Sécurité : Détecteurs de la gamme Cisco IPS 4200

IPS 7.X : Authentification d'ouverture de session utilisateur utilisant ACS 5.X comme exemple de configuration du serveur RADIUS

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit des informations sur la façon dont configurer le Système de protection contre les intrusions Cisco (IPS) pour l'authentification d'ouverture de session utilisateur utilisant un serveur de RAYON. ACS est utilisé en tant que serveur de RAYON.

Conditions préalables

Conditions requises

Ce document suppose que le Système de protection contre les intrusions Cisco (IPS) est complètement opérationnel et configuré pour permettre au Manager Express de Système de protection contre les intrusions Cisco (IME) ou au CLI pour apporter des modifications de configuration. En plus de l'authentification locale d'AAA, vous pouvez maintenant configurer des serveurs de RAYON pour exécuter l'authentification de l'utilisateur de capteur. La capacité de configurer l'IPS pour utiliser l'authentification d'AAA RADIUS pour des comptes utilisateurs, qui facilite l'exécution de grands déploiements IPS, est disponible dans le Système de protection contre les intrusions Cisco 7.0(4)E4 et plus tard.

Remarque: Il n'y a aucune option d'activer la comptabilité sur l'IPS. Il y a support d'authentification de RAYON dans IPS 7.04, mais TACACS ou autorisation ou comptabilité ne sont pas pris en charge.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 7.0(4)E4 et ultérieures de Système de protection contre les intrusions Cisco

  • Version 7.1(1) et ultérieures de Manager Express de système de prévention des intrusions

  • Cisco Secure Access Control Server 5.x

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Configurez l'IPS pour l'authentification du serveur ACS utilisant IME

Terminez-vous ces étapes afin d'ajouter l'IPS à IME et puis configurer l'IPS pour l'authentification du serveur ACS :

  1. Choisissez à la maison > les périphériques > la liste de périphériques > ajoutent afin d'ajouter un IPS à l'IME.

    acs-ips-01.gif

  2. Terminez-vous les champs dans la fenêtre de périphérique d'ajouter, comme affiché ici, afin de fournir les détails au sujet de l'IPS. Le nom de capteur utilisé ici est IPS. Cliquez sur OK.

    /image/gif/paws/112974/acs-ips-02.gif

  3. Clic oui afin de recevoir le certificat et continuer la connexion de https au capteur. Vous devez recevoir le certificat afin de se connecter à et accéder au capteur.

    acs-ips-03.gif

    L'IPS nommé par IPS est ajouté au Manager Express de système de prévention des intrusions (IME).

    acs-ips-04.gif

  4. Choisissez la configuration > l'IPS > le capteur installé > authentification, et terminez-vous ces étapes :

    1. Cliquez sur la case d'option de serveur de RAYON afin de sélectionner le serveur de RAYON comme périphérique authentifiant.

    2. Fournissez les paramètres d'authentification de RAYON, comme affiché.

    3. Choisissez les gens du pays et le RAYON comme authentification de console, de sorte que l'authentification locale soit utilisée quand le serveur de RAYON n'est pas disponible.

    4. Cliquez sur Apply.

      /image/gif/paws/112974/acs-ips-05.gif

Configurez ACS en tant que serveur de RAYON

Terminez-vous ces étapes afin de configurer l'ACS en tant que serveur de RAYON :

  1. Choisissez les ressources de réseau > les périphériques de réseau et les clients d'AAA, et le clic créent afin d'ajouter l'IPS au serveur ACS.

    acs-ips-06.gif

  2. Fournissez l'information requise au sujet du client (l'IPS est le client ici), et cliquez sur Submit. Ceci permet à l'IPS d'obtenir ajouté au serveur ACS. Les détails incluent l'adresse IP de l'IPS et des petits groupes de serveur de RAYON.

    acs-ips-07.gif

  3. Choisissez les utilisateurs et l'identité enregistre > identité interne enregistre > des utilisateurs, et le clic créent afin de créer un nouvel utilisateur.

    acs-ips-08.gif

  4. Fournissez les informations de nom et de mot de passe. Quand vous terminez, cliquez sur Submit.

    acs-ips-09.gif

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Essayez de se connecter dans l'IPS avec l'utilisateur de création récente. Une fois que l'utilisateur est authentifié, vérifiez l'état sur ACS.

acs-ips-10.gif

Cliquez sur l'Authentification-RAYON-Aujourd'hui afin de visualiser l'état en cours.

acs-ips-12.gif

Cette image prouve que l'utilisateur connecté à l'IPS est authentifié par le serveur ACS.

acs-ips-13.gif

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 112974