Este documento fornece informações sobre como configurar o Cisco Intrusion Prevention System (IPS) para autenticação de login do usuário usando um servidor RADIUS. O ACS é usado como o servidor RADIUS.
Este documento pressupõe que o Cisco Intrusion Prevention System (IPS) esteja totalmente operacional e configurado para permitir que o Cisco Intrusion Prevention System Manager Express (IME) ou a CLI façam alterações na configuração. Além da autenticação AAA local, agora você pode configurar servidores RADIUS para executar a autenticação de usuário do sensor. A capacidade de configurar o IPS para usar autenticação AAA RADIUS para contas de usuário, que ajuda na operação de grandes implantações de IPS, está disponível no Cisco Intrusion Prevention System 7.0(4)E4 e posterior.
Observação: não há opção para habilitar a Contabilidade no IPS. Há suporte à autenticação RADIUS no IPS 7.04, mas TACACS, Autorização ou Contabilização não são suportados.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco Intrusion Prevention System versão 7.0(4)E4 e posterior
Intrusion Prevention System Manager Express Versão 7.1(1) e posterior
Servidor de Controle de Acesso Seguro 5.x da Cisco
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Conclua estas etapas para adicionar o IPS ao IME e depois configurar o IPS para autenticação a partir do servidor ACS:
Escolha Home > Devices > Device List > Add para adicionar um IPS ao IME.
Preencha os campos na janela Add Device, como mostrado aqui, para fornecer os detalhes sobre o IPS. O nome do sensor usado aqui é IPS. Click OK.
Clique em Yes para aceitar o certificado e continuar a conexão https com o sensor. Você deve aceitar o certificado para se conectar e acessar o sensor.
O IPS chamado IPS é adicionado ao IME (Gerenciador do Sistema de Prevenção de Intrusão).
Escolha Configuration > IPS > Sensor Setup > Authentication e conclua estas etapas:
Clique no botão de opção RADIUS Server para selecionar o RADIUS Server como o dispositivo de autenticação.
Forneça os parâmetros de Autenticação RADIUS, como mostrado.
Escolha Local e RADIUS como a Autenticação de Console, para que a autenticação local seja usada quando o Servidor RADIUS não estiver disponível.
Clique em Apply.
Conclua estas etapas para configurar o ACS como um servidor RADIUS:
Selecione Network Resources > Network Devices and AAA Clients e clique em Create para adicionar o IPS ao servidor ACS.
Forneça as informações necessárias sobre o cliente (o IPS é o cliente aqui) e clique em Enviar. Isso permite que o IPS seja adicionado ao servidor ACS. Os detalhes incluem o endereço IP do IPS e os detalhes do servidor RADIUS.
Escolha Users and Identity stores > Internal Identity Stores > Users e clique em Create para criar um novo usuário.
Forneça as informações de Nome e Senha. Quando terminar, clique em Enviar.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Tente fazer login no IPS com o usuário recém-criado. Depois que o usuário for autenticado, verifique o relatório no ACS.
Clique em Authentications-RADIUS-Today para exibir o relatório atual.
Esta imagem mostra que o usuário que se conecta ao IPS é autenticado pelo servidor ACS.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
03-May-2011 |
Versão inicial |