下载文档原格式
1、ACS配置ACS的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下:按照如图1-1所示的方法打开用户添加界面图 1-1用户添加界面打开后如图1-2所示,里面的内容比较复杂,对我们来说最重要的部分是用户名、密码以及用户组,添加用户界面中的项目作用如图1—3:图中标“1”的部分:用户名字段,登录的时候这个就是Username图中标“2”的部分:用户组,之前我们说过ACS的策略权限等的定义都是基于用户组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里图中标“3”的部分:登录密码,登录的时候这个就是password图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码(思科的设备经测试有效)图中标“5"的部分:使能密码,也就是我们常说的enable密码,这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证(暂未测试)图 1-2图 1-3配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。
2、网络设备的配置不同的网络设备配置命令是不一样的,具体的配置需要参考相关设备的配置手册,由于ACS本来就是Cisco的东西,所以Cisco的设备相对来说兼容性是最好的。
2。
1、Cisco设备的配置//AAA服务配置aaa new—model //定义新的AAA实例aaa authentication login MAGIgroup tacacs+ local—case //命名一个名为MAGI的登录认证规则,且如果tacacs+服务不可达,则自动使用本地数据库信息认证aaa authorization exec MAGI grouptacacs+ local //命名一个名为MAGI的特权授权规则,且如果Tacacs+服务不可达,则自动使用本地数据库信息授权tacacs-server host 192。
思科acs使用指南English:CISCO ACS (Access Control System) is a powerful and comprehensive network access control solution that is widely used in enterprises and organizations of all sizes. It provides a secure and efficient way to authenticate, authorize, and account for users and devices trying to connect to a network.CISCO ACS offers a range of features that make it a versatile and valuable tool for network administrators. Firstly, it supports a wide variety of authentication methods, including local database, LDAP, RADIUS, and TACACS+. This flexibility allows organizations to choose the most suitable authentication method for their needs. Additionally, it supports multiple authorization and accounting protocols, ensuring compatibility with different network devices and services.Another key feature of CISCO ACS is its central management and administration capabilities. With a user-friendly web-based interface, administrators can easily configure and manage user access policies,authentication methods, and network devices. This centralized management streamlines the process of managing user access privileges and ensures consistency across the network.Furthermore, CISCO ACS provides robust auditing and reporting features. It keeps detailed logs of all authentication and access events, allowing administrators to track and investigate any suspicious activities. The reporting functionality allows administrators to generate reports on user access patterns, device usage, and other important network statistics. These reports are invaluable for network troubleshooting, capacity planning, and compliance monitoring.Additionally, CISCO ACS integrates seamlessly with other network security solutions. It can be integrated with CISCO Identity Services Engine (ISE) for advanced posture assessment and endpoint profiling. It can also be integrated with CISCO Adaptive Security Appliance (ASA) for advanced firewall and VPN capabilities. These integrations enhance the overall security and control of the network.In conclusion, CISCO ACS is a highly capable network access control solution that provides a secure and efficient way to authenticate, authorize, and account for users and devices. Its extensive features, centralized management, auditing capabilities, and integration options make it a valuable tool for network administrators in ensuring the security and compliance of their networks.中文翻译:思科ACS(Access Control System)是一种功能强大且综合的网络访问控制解决方案,在各类企业和组织中广泛应用。
思科网络设备安全管理方案简介网络设备的安全管理是现代企业中非常重要的一项工作。
思科作为全球领先的网络设备供应商,提供了一系列的网络设备安全管理解决方案。
本文将介绍思科网络设备安全管理的基本原则、主要措施和常见工具。
基本原则在实施思科网络设备安全管理方案之前,我们首先需要明确一些基本原则。
1.身份验证:只有经过身份验证的用户才能获得访问网络设备的权限。
2.防火墙保护:在网络设备与外部网络之间设置防火墙,限制对设备的非授权访问。
3.访问控制:通过实施访问控制列表(ACL)和安全策略,控制对网络设备的访问和行为。
4.漏洞管理:及时修复网络设备中的漏洞,确保设备的安全性。
主要措施1. 设备身份管理思科网络设备安全管理方案的第一步是设备身份管理。
这包括以下几个方面:•设备认证:在设备上配置强密码,并定期更改密码以确保设备的安全。
•设备授权:通过设备授权机制,只允许经过授权的设备连接到网络。
•设备准入控制:使用802.1X等技术,确保只有通过身份验证的设备能够访问网络。
2. 数据加密数据加密是思科网络设备安全管理的关键措施之一。
它可以保护设备与其他设备之间的通信安全,防止数据被未经授权的人员截获和篡改。
思科提供了多种加密协议,如IPSec和SSL/TLS,可以在设备之间建立安全的加密通道。
除了设备之间的通信,思科还提供了对设备上存储的数据进行加密的功能,确保设备在遭到盗窃或非授权访问时不会泄露重要数据。
3. 内容过滤和防病毒为了保护网络设备免受恶意软件和网络攻击的侵害,思科网络设备安全管理方案提供了内容过滤和防病毒功能。
内容过滤技术可以检测和阻止设备上传输的恶意代码和未经授权的应用程序。
思科的网络防火墙设备可以配置内容过滤规则,对入站和出站的数据进行检查。
思科还提供了防病毒功能,可以对设备进行实时的病毒扫描和防护。
通过定期更新病毒库,确保设备能够及时识别和阻止最新的病毒威胁。
4. 安全审计和日志管理安全审计和日志管理是确保网络设备安全管理有效性的重要环节。
Cisco ACS 的一般安装步骤ACS是Cisco出的一个AAA 认证软件,可以对路由器进行用户认证、授权、记账操作。
安装步骤:1.以超级用户登录NT或2000的ACS安装机器2.在CD-ROM中插入ASC的安装光盘3.用鼠标双击Install的图标4.在Software License Agreement 窗口中阅读Software License Agreement并点击ACCEPT按纽。
5.点击Next按纽,进入下一步。
6.选择属于你的网络配置情况的多选框,在点击Next按纽,进入下一步7.如果ACS软件已经在本机上安装了,那么它会提示你是否覆盖还是保存原来的数据选择Yes,keep existing database 按纽,保存数据,不选择该按纽则新建数据库,再点击下一步在进行接下来的安装8.如果发现有原来的ACS的配置文件,安装程序会提示你是否保存,选择后,再点击下一步在进行接下来的安装9.选择安装都默认的路径请点击Next按纽,进入下一步,选择安装都其他路径请点击Browse按纽,选择路径。
10.选择要认证的用户的数据库是以NT的帐户数据库为基础还是独立的ACS的数据库为基础。
选择后进入下一步。
(建议选择独立的ACS数据库)11.如果选择的是以NT的帐户数据库为基础的,还要选择是否对远程访问用户根据NT的用户管理器来进行限制。
进入下一步。
12.完成Authenticate Users Using,Access Server Name,Access Server IP Address,Windows NT Server IP Address,TACACS+ or RADIUS Key等参数的填写,进入下一步13.选择是否打开Interface Configuration window(在安装过程中)(默认为不打开)14.选择是否打开Enable Log-in Monitoring按纽,同时选择报警方式,包括No Remedial Action,Reboot,Restart All,Restart RADIUS/TACACS+,还可以选择通过EMAIL进行报警,(同时要配置EMAIL的SMTP Mail Server和Mail account to notify),点击Next按纽进入下一步。
ACS 5 中文配置管理手册1、ACS登录方式ACS可以通过GUI和CLI两种方式登录,以下介绍均采用GUI方式通过IE浏览器键入https://acs ip address ACS登录方式https://10.232.1.71/2、配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置Location和设备所属类型Device Type规划,这个在将来认证和授权时会用到。
网络资源组>网络设备组NDG下配置位置Location例子网络资源组>网络设备组NDG下配置设备类型Device Type例子配置需要实施认证的设备,包括NCM服务器本身。
网络资源组>网络设备组NDG下配置网络设备和AAA客户端Network Devices and AAA Clients例子以配置设备6509为例,将此设备分配到”北京”站点和”思科”设备组,指定IP地址,选择TACACS+协议,配置TACACS+ KEY,选择single connect device 将所有的TACACS+协议交互信息在单一TCP连接中传输。
以配置北电设备为例,选择RADIUS协议。
3、配置用户和用户组配置身份组别例子,建立办公网运维管理、生产网运维管理、生产网配置监控三个组别创建用户名,密码,分配用户到某个组别中。
4、配置策略元素配置授权和许可策略,其中设备管理包括shell profiles和Command Sets对于客户端接入包括网络接入(Authorization Profiles)和命名的许可对象(Downloadable ACLs)以下是定义一个下载ACL的例子配置ACL-CISCO的例子配置时间段策略元素,可以控制某个时间对设备的访问权限。
创建一个full time 的例子在网络控制条件Network Conditions中定义设备过滤策略元素定义了两个过滤策略元素的例子,一个是基于LOCA TION,一个是基于IP地址。
CISCO网络设备加固手册1. 简介CISCO网络设备是广泛应用的企业级网络设备,其功能强大、性能稳定、安全性高。
然而,网络攻击日益增多,网络设备成为最容易受到攻击的攻击目标之一。
因此,在使用CISCO网络设备时,需要加强设备的安全性,有效防止网络攻击的发生。
本文档介绍了CISCO网络设备的加固方法,旨在帮助企业用户更好地保护其网络安全。
2. 密码设置访问CISCO网络设备需要输入密码。
因此,密码设置是网络安全的第一步,以下是密码设置的建议:•禁止使用简单的密码,如生日、电话号码等。
•密码长度应为8位以上,并包含大写字母、小写字母、数字和特殊字符。
•定期更换密码,建议每三个月更换一次。
•不要在多个设备上使用相同的密码。
3. 访问控制访问控制是网络安全的关键,它可以限制从外部访问网络设备的地址和端口。
以下是访问控制的建议:•禁止所有不必要的端口访问,只开放必要的端口。
•对于开放的端口,应该限制访问源地址和目的地址,并限制可访问的用户。
•对于ssh、telnet等协议,应该采用加密方式传输。
4. 防火墙防火墙是网络安全的重要组成部分,它可以帮助用户保护其网络设备和数据免受攻击。
以下是防火墙的建议:•配置ACL来限制来自互联网的流量。
•禁止来自未知或未信任IP地址的访问。
•禁用不必要的服务。
5. 授权管理授权管理是配置和管理网络设备的关键,可以实现对网络设备的安全控制。
以下是授权管理的建议:•禁止使用默认帐户和密码,如cisco/cisco等。
•为每个用户分配独立的帐户和密码。
•限制每个用户的访问权限,仅限其访问必要的配置。
6. 系统日志系统日志可以记录网络设备上发生的重要事件,如登录、配置更改、错误等。
以下是系统日志的建议:•配置日志服务器,将系统日志发送到远程服务器上,以便进行分析和查看。
•配置日志级别,仅记录重要的事件。
•定期检查日志,查找异常事件。
7. 漏洞修复CISCO网络设备可能存在某些漏洞,这些漏洞可能会被黑客利用,因此需要及时修复。
Cisco ACS4.1基本配置手册1、ACS的基本设置在ACS服务器或远程PC上,IE浏览器URL中输入:http://acs服务器ip:2002可以进去ACS的配置界面,总的ACS界面如下图所示:图1-1deretsigeRnU1.1ACS软件基本选项设置1.1.1设置ACS4.1管理员帐号为了防止未经授权的人员配置ACS服务器,我们首先建立管理ACS的人员的帐号和密码,建立方式如下:(1) 进入ACS 管理控制栏目中,并点击右边ADD Administrator 选项: 图1-2(2) 输入管理员帐号密码,并点击Grant all 选项授予所有权限,最后Submit 提交一下:图1-3Un Re gi st er ed这样ACS 管理员帐号和密码就设置好了,下次通过远程登入ACS 界面系统就会提示需要提供管理员帐号和密码。
为了安全起见,可以考虑把ACS 网页超时时间设置的短一些,设置方法如下: (1) 点击图中的Seeeion Policy 选项,图1-4(2) 修改默认的idle timeout 时间,改成15min图1-5U n Re gi st er ed1.1.2 Log 信息的设置我们可以对ACS 对log 记录的默认设置进行一些修改,修改的步骤如下所示: (1) 进入ACS 的system configuration 栏目,并点击Service Contorl 选项: 图1-6(2) 对默认的LOG 记录选项按下图方式进行修改完后,点击Restart:图1-7U n R e gi st er ed1.1.3 高级用户选项设置为了ACS 用户属性等后续的设置需求,需要先把一些ACS 的高级用户选项开启一下:(1) 点击ACS 的Interface Configuration 栏目,可以看到右边有User DataConfiguration 和Advanced Options 这两个选项,如下图: 图1-8(2) 需要首先添加一个TACACS+属性的设备,这样上图中才会增加出另外一个TACACS+ (Cisco IOS)的选项。
Cisco ACS5
简介
Cisco ACS是一个集中式的网络访问控制和授权解决方案。
本手册旨在帮助管理员了解ACS 5.8的基本功能和如何配置和管理ACS。
功能
- 提供对用户和设备的身份验证和授权
- 支持多个身份验证协议,如LDAP,RADIUS, TACACS +等- 能够执行自定义策略,以确保网络安全性和合规性
- 提供基于角色的访问控制以及细粒度的访问控制规则
- 能够对网络资源进行限制和优先级排序
- 自动化网络访问控制过程
- 提供详细的监控和报告功能
系统要求
- 硬件要求:最少2核心处理器,4GB RAM和80GB硬盘空间- 软件要求:安装Java Runtime Environment(JRE)8或更高版本
安装
- 运行安装程序并按照安装向导进行操作。
配置
- 配置系统设置
- 配置外部身份验证源
- 配置网络设备
- 配置访问策略
管理
- 管理用户和角色
- 监视和审计
- 创建和调度报告
- 执行备份和恢复
常见问题解决方案
- ACS 5.8无法启动:请确保Java版本正确,并确保系统满足最小硬件要求
- 没有发现设备:请确保设备已正确配置ACS,并且ACS和设备之间的网络通信正常
- 文件上传失败:请确保文件大小不超过80GB,并且服务器上有足够的可用空间。
结论
本手册提供了ACS 5.8的基本信息和如何配置和管理ACS的指南。
管理员应该能够使用这些信息来成功地部署和维护ACS系统,以满足其组织的网络安全需求。
思科ACS网络设备安全管理方案一、网络设备安全管理需求概述就北京中行网络布局来看,网络的基础设施现包含几百个网络设备。
在网络上支撑的业务日益关键,对网络安全和可靠性要求更为严格。
可以预测的是,大型网络管理需要多种网络管理工具协调工作,不同的网络管理协议、工具和技术将各尽其力,同时发挥着应有的作用。
比如:对于Telnet 网络管理手段。
有些人可能会认为,今后这些传统的设备管理手段,会减少使用甚或完全消失。
但实际上,Telnet命令行设备管理仍因其速度、强大功能、熟悉程度和方便性而广受欢迎。
尽管其他网络设备管理方式中有先进之处,基于Telnet的管理在未来依然会是一种常用管理方式。
随着BOC网络设备数量的增加,为维持网络运作所需的管理员数目也会随之增加。
这些管理员隶属于不同级别的部门,系统管理员结构也比较复杂。
网络管理部门现在开始了解,如果没有一个机制来建立整体网络管理系统,以控制哪些管理员能对哪些设备执行哪些命令,网络基础设施的安全性和可靠性问题是无法避免的。
二、设备安全管理解决之道建立网络设备安全管理的首要出发点是定义和规划设备管理范围, 从这一点我门又可以发现,网络设备安全管理的重点是定义设备操作和管理权限。
对于新增加的管理员,我们并不需要对个体用户进行权限分配,而是通过分配到相应的组中,继承用户组的权限定义。
通过上面的例子,我们可以发现网络安全管理的核心问题就是定义以下三个概念:设备组、命令组和用户组。
设备组规划了设备管理范围;命令组制定了操作权限;用户组定义了管理员集合。
根据BOC的设备管理计划,将它们组合在一起,构成BOC所需要的设备安全管理结构。
安全设备管理包括身份验证Authentication、授权Authorization和记帐Accounting三个方面的内容。
例如:管理员需要通过远程Login或是本地Login 到目标设备,能否进入到设备上,首先要通过严格的身份认证;通过身份验证的管理员能否执行相应的命令,要通过检查该管理员的操作权限;管理员在设备上的操作过程,可以通过记帐方式记录在案。
AAA的应用大大简化了大型网络复杂的安全管理问题,提高了设备集中控制强度。
目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。
Cisco Secure ACS 3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的TCP/IP协议及实用程序,来构建可扩展的网络设备安全管理系统。
三、Cisco ACS帮助BOC实现设备安全管理熟悉Cisco IOS的用户知道,在IOS软件中,定义了16个级别权限,即从0到15。
在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。
为改变缺省特权级别,您必须运行enable启用命令,提供用户的enable password和请求的新特权级别。
如果口令正确,即可授予新特权级别。
请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。
超级管理员可以在事先每台设备上定义新的操作命令权限。
例如:可修改这些级别并定义新级别,如图1所示。
图1 启用命令特权级别示例当值班的管理员enable 10之后,该管理员仅仅拥有在级别10规定之下的授权命令集合,其可以执行clear line、debug PPP等命令。
这种方式是“分散”特权级别授权控制。
这种应用方式要求在所有设备都要执行类似同样的配置,这样同一个管理员才拥有同样的设备操作权限,这显然会增加超级管理员的工作负担。
为解决这种设备安全管理的局限性,Cisco ACS提出了可扩展的管理方式---“集中”特权级别授权控制,Cisco ACS通过启用TACACS+,就可从中央位置提供特权级别授权控制。
TACACS+服务器通常允许各不同的管理员有自己的启用口令并获得特定特权级别。
下面探讨如何利用Cisco ACS实现设备组、命令集、用户组的定义与关联。
3.1 设备组定义根据北京行的网络结构,我们试定义以下设备组:(待定)交换机组---包含总行大楼的楼层交换机Cisco65/45;试定义以下设备组:(待定)交换机组---Cisco Catalyst6500或Catalyst4xxx(待定)网络设备组---Cisco28113.2 Shell授权命令集(Shell Authorization Command Sets)定义壳式授权命令集可实现命令授权的共享,即不同用户或组共享相同的命令集。
如图2所示,Cisco Secure ACS图形用户界面(GUI)可独立定义命令授权集。
图2 壳式命令授权集GUI命令集会被赋予一个名称,此名称可用于用户或组设置的命令集。
基于职责的授权(Role-based Authorization)命令集可被理解为职责定义。
实际上它定义授予的命令并由此定义可能采取的任务类型。
如果命令集围绕BOC内部不同的网络管理职责定义,用户或组可共享它们。
当与每个网络设备组授权相结合时,用户可为不同的设备组分配不同职责。
BOC网络设备安全管理的命令集,可以试定义如下:超级用户命令组---具有IOS第15特权级别用户,他/她可以执行所有的配置configure、show和Troubleshooting命令;故障诊断命令组---具有所有Ping、Trace命令、show命令和debug命令,以及简单的配置命令;网络操作员命令组---具有简单的Troubleshooting命令和针对特别功能的客户定制命令;3.3 用户组定义(草案)用户组的定义要根据BOC网络管理人员的分工组织构成来确定,可以试定义如下:运行管理组---负责管理控制大楼网络楼层设备,同时监控BOC骨干网络设备。
人员包括分行网络管理处的成员;操作维护组---对于负责日常网络维护工作的网络操作员,他们属于该组。
3.4 设备安全管理实现完成了设备组、命令组和用户组的定义之后,接下来的工作是在用户组的定义中,将设备组和命令组对应起来。
TACAS+要求AAA的Clients配置相应的AAA命令,这样凡是通过远程或本地接入到目标设备的用户都要通过严格的授权,然后TACAS+根据用户组定义的权限严格考察管理员所输入的命令。
四、TACAS+的审计跟踪功能由于管理人员的不规范操作,可能会导致设备接口的down,或是路由协议的reset,或许更严重的设备reload。
所以设备操作审计功能是必须的。
我们可以在网络相对集中的地方设立一个中央审计点,即是可以有一个中央点来记录所有网络管理活动。
这包括那些成功授权和那些未能成功授权的命令。
可用以下三个报告来跟踪用户的整个管理进程。
•TACACS+记帐报告可记录管理进程的起始和结束。
在AAA客户机上必须启动记帐功能;•TACACS+管理报告记录了设备上发出的所有成功授权命令;在AAA客户机上必须启动记帐功能;•尝试失败报告记录了设备的所有失败登录尝试和设备的所有失败命令授权;在AAA客户机上必须启动记帐功能;。
图4 审计示例——登录当管理员在某一设备上开始一个新管理进程时,它就被记录在TACACS+记帐报告中。
当管理进程结束时,也创建一个数值。
Acct-Flags字段可区分这两个事件。
图5 审计示例——计帐报告节选 [按文本给出]当管理员获得对设备的接入,所有成功执行的命令都作为TACACS+记帐请求送至TACACS+服务器。
TACACS+服务器随后会将这些记帐请求记录在TACACS+管理报告中。
图6为管理进程示例。
图6 审计示例——记帐请求图7 中显示的TACACS+管理报告节选以时间顺序列出了用户在特定设备上成功执行的所有命令。
图7 审计示例——管理报告节选注:本报告仅包含成功授权和执行的命令。
它不包括含排字错误或未授权命令的命令行。
在图8显示的示例中,用户从执行某些授权命令开始,然后就试图执行用户未获得授权的命令(配置终端)。
图8 审计示例——未授权请求图8 为TACACS+管理报告节选,具体说明了用户andy在网关机上执行的命令。
图9 审计示例——管理报告节选当Andy试图改变网关机器的配置,TACACS+服务器不给予授权,且此试图记录在失败试图报告中(图10)。
图10 审计示例——失败试图报告节选提示:如果失败试图报告中包括网络设备组和设备命令集栏,您可轻松确定用户andy为何被拒绝使用配置命令。
这三个报告结合起来提供了已试图和已授权的所有管理活动的完整记录。
五、Cisco ACS在北京中行网络中的配置方案在各个分行中心配置两台ACS服务器(数据库同步,保证配置冗余),由个分行控制和管内所辖的网络设备。
我们建议Cisco ACS安装在网络Firewall保护的区域。
参见下图:六、TACAS+与RADIUS协议比较网络设备安全管理要求的管理协议首先必须是安全的。
RADIUS验证管理员身份过程中使用的是明文格式,而TACAS使用的是密文格式,所以TACAS可以抵御Sniffer的窃听。
TACAS使用TCP传输协议,RADIUS使用UDP传输协议,当AAA的客户端和服务器端之间有low speed的链接时,TCP机制可以保证数据的可靠传输,而UDP 传输没有保证。
TACAS和RADIUS都是IETF的标准化协议,Cisco在TACAS基础上开发了TACAS 增强型协议---TACAS+,所以Cisco ACS可以同时支持TACAS+和RADIUS认证协议。
RADIUS对授权Authorization和记帐Accounting功能有限,而Cisco的TACAS+的授权能力非常强,上面介绍的RBAC(基于职责的授权控制)是TACAS+所特有的。
同时TACAS+的记帐内容可以通过管理员制定AV值,来客户花客户所需要的记帐报告。
在BOC这样复杂的网络环境,我们建议启动Cisco ACS的TACAS+和RADIUS服务。
对于Cisco的网络设备,我们强烈加以采用TACAS+ AAA协议;对于非Cisco网络设备,建议使用RADIUS协议。
七、Cisco ACS其它应用环境除了设备安全管理使用AAA认证之外,我们还可以在RAS---远程访问接入服务、VPN接入安全认证控制、PIX防火墙In/Out控制、有线/无线LAN的802.1x 安全接入认证、VOIP记帐服务等领域使用Cisco ACS。
Cisco ACS可以结合第三方数据库比如Sybase、Oracle和Microsoft NT Domain Database、Microsoft SQL。
同时Cisco ACS支持与OTP---One-time-password集成,为用户提供更为安全的身份认证方式,该功能在数据中心有应用实例。
