cisco ACS 配置

不要那个ACS服务器上的安装，要cisco交换机上面得配置文件最好把每条命令注释也写上，谁有我追加100分。

　　Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器，下面以Cisco ACS与Windows 2000 的Active Directory集成为例，介绍一下配置步骤：
　　
　　1． 配置Cisco 5350，和其他Router成为 ACS的AAA Client
　　
　　Network Configuration----?输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
　　
　　2. 配置用户名/口令数据库
　　
　　Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit.
　　
　　External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
　　
　　3．配置ACS group mapping, 以配置授权
　　
　　由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows Active directory的组映射。
　　
　　External User Database----〉database configuration-----? windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
　　
　　External User Database----〉database group mapping-----〉windows nt/2000---?domain ,local-?
　　
　　Add mapping----?Windows users group, Cisco acs group group1-----? sumit
　　
　　4．Cisco 5350和Router的配置
　　
　　对于Router,配置ACS认证，授权。
　　
　　配置一个本地的用户名/口令，防止在ACS认证失败后，使用此用户名/口令。
　　Router#username localusr pass usrpass
　　Router#config terminal
　　
　　配置ACS认证
　　Router(config)#aaa new-model
　　Router(config)#aaa authentication login vty-login group tacacs local
　　
　　配置ACS授权
　　Router(config)#aaa authorization exec exec-vty group tacacs
　　
　　指定ACS Server地址
　　Router(config)#tacacs host acsipaddress key Cisco
　　
　　应用到VTY上
　　Router(config)# line vty 0 4
　　Router(config-line)#login authentication vty-login
　　Router(config-line)#authorization exec exec-vty
　　
　　对于Cisco 5350 访问服务器，除了上述步骤外，还需增加如下步骤　　　Router#aaa authentication ppp default group tacacs local