一、登陆系统;默认用户名为acsadmin密码为default
二、服务器端:
1、创建用户(登陆网络设备的用户)
填写用户信息,带为必填
2、设置用户登录级别
定义用户名
设置默认权限和最高权限(如果需要设置其他权限可以自己定义)
3、设置命令授权级别
4、创建设备认证策略
三、设备端配置
H3C 交换机
hwtacacs scheme 定义TACACS名称
primary authentication“认证服务器地址”
primary authorization“认证服务器地址”
primary accounting“认证服务器地址”
key authentication“认证密钥”
key authorization“认证密钥”
key accounting“认证密钥”
user-name-format without-domain
#
domain TACACS名称
authentication login hwtacacs-schemefywasu_tacacs local
authentication super hwtacacs-schemefywasu_tacacs local
authorization command hwtacacs-schemefywasu_tacacs local
accounting command hwtacacs-schemefywasu_tacacs local
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
domain defaultenable fywasu_tacacs 指定定义的TACACS域为默认认证域
user-interface vty 015
authentication-mode scheme
user privilege level 3
1、ACS是门禁系统是在智能建筑领域,意为Access Control System,简称ACS,指“门”的禁止权限,是对“门"的戒备防范。
2、出入口门禁安全管理系统是新型现代化安全管理系统,它集微机自动识别技术和现代安全管理措施为一体,它涉及电子,机械,光学,计算机技术,通讯技术,生物技术等诸多新技术。它是解决重要部门出入口实现安全防范管理的有效措施。
3、门禁系统以预防损失、预防犯罪为主要目的,因此必须具有极高的可靠性。一个门禁系统,在其运行的大多数时间内可能没有警情发生,因而不需要报警,出现警情需要报警的概率一般是很小的,但是如果在这极小的概率内出现报警系统失灵,常常意味着灾难的降临。因此,门禁安防系统在设计、施工、使用的各个阶段,必须实施可靠性设计(冗余设计)和可靠性管理,以保证产品和系统的高可靠性。
扩展资料:
1、最早出现网络化门禁是在上世纪九十年代。随着门禁系统应用范围的日渐广泛,人们对门禁系统的诉求不再局限于单一的出入口控制,而是要求其同时具备门禁控制、考勤管理、楼宇自控等多种控制功能,并对系统的整合和远程控制功能有了非常明确的要求。
2、传统门禁基于RS485通讯方式,传输距离和节点数量都受到限制,无法实现远程控制和智能化管理。基于以太网传输方式的网络化门禁应运而生,它不但解决了远距离的传输问题,在管理方面,也使更多服务器、工作站的参与成为可能,从而为客户提供多级、多模块的门禁管理。
参考资料:
AAA是Authentication(验证)、Authorization(授权)和Accounting(审计)的简称。
AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法,授权用户可以访问哪些服务,并记录用户使用网络资源的情况。
例如,企业总部需要对服务器的资源访问进行控制,只有通过验证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。在这种场景下,可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器,也称为AAA的客户端,负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备,也可以是以软件的形式安装在服务器 *** 作系统上(本文将使用思科的ACS软件来实现AAA服务器),用户的验证、授权和审计服务均由AAA服务器来完成。
图1-1
如图1-1所示,当分支站点的用户需要访问总部的服务器资源时,NAS设备会对用户的访问进行控制,用户向NAS设备提交账户信息(用户名和密码)后,NAS设备会将用户信息发送给AAA服务器,由AAA服务器进行账户信息的验证,并对用户进行授权。如果用户验证通过,则分支站点的用户可以访问到特性的服务器资源(可以访问哪些服务器,由授权来决定),同时AAA服务器也会对用户的访问行为进行审计。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)由IETF定义的一种公有协议,是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外,不同的网络设备厂商也提出了各自的私有协议,例如,思科公司提出的TACACS+协议,华为提出的HWTACACS,也可以使用在AAA客户端和AAA服务器之间。(本文将使用RADIUS协议作为AAA的通讯协议)
图2-1
Step 1 - 基础IP配置(略)
Step 2 - 配置AAA服务器
在页面的左下角点击Create
配置AAA客户端
Step 3 - 配置AAA客户端
ARG3系列路由设备支持两种缺省域:
进入default-admin域绑定认证模板和radius-server模板(这个default-admin域是专门用来管理用的,所以telnet,ssh等登陆设备时必须使用这个默认的域,自己定义的不行)
Step 4 - 在PC机上进行测试
要用3A登录认证,路由器交换机需要开启3A,指定3A服务器,配置3A认证类型,line线下配置登录认证方式。如果无法登录,看看是不是没启3A,或者与服务器不通等等。记得要先测试,再保存。思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ***。Cisco Secure ACS 是思科网络准入控制的关键组件。适用场合:◆集中控制用户通过有线或者无线连接登录网络◆设置每个网络用户的权限◆记录记帐信息,包括安全审查或者用户记帐◆设置每个配置管理员的访问权限和控制指令◆用于 Aironet 密钥重设置的虚拟 VSA◆安全的服务器权限和加密◆通过动态端口分配简化防火墙接入和控制◆统一的用户AAA服务欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)