Cisco的ACS服务器可以提供完善AAA服务,包括认证、授权和记账的功能。但价格较高,不适合中小企业使用。我们可以使用windows IAS和域控制器来提供AAA中的认证功能,通过域用户和密码来管理网络设备,避免了更新设备密码的麻烦。
1)cisco设备配置
aaa new-model
aaa authentication login test group radius local
radius-server host x.x.x.x key cisco #x.x.x.x是windows IAS服务器地址
radius-server source-ports 1645-1646
radius-server directed-request
user cisco pri 15 password cisco
line vty 0 4
pri level 15
loging authentication test
2)windows IAS服务器配置
在windows administrative tools中选择internet authentication service,右键单击radius clients添加网络设备的ip和key。
在Remote Access Policies, 右键单击 Connections to Other Access Servers, and select
Properties,将允许登陆网络设备的用户添加到policy condition框中,确保选中下面的Grant Remote Access Permissions。
点击Edit Profile,在Authentication页面中选中Unencrypted authentication (PAP, SPAP), MS?CHAP,和 MS?CHAP?v2,在Encryption页面中选中No Encryption。
3)验证认证服务功能
使用域用户和密码登陆网络设备,确认上述配置是否生效。
参考资料:http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806de37e.shtml