本文記錄利用Cisco Secure ACS服務器為VPN3000提供AAA服務的設置方法: 概述: Cisco Secure ACS是一種AAA服務器。所謂AAA,是指: AAA服務器和NAS之間也可以通過TACACS+(TCP 49)協議來通訊。Cisco Secure ACS(Access Control Server)支持Radius和TACACS+協議。Cisco VPN3030只支持Radius協議。必須要注意的是Radius是非標準的協議,每個廠家都有各自不同的實現方法,所以對不同的NAS還必需進行協議的定制。在ACS中已經為多種設備定制了 Radius協議,如Radius(IOS Devices) Radius(VPN3000)和Radius(Microsoft)等等。 通過引入AAA服務器,可以: 一.ACS安裝: 系統需求:PII300 以上CPU/256M內存/Windows 2000 Server 英文版(不安裝SP) 使用ACS光盤上的Install程序交互完成安裝。主要選項為: 完成安裝后,通過web界面管理ACS,地址為:http://127.0.0.1:2002(或真實IP),注意在本機上管理時無需登錄。 二.ACS配置:
認證(authentication):當NAS(Network Access Server網絡訪問服務器)收到一個用戶認證的請求,它把有關信息通過UDP 1645發給Radius服務器,服務器檢查用戶數據庫確定是否為授權用戶,如果是,則給NAS返回驗證通過的信息。(參考:RFC 2058)
記帳(accounting): 如果需要,用戶連接結束后,NAS可以將連接持續的時間、流量等信息發給Radius服務器進行記錄,作為計費參考資料。(參考:RFC 2059)
授權(authorization): 通過Radius服務器還可以限定用戶可以訪問的服務。
1.解決用戶數限制: 例如VPN3030只支持定義500個用戶,用ACS可以支持更多用戶
2.計費:ACS記錄的用戶連接時間,通訊量等信息可作計費資料
3.增強安全性: 可以限定用戶訪問的服務;用戶訪問的日志可用于安全審計
4.方便管理:用戶定義可用于一組設備,無需分別設置和維護
注1:ACS v2.5在安裝了SP的Windows 2000系統上運行有問題,需要v3.0才能解決
注2:可以安裝“用戶自助修改密碼(web)界面”模塊,但該模塊需IIS。不安裝SP的Windows系統上運行IIS有嚴重安全問題,所以本安裝選擇不安裝該模塊和IIS。
1.是否保留現有數據庫: 全新安裝回答“否”;升級安裝回答“是”。
2.是否導入配置:如需導入已保存的配置回答“是”。
3.只使用ACS的用戶數據庫或同時使用Windows系統用戶數據庫:根據需要選擇,本安裝選擇“只使用ACS的用戶數據庫”。
4.“Authenticate Users Using”認證協議:選擇“Radius(Cisco VPN 3000)”。
5.“Access Server Name”訪問服務器名稱:輸入“VPN3030”。
6.“Access Server IP Address”訪問服務器IP地址:輸入“10.1.1.18”。
7.“Windows NT Server IP Address” ACS服務器的IP地址:自動設為“10.1.1.51”(本機地址)。
8.“TACACS+ or RADIUS Key”共享的密匙:輸入“cisco”。
9.選擇要顯示的屬性:全選。
10.“Remedial Action on log-in failure”登錄失敗時的措施:Script to Exec: *Restart ALL
登錄ACS的WEB管理界面:http://10.1.1.51:2002。
檢查網絡配置:選擇Network Configuration,點擊“VPN3030”可檢查或修該安裝過程中對Access Server的定義(參數見上一節)。
檢查接口配置:選擇Interface Configuration,點擊“Radius Cisco VPN 3000”,如需通過ACS設置用戶組的VPN3000專有屬性,請選中各項Group [26] Vendor-Specific屬性,然后可以在組屬性中進行設置。如需設置特定用戶的VPN3000專有屬性,您還需在Interface Configuration / Advanced Options中先選定“Per-User TACACS+/RADIUS Attributes”。一般而言,通過VPN3030中的組屬性頁面管理這些屬性更為方便,推薦使用。某些屬性,如為用戶制定特定的IP地址,并不屬于 VPN3000的專有屬性,因而也無需啟用Vendor-Spec。
