cisco ACS 配置

Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器，下面以Cisco ACS与Windows 2000 的Active Directory集成为例，介绍一下配置步骤：

1． 配置Cisco 5350，和其他Router成为 ACS的AAA Client

Network Configuration----输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)

2 配置用户名/口令数据库

Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit

External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit

3．配置ACS group mapping, 以配置授权

由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows Active directory的组映射。

External User Database----〉database configuration----- windows 2000-----〉configure-----〉add config domain-list ,local----->sumit

External User Database----〉database group mapping-----〉windows nt/2000---domain ,local-

Add mapping----Windows users group, Cisco acs group group1----- sumit

4．Cisco 5350和Router的配置

对于Router,配置ACS认证，授权。

配置一个本地的用户名/口令，防止在ACS认证失败后，使用此用户名/口令。
Router#username localusr pass usrpass
Router#config terminal

配置ACS认证
Router(config)#aaa new-model
Router(config)#aaa authentication login vty-login group tacacs local

配置ACS授权
Router(config)#aaa authorization exec exec-vty group tacacs

指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco

应用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty

对于Cisco 5350 访问服务器，除了上述步骤外，还需增加如下步骤　Router#aaa authentication ppp default group tacacs local

进入光猫的设注册页面，将光猫的注册页面地址修改为当地地区的公用id地址；2重启光猫，将光猫的dns更改为当地地区专属dns；3查看光猫的ip详细信息；4进入光猫设置向导，勾选adsl虚拟拨号选项；5返回上一页面，将网络连接类型设置为个人网路或公共网络即可。

配置DNS服务器
登录路由器然后输入如下配置命令即可：

vnet81#configure terminal

//
进入配置模式

vnet81(config)# ip name-server
vnet81(config)#ip name-server XXXXXXXXXXXX
//
设置DNS为
xxxxxxxxxxxx
vnet81(config)#exit
vnet81#show running-config
//
查看路由器配置，DNS配置成功
vnet81#write

不需要
acs更新证书只会重新加载>