acs服务器 程序启动失败连接acs什么意思

大家好，感谢邀请，今天来为大家分享一下acs服务器的问题，以及和程序启动失败连接acs什么意思的一些困惑，大家要是还不太明白的话，也没有关系，因为接下来将为大家分享，希望可以帮助到大家，解决大家的问题，下面就开始吧！

一、ACSACS:思科安全访问控制服务器

Cisco Secure Aess Control Server(ACS)是一款专为强化企业网络访问安全设计的高*能服务器。作为思科基于身份的网络服务（IBNS）架构的核心组件，它整合了身份验证、用户接入管理和策略控制，构建了一个集中式的身份识别网络框架。这样的设计使得企业网络在保持高度灵活*和移动*的同时，提升了安全*，提高了员工的工作效率。

ACS适用于多种接入方式，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙以及VPN，提供了全面的接入连接类型支持。通过它，企业能够有效地集中控制用户通过不同方式登录网络，实现个*化权限设置，记录和审查安全日志，以及管理配置管理员的访问权限和控制指令。对于Airo设备，ACS还支持虚拟VSA的密钥重置功能，确保服务器权限的安全以及加密通信。

动态端口分配功能进一步简化了防火墙接入和控制，使得网络管理更为便捷。此外，ACS还提供统一的用户AAA（Authentication, Authorization, and Aounting，认证、授权和计费）服务，整合了认证、授权和计费流程，为企业的网络管理带来了极大的便利*和安全*。

二、服务器怎么设置用户

置RADIUS服务器

找到一篇关于在Linux上搭建RADIUS服务器的文章

请笑纳:

Linux上构建一个RADIUS服务器详解

为一名网络管理员，您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户，具体来说是通过一个LDAP服务器进行验证，可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息，从而既可以减少用户管理上的管理开销，又可以使远程登录过程更加安全。

数据安全作为现代系统中网络安全的一部分，与系统安全一样的重要，所以保护数据--确保提供机密*、完整*和可用*--对管理员来说至关重要。

在本文中，我将谈到数据安全*的机密*方面：确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service服务器（RADIUS），以执行对用户的验证、授权和记帐（AAA）。

各组成元素介绍

首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作，另外还有LDAP协议。

Remote Authentication Dial-In User Service协议是在IET的RFC 2865中定义的（请参阅参考资料获得相关）。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、*机或无线访问点（访问点是网络上专门配置的节点；WAP是无线版本）。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。

RADIUS和AAA

如果NAS收到用户连接请求，它会将它们传递到指定的RADIUS服务器，后者对用户进行验证，并将用户的配置信息返回给NAS。然后，NAS接受或拒绝连接请求。

功能完整的RADIUS服务器可以支持很多不同的用户验证机制，除了LDAP以外，还包括：

PAP（Password Authentication Protocol，密码验证协议，与PPP一起使用，在此机制下，密码以明文形式被发送到客户机进行比较）；

CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议，比PAP更安全，它同时使用用户名和密码）；

本地UNIX/Linux系统密码数据库（/etc/passwd）；

其他本地数据库。

在RADIUS中，验证和授权是组合在一起的。如果发现了用户名，并且密码正确，那么RADIUS服务器将返回一个Aess-Aept响应，其中包括一些参数（属*-值对），以保证对该用户的访问。这些参数是在RADIUS中配置的，包括访问类型、协议类型、用户指定该用户的IP以及一个访问控制列表（ACL）或要在NAS上应用的静态路由，另外还有其他一些值。

RADIUS记帐特*（在RFC 2866中定义；请参阅参考资料获得相关）允许在连接会话的开始和结束发送数据，表明在会话期间使用的可能用于安全或开单（billing）需要的大量资源--例如时间、包和字节。

轻量级目录访问协议

轻量级目录访问协议（Lightweight Directory Aess Protocol，LDAP）是一种开放标准，它定义了用于访问和更新类X.500目录中信息的一种方法。LDAP可用于将用户信息保存在一个中央场所，从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维护和访问信息。

LDAP在一个集中的目录中管理用户，从而简化了用户管理工作。除了存储用户信息外，在LDAP中定义用户还可以使一些可选特*得到启用，例如限制登录的数量。在本文中，您将学习如何配置RADIUS服务器，以便基于LDAP验证用户--由于本文的重点在于RADIUS，我不会描述关于LDAP服务器的安装和配置的细节。

OpenLDAP是LDAP的一种开放源码实现。在OpenLDAP.上可以找到关于它的详细信息（请参阅参考资料获得相关）。

场景

想像以下场景：

用户在家里可以通过拨号验证访问他公司的内部网。

带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。

管理员使用他们的工作站通过管理用户验证以tel或HTTP登录到网络设备。

所有这些验证任务都可以通过一个RADIUS服务器基于一个中央LDAP服务器来完成（见图 1）。

在本文中，我将重点描述对最后一种选项的实现，作为对该解决方案的一个介绍。首先安装RADIUS服务器。

安装 RADIUS

RADIUS服务器软件可以从多个地方获得。在本文中，我将使用FreeRADIUS（请参阅参考资料获得相关），但Cisco Secure Aess Control Server(ACS)是一种集中式用户访问控制框架，可用于跨UNIX和Windows上多个Cisco设备的用户管理，并支持Cisco特有的协议TACACS+（据说在支持TACACS+的设备上可拥有更多的特*）。

FreeRADIUS是来自开放源码社区的一种强大的Linux上的RADIUS服务器，可用于如今的分布式和异构计算环境。FreeRADIUS 1.0.2支持LDAP、MySQL、PostgreSQL和Oracle数据库，并与诸如EAP和Cisco LEAP之类的网络协议兼容。FreeRADIUS目前被部署在很多大型生产网络系统中。

下面的步骤演示如何在Red Hat Enterprise Linux Advanced Server 3.0上安装和测试FreeRADIUS 1.0.2：

清单1安装和测试FreeRADIUS

tar-zxvf freeradius-1.0.2.tar.gz- extract it with gunzip and tar

./configure

make

make install- run this mand as root

radiusd or- start RADIUS server

radiusd-X- start RADIUS server in debug mode

radtest test test localhost 0 testing123- test RADIUS server

如果radtest收到一个响应，则表明FreeRADIUS服务器工作正常。

同时我还推荐另一种免费工具，那就是NTRadPing，它可用于测试来自Windows客户机的验证和授权请求。它可以显示从RADIUS服务器发回的详细的响应，例如属*值。

现在让我们来配置FreeRADIUS。

配置FreeRADIUS

RADIUS服务器的配置包括对服务器、客户机和用户的配置（都是用于验证和授权）。出于不同的需要，对RADIUS服务器可以有不同的配置。幸运的是，大多数配置都是类似的。

*配置服务器

FreeRADIUS配置文件通常位于/etc/raddb文件夹下。首先，我们需要像下面这样修改radiusd.conf文件。

清单2修改radiusd.conf

1) Global settings:

log_auth= yes- log authentication requests to the log file

log_auth_badpass= no- don't log passwords if request rejected

log_auth_goodpass= no- don't log passwords if request aepted

2) LDAP Settings:

modules{

ldap{

server="bluepages.ibm."- the hostname or IP address of the LDAP server

port= 636- encrypted munications

basedn="ou=bluepages,o=ibm."- define the base Distinguished Names(DN),

- under the Organization(O)"ibm.",

- in the Organization Unit(OU)"bluepages"

filter="(mail=%u)"- specify search criteria

base_filter="(objectclass=person)"- specify base search criteria

}

authenticate{- enable authentication against LDAP

Auth-Type LDAP{

ldap

}

参数被设为使用 IBM BluePages，这是LDAP服务的一个实例。对于其他LDAP服务器，参数可能有所不同。

*配置客户机

客户机是在/etc/raddb/clients.conf文件中配置的。有两种方式可用于配置RADIUS客户机。您可以按IP sub将NAS分组（清单 3），或者可以按主机名或 IP列出NAS（清单4）。如果按照第二种方法，可以定义shortname和nastype。

清单3按IP sub将NAS分组

client 192.168.0.0/24{

secret= mysecret1- the"secret" should be the same as configured on NAS

shortname= mylan- the"shortname" can be used for logging

nastype= cisco- the"nastype" is used for checkrad and is optional

}

清单4按主机名或 IP列出 NAS

client 192.168.0.1{

secret= mysecret1

shortname= myserver

nastype= other

}

*为验证而配置用户

文件/etc/raddb/user包含每个用户的验证和配置信息。

清单5/etc/raddb/user文件

1) Authentication type:

Auth-Type:= LDAP- authenticate against LDAP

Auth-Type:= Local, User-Password=="mypasswd"

- authenticate against the

- password set in/etc/raddb/user

Auth-Type:= System- authenticate against the system password file

-/etc/passwd or/etc/shadow

2) Service type:

Service-Type= Login,- for administrative login

*为授权而配置用户

下面的验证服务器属*-值对（*）应该为用户授权而进行配置。在验证被接受后，这个属*-值对被返回给NAS，作为对管理员登录请求的响应。

对于Cisco路由器，有不同的权限级别：

级别1是无特权（non-privileged）。提示符是 router>，这是用于登录的默认级别。

级别15是特权（privileged）。提示符是 router#，这是进入 enable模式后的级别。

级别2到14在默认配置中不使用。

下面的命令可以使一个用户从网络访问服务器登录，并获得对EXEC命令的立即访问：

cisco-*pair="shell:priv-lvl=15"

下面的代码处理相同的任务，这一次是对于Cisco无线访问点：

Cisco:*pair="airo:admin-capability=write+snmp+ident+firmware+admin"

任何功能组合都和这个属*一起返回：

Cisco:*pair="airo:admin-capability=ident+admin"

Cisco:*pair="airo:admin-capability=admin"

请与 Cisco联系，以获得关于这些命令的更多信息。

配置网络访问服务器

接下来我们将配置NAS，首先是配置一个Cisco路由器，然后轮到一个Cisco WAP。

对于Cisco IOS 12.1路由器，我们将启用AAA，然后配置验证、授权和记帐。

清单6启用AAA

aaa new-model

radius-server host 192.168.0.100

radius-server key mysecret1

AAA在路由器上应该被启用。然后，指定能为 NAS提供 AAA服务的 RADIUS服务器的列表。加密密钥用于加密 NAS和 RADIUS服务器之间的数据传输。它必须与 FreeRADIUS上配置的一样。

清单7配置验证

aaa authentication login default group radius local

line vty 0 4

login authentication default

在这个例子中，网络管理员使用 RADIUS验证。如果 RADIUS服务器不可用，则使用 NAS的本地用户数据库密码。

清单8配置授权

aaa authorization exec default group radius if-authenticated

允许用户在登录到 NAS中时运行 EXEC shell。

清单9配置记帐

aaa aounting system default start-stop group radius

aaa aounting work default start-stop group radius

aaa aounting connection default start-stop group radius

aaa aounting exec default stop-only group radius

aaa aounting mands 1 default stop-only group radius

aaa aounting mands 15 default wait-start group radius

必须对路由器进行特别的配置，以使之发送记帐记录到RADIUS服务器。使用清单9中的命令记录关于NAS系统事件、网络连接、输出连接、EXEC操作以及级别1和级别15上的命令的记帐信息。

这样就好了。现在让我们看看为Cisco无线访问点而进行的配置。下面的配置适用于带有Firmware 12.01T1的Cisco 1200 Series AP。如图2中的屏幕快照所示，您：

*输入服务器名或 IP和共享的秘密。

*选择“Radius”作为类型，并选中“User Authentication”。

记帐：工作中的RADIUS

现在所有配置都已经完成，FreeRADIUS服务器可以开始记录NAS发送的所有信息，将该信息存储在/var/log/radius/radius.log文件中，就像这样：

清单10/var/log/radius/radius.log文件

Thu Mar 3 21:37:32 2005: Auth: Login OK: [D*id](from client

mylan port 1 cli 192.168.0.94)

Mon Mar 7 23:39:53 2005: Auth: Login incorrect: [John](from

client mylan port 1 cli 192.168.0.94)

详细的记帐信息被存放在/var/log/radius/radat目录中。清单11表明，D*id在2005年3月4日19:40到19:51这段时间里从 192.168.0.94登录到了路由器192.168.0.1。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大帮助。

清单11 RADIUS提供的记帐细节示例

Fri Mar 4 19:40:12 2005

NAS-IP-Address= 192.168.0.1

NAS-Port= 1

NAS-Port-Type= Virtual

User-Name="D*id"

Calling-Station-Id="192.168.0.94"

At-Status-Type= Start

At-Authentic= RADIUS

Service-Type= NAS-Prompt-User

At-Session-Id="00000026"

At-Delay-Time= 0

Client-IP-Address= 192.168.0.1

At-Unique-Session-Id="913029a52dacb116"

Times*p= 1109936412

Fri Mar 4 19:51:17 2005

NAS-IP-Address= 192.168.0.1

NAS-Port= 1

NAS-Port-Type= Virtual

User-Name="D*id"

Calling-Station-Id="192.168.0.94"

At-Status-Type= Stop

At-Authentic= RADIUS

Service-Type= NAS-Prompt-User

At-Session-Id="00000026"

At-Terminate-Cause= Idle-Timeout

At-Session-Time= 665

At-Delay-Time= 0

Client-IP-Address= 192.168.0.1

At-Unique-Session-Id="913029a52dacb116"

Times*p= 1109937077

结束语

通过遵循本文中列出的简单步骤，您可以建立一个Remote Authentication Dial-In User Service服务器，该服务器使用一个外部的LDAP服务器来处理为网络安全问题而进行的验证、授权和记帐。本文提供了以下内容来帮助您完成此任务：

*对RADIUS和LDAP服务器以及AAA概念的介绍。

*一个融入了安装和配置任务的场景。

*关于安装和配置RADIUS服务器的说明。

*关于配置网络访问服务器的细节。

* RADIUS将提供和管理的详细信息的一个示例。

这些指示可以快速确保受保护的数据只能由Linux系统上已授权的实体访问。

三、借还机acs服务失败

根据查询百度文库，希财网显示，借还机ACS服务失败的原因可能有很多，以下是一些可能的原因：

1.网络连接问题:借还机与ACS服务器之间的网络连接不稳定或者不可用，这可能是由于网络设备故障、网络连接中断、网络信号不稳定等原因引起的。

2.服务器故障:ACS服务器出现故障或停止运行，这可能会导致借还机无法连接到服务器或者无法完成借还操作。

3.借还机故障:借还机本身出现故障或者运行异常，例如借还机的硬件设备故障、软件错误、运行环境问题等。

4.用户身份验证问题:用户在借还机上进行操作时，可能因为输入的账户信息(如校园卡号、密码等错误或者无效，导致借还机无法完成借还操作。

5、数据同步问题:借还机与ACS服务器之间的数据同步出现错误或者延迟，这可能会导致借还机无法正确识别用户的身份或者无法正确记录借还记录。

针对以上问题，可以采取以下一些解决方法：

1.检查网络连接:确保借还机的网络连接正常，并且与ACS服务器之间的网络连接稳定。

2.检查服务器状态:检查ACS服务器的运行状态，确保服务器正常运行。

3.检查借还机状态:检查借还机的硬件设备状态、软件运行情况等，确保借还机正常运行。

4.确认用户信息:提醒用户在输入账户信息时仔细核对、确认信息的正确*。

5.同步数据:检查借还机与服务器之间的数据同步情况，确保数据同步的正确*和及时*

四、程序启动失败连接acs什么意思

是自动配置服务器

在SIP通信里，ACS服务器一般指的是自动配置服务器，一般用于较大规模SIP话机部署方案里，方便配置下发，省的一台一台话机进行信息配置。ACS服务器向你的SIP话机下发配置信息，话机获取配置后再向SIP服务器发起注册。如果ACS连接失败，那话机获取不到配置信息就谈不上成功注册了。

所以，从过程来看话机SIP注册失败的可能故障点有多个需要排查，可能是网络连通有问题，也可能是话机或是ACS配置信息的问题，需要对比排查。建议联系售后查看，会看的人很容易就排除了，不会的人不值当浪费时间去折腾。

五、acs代理接入要求

创建身份识别联网框架。CiscoSecureACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全*。思科安全访问控制服务器是一个高度可扩展、高*能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。