このドキュメントでは、RADIUSサーバを使用したユーザログイン認証用にCisco Intrusion Prevention System(IPS)を設定する方法について説明します。ACS は RADIUS サーバとして使用されます。
このドキュメントでは、Cisco Intrusion Prevention System(IPS;侵入防御システム)が完全に動作していて、Cisco Intrusion Prevention System Manager Express(IME)またはCLIで設定を変更できるように設定されていることを前提としています。ローカルAAA認証に加えて、センサーユーザ認証を実行するようにRADIUSサーバを設定できるようになりました。ユーザアカウントにAAA RADIUS認証を使用するようにIPSを設定する機能は、大規模なIPS導入の運用を支援し、Cisco Intrusion Prevention System(IPS;侵入防御システム)7.0(4)E4以降で使用できます。
注:IPSでアカウンティングを有効にするオプションはありません。IPS 7.04ではRADIUS認証がサポートされていますが、TACACSまたは許可またはアカウンティングはサポートされていません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco Intrusion Prevention Systemバージョン7.0(4)E4以降
Intrusion Prevention System Manager Expressバージョン7.1(1)以降
Cisco Secure Access Control Server 5.x
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
IMEにIPSを追加し、ACSサーバからの認証用にIPSを設定するには、次の手順を実行します。
Home > Devices > Device List > Addの順に選択し、IMEにIPSを追加します。
次に示すように、Add Deviceウィンドウのフィールドを入力して、IPSに関する詳細を指定します。ここで使用するセンサー名はIPSです。[OK] をクリックします。
証明書を受け入れて、センサーへのhttps接続を続行するには、Yesをクリックします。センサーに接続してアクセスするには、証明書に同意する必要があります。
IPSという名前のIPSがIntrusion Prevention System Manager Express(IME)に追加されます。
Configuration > IPS > Sensor Setup > Authenticationの順に選択し、次の手順を実行します。
RADIUS Serverオプションボタンをクリックして、RADIUSサーバを認証デバイスとして選択します。
次に示すように、RADIUS認証パラメータを指定します。
コンソール認証としてLocal and RADIUSを選択し、RADIUSサーバが使用できないときにローカル認証が使用されるようにします。
[APPLY] をクリックします。
ACSをRADIUSサーバとして設定するには、次の手順を実行します。
ACSサーバにIPSを追加するには、Network Resources > Network Devices and AAA Clientsの順に選択し、Createをクリックします。
クライアント(ここではIPSがクライアント)に関する必要な情報を入力し、Submitをクリックします。これにより、IPSがACSサーバに追加されます。詳細には、IPSのIPアドレスとRADIUSサーバの詳細が含まれます。
Users and Identity stores > Internal Identity Stores > Usersの順に選択し、Createをクリックして新しいユーザを作成します。
名前とパスワードの情報を入力します。終了したら、[Submit] をクリックします。
このセクションでは、設定が正常に動作していることを確認します。
新しく作成したユーザでIPSへのログインを試みます。ユーザが認証されたら、ACSのレポートを確認します。
Authentications-RADIUS-Todayをクリックして、現在のレポートを表示します。
次の図は、IPSに接続するユーザがACSサーバによって認証されていることを示しています。
Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。
現在、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
03-May-2011 |
初版 |