(您可能需要按一下設定檔的+符號來展開RADIUS資料夾。) 「檢查專案」和「回覆屬性」選項會顯示在「屬性群組」視窗中。
要使用其中一個或多個屬性,請按一下要使用的屬性,然後按一下Apply。您可以一次新增多個屬性。
按一下RADIUS - dictionaryname的+符號以展開資料夾。
注意:如果選擇RADIUS-Cisco11.3選項,請確保在連線的NAS上安裝了Cisco IOS®軟體版本11.3.3(T)或更高版本,並將新的命令列增加到NAS配置中。請參閱用於UNIX的CSU 2.3完全啟用RADIUS-Cisco11.3詞典參考指南。
指定新增的「檢查專案」和「回覆屬性」的值:
注意:對於RADIUS協定,繼承是附加的,而不是分層的。(TACACS+通訊協定使用階層式繼承)。例如,如果您為使用者和組配置檔案分配相同的回覆屬性,授權將失敗,因為NAS收到的屬性數是此值的兩倍。它無法理解回覆屬性。不要將相同的檢查專案或回覆屬性同時指定給群組和使用者設定檔。
按一下Check Items或Reply Attributes,或者同時按一下兩者。適用的「檢查專案」和「回覆屬性」值清單會顯示在右下方的視窗中。按一下+符號以展開資料夾。
按一下要分配的值,然後按一下Apply。有關這些值的詳細資訊,請參閱《CSU 2.3 for UNIX參考指南》中的RADIUS屬性-值對和詞典管理。
備註:如果您在群組設定檔層次指定屬性值,而您指定的屬性顯示「絕對」核取方塊,請選取該核取方塊以指定值絕對狀態。指定的絕對狀態值不能被在從屬組配置檔案或使用者配置檔案層指定的任何衝突值覆蓋。
完成更改後,按一下Submit。
要使用其中一個或多個屬性,請按一下要使用的屬性,然後按一下Apply。您可以一次套用多個屬性。
超級使用者管理員使用Web許可權屬性為Cisco Secure使用者分配一定級別的訪問控制許可權。
在Cisco Secure Administrator Advanced Configuration程式中,按一下要分配其訪問控制許可權的使用者,然後在Profiles窗格中按一下Profile圖示。
在「選項」選單中,按一下Web許可權,然後選擇以下值之一。
0 -拒絕使用者任何訪問控制許可權,包括更改使用者的Cisco Secure密碼的能力。
1 -授予使用者訪問CSUser網頁的許可權。這允許Cisco Secure使用者更改其Cisco Secure密碼。有關如何更改口令的詳細資訊,請參閱簡單使用者和ACS管理中的使用者級功能(更改口令)。
12 -授予使用者組管理員許可權。
15 -授予使用者系統管理員許可權。
注意:如果您選取0以外的任何Web許可權選項,也必須指定密碼。為了滿足Web許可權密碼要求,最小可以接受單個空格。
通常,CSU會在您啟動或重新啟動安裝它的SPARCstation時自動啟動。但是,您可以手動啟動CSU,或者在不關閉整個SPARCtation的情況下將其關閉。
以[Root]身份登入到安裝CSU的SPARCtation。
要手動啟動CSU,請鍵入:
# /etc/rc2.d/S80CiscoSecure
要手動停止CSU,請鍵入:
# /etc/rc0.d/K80CiscoSecure
目前沒有適用於此組態的驗證程序。
目前尚無適用於此組態的具體疑難排解資訊。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
10-Dec-2001 |
初始版本 |