华诚人寿ACS管理手册.docx
- 文档编号:235119
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:29
- 大小:10.81MB
华诚人寿ACS管理手册.docx
《华诚人寿ACS管理手册.docx》由会员分享,可在线阅读,更多相关《华诚人寿ACS管理手册.docx(29页珍藏版)》请在冰豆网上搜索。
ACS5.3管理员手册
1网络部署
1.1部署位置
1.2部署方式
1.2.1现有部署方式
华诚人寿保险公司ACS的部署方式为主备方式,主服务器提供认证,授权和审计所有AAA服务,备份服务器不提供AAA服务,只有主服务器不能提供服务时,备份服务器才会接替主服务器,提供AAA服务,在所有client需要配置两个AAAserver。
1.2.2与第三方集成部署方式
详见ACS与第三方集成章节
1.3管理地址
名称
服务状态
IP地址
管理端口
备注
ACS-1
主用
10.1.30.1
443
Primary
ACS-2
备用
10.1.30.2
443
Standby
2软件安装
2.1安装需求
ACS5.3软件安装对服务器硬件要求
CONFIG
HDD
RAM
NIC
IBM1121
2x250GB
4GB
4X10.100.1000RJ-45
CAM25-1-2-4
2x250GB
4x1GB
2x1GE
VMWareESX3.5or4.0
500GB
4GB
2NICs
VMWareServer2.0
60GB
4GB
1or2virtualNICS
2.2安装步骤
第一步,将安装光盘放入服务器,进入启动页面后,选择1安装ACS5.3,如下图:
第二步,等到出现如下界面,输入setup,如下图:
第三步,至如下界面依次输入主机名,ip地址,用户名及密码(这个用户名密码是服务器登陆的用户名密码,不是ACSweb界面的用户名密码),至此ACS5.3安装完成
2.3安装License
在浏览器上输入https:
//IP地址,进入ACSweb界面,选择license文件,如下图:
导入license文件后,即可正常配置ACS,初始用户名是acsadmin,密码是default
3系统管理
3.1管理员创建
3.1.1服务器管理员创建
ACS5.3底层是以Linux为基础,集成了ACS软件,配置服务器管理员时就如同在cisco路由器上配置用户名密码一样,在配置模式下输入usernamexxxpasswordxxx命令,即可创建服务器管理员,如下图:
3.1.2WEB登录管理员创建
在浏览器中输入ACS服务器地址,https:
//ip地址,进入ACSweb界面,点击systemadministration,进行帐号创建:
第一步,点击Administrators下的Accounts,进入帐号创建界面,点击create新建一个帐号,如下图:
第二步,进入帐号创建界面后,输入要创建的管理员和密码,选择用户的角色,点击submit完成管理员的创建,如下图:
3.2双机同步
华诚目前ACS的部署方式为主备模式,主服务器提供认证,授权和审计所有AAA服务,备份服务器不提供AAA服务,只有主服务器不能提供服务时,备份服务器才会接替主服务器,提供AAA服务,配置如下:
在备份服务器上点击systemadministration下的deploymentoperations,输入主服务器的IP地址,用户名密码,点击registertoprimary,完成双机,如下图:
双机配置完成后,在主服务器上能看到备份服务器的地址,状态,版本等信息,如下图:
3.3证书添加
ACS添加证书需要添加两个证书,一个根证书,一个实例证书,添加时需要先添加根证书,再添加实例证书
3.3.1根证书添加
首先在CA服务器上下载一个根证书,通过usersandidentitystores下的certificateauthorties,添加一个根证书,点击create,输入根证书所在路径,点击submit,完成根证书添加,如下图:
3.3.2实例证书添加
添加完根证书后,就可以安装实例证书,首先在ACS服务器上生成一段请求代码,我们利用这段请求代码去CA服务器上申请证书。
选择systemadministration下的localcertificates,点击add,选中,如下图:
点击next,输入CN=CHD,KeyLength选择2048,Digesttosignwith选择默认SHA1即可,点击finish,完成代码请求,如下图:
点击outstandingsigningrequests,选中刚才生产的代码,点击export,将刚才生成的代码导出到本地,如下图:
将导出的代码复制到CA服务器上,申请证书。
选择systemadministration下的localcertificates,点击add,选中,点击next,如下图:
输入所申请证书的所在路径,点击finish,完成实例证书添加,如下图:
3.4AAACLIENT(TACACS)添加
选择networkresources下的NetworkdevicesandAAAclients,点击create,新建一个AAAclient,如下图所示:
Name输入设备名,IP地址需要输入设备nas地址,选择TACACS+,输入sharedsecret,点击submit,完成AAAClient添加,如下图所示:
3.5AAACLIENT(RADIUS)添加
选择networkresources下的NetworkdevicesandAAAclients,点击create,新建一个AAAclient,如下图所示:
Name输入设备名,IP地址需要输入设备nas地址,选择RADIUS,输入sharedsecret,点击submit,完成AAAClient添加,如下图所示:
3.6DOT1X
第一步,选择policyelements下的authorizationprofiles,点击create,新建一个授权文件,如下图所示:
第二步,输入一个授权文件名字,点击radiusattributes,如下图所示:
第三步,配置dot1x属性,选择下面的radius属性,如下图所示:
第三步,新建一个访问服务,选择CHAPv2,配置访问服务,授权文件选择刚才新建的dot1x授权文件,点击submit,完成dot1x配置,如下图所示:
3.7动态VLAN下发
动态VLAN下发可以为每个用户赋予一个单独的VLAN权限,当用户使用802.1X登陆时,ACS会自动赋予这个用户一个相应的VLAN,配置如下图所示:
Dot1x的配置请参照上面dot1x配置,这里只需要配置一个授权文件,在访问策略那里调用即可,如下图所示:
3.8第三方设备ACL下发
通过在IETFRADIUSAttriutes中的Filter-Id中输入在第三方设备中建立的ACL的号,建立一个授权文件,在访问策略那里调用即可,如下图所示:
4ACS与第三方集成
4.1ACS与LDAP集成
ACS支持外部数据库映射,将外部数据库的用户集成到ACS上,目前华诚ACS数据库的部署,公司有线用户使用ACS内部数据库,公司将来无线用户可能使用外部数据库LDAP映射过来的账户。
4.1.1ACS与LDAP部署结构
4.1.2ACS与LDAP配置
第一步,点击usersandidentitystores下的LDAP,进入LDAP映射界面,点击create创建一个LDAP映射,如下图:
第二步,在LDAP映射界面输入映射名字,点击serverconnection,输入hostname,port,adminDN,password等相关参数,点击testbindtoserver,进行连接测试,如下图:
第三步,点击directoryorganization,配置以下LDAP参数,输入相关参数后点击submit,完成LDAP数据库映射,如下图:
LDAP映射需要输入的参数:
Subjectobjectclass
Groupobjectclass
Subjectnameattribute
Groupmapattribute
Subjectsearchbase
Groupsearchbase
4.2ACS与AD集成
4.2.1ACS与AD部署结构
4.2.2ACS与AD配置
ACS支持微软的AD数据库映射,目前华诚部署有这种数据库映射,以下配置是测试配置。
具体配置需要在现网环境中去做调试
第一步,点击usersandidentitystores下的ActiveDirectory,进入AD映射界面,如下图:
第二步,在AD映射界面,输入域名,域控制器用户名及密码,点击submit,完成AD映射,如果映射不成功,检查ACS和AD时间是否同步,时间如果不一致,会导致ACS和AD映射不成功,如下图:
5用户管理
5.1创建用户
选择usersandidentitystores下的users,点击create,创建一个用户,如下图:
在用户界面输入用户名密码,选择用户所在的组,点击submit,完成用户创建,如下图所示:
5.2注销用户
注销用户时,选择usersandidentitystores下的users,选中要注销的用户,点击edit,在status那选择disabled,点击submit,完成用户注销,如下图所示:
5.3用户更改登录密码
修改用户登录密码时,选择usersandidentitystores下的users,选中要修改密码的用户,点击changepassword,输入新的password,点击submit完成密码修改,如下图所示:
6有线访问策略配置
6.1配置访问服务
选择accesspolicies下的accessservices,点击create创建一个访问服务,如下图所示:
进入访问服务配置界面,输入服务名,选择servicetype,点击next,如下图所示:
选择允许的协议,点击finish,完成访问服务创建,如下图所示:
6.2配置访问策略
配置访问策略之前首先要调用刚才创建的访问服务,这样才能激活服务,否则刚创建的服务是disabled的,选择serviceselectionrules,点击create,创建一个rule,如下图所示:
进入rule以后,在results选择刚创建的访问服务,激活访问服务,如下图所示:
选择accesspolicies下的identity,身份源选择internalusers,点击savechanges,如下图所示:
配置完身份源之后,选择authorization,点击create,新建一天访问规则,如下图所示:
进入规则配置界面后,选择匹配规则,这里有很多匹配条件,大家可以自己组合,最后选择authorizationprofiles,点击ok,完成访问策略配置,如下图所示:
7ACS配置备份与恢复
选择monitoringandreports下的launchmonitoring&reportviewer,进入monitoring页面,如下图所示:
在monitoring页面,选择monitoringconfiguration下的removalandbackup,如下图所示:
备份方式可以选择定时备份也可以选择立即备份,我们这里选择立即备份,点击backupnow,完成配置备份,如下图:
配置恢复时选择m
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 人寿 ACS 管理 手册