Безопасность : Сенсоры Cisco IPS серии 4200

IPS 7. X : Аутентификация Регистрационной информации пользователя для входа использование ACS 5. X как Пример Конфигурации сервера RADIUS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ предоставляет сведения о том, как настроить систему предотвращения вторжений Cisco (IPS) (IPS) для аутентификации регистрационной информации пользователя для входа использование сервера RADIUS. ACS используется в качестве сервера RADIUS.

Предварительные условия

Требования

Этот документ предполагает, что система предотвращения вторжений Cisco (IPS) (IPS) полностью в рабочем состоянии и настроена, чтобы позволить Cisco Intrusion Prevention System Manager Express (IME) или CLI изменять конфигурацию. В дополнение к локальной аутентификации AAA можно теперь настроить серверы RADIUS для выполнения проверки подлинности пользователя датчика. Возможность настроить IPS для использования аутентификации AAA RADIUS для учетных записей пользователя, которая способствует операции больших развертываний IPS, доступна в системе предотвращения вторжений Cisco (IPS) 7.0 (4) E4 и позже.

Примечание: Нет никакой опции, чтобы позволить Считать на IPS. В IPS 7.04 существует поддержка Проверки подлинности RADIUS, но не поддерживаются TACACS или Авторизация или Учет.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 7.0 (4) E4 Системы предотвращения вторжений Cisco (IPS) и позже

  • Версия 7.1 (1) Intrusion Prevention System Manager Express и позже

  • Сервер Cisco Secure Access Control Server 5. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Настройте IPS для Аутентификации от Сервера ACS с помощью IME

Выполните эти шаги, чтобы добавить IPS к IME и затем настроить IPS для аутентификации от сервера ACS:

  1. Выберите Home> Devices> Device List> Add для добавления IPS к IME.

    acs-ips-01.gif

  2. Завершите поля в Окне устройства Add, как показано здесь, для предоставления подробной информации о IPS. Название датчика, используемое здесь, является IPS. Нажмите кнопку ОК.

    /image/gif/paws/112974/acs-ips-02.gif

  3. Нажмите Yes, чтобы принять сертификат и продолжить подключение HTTPS к датчику. Необходимо принять сертификат, чтобы соединиться с и обратиться к датчику.

    acs-ips-03.gif

    IPS назвал IPS, добавлен к Intrusion Prevention System Manager Express (IME).

    acs-ips-04.gif

  4. Выберите Configuration> IPS> Sensor Setup> Authentication и выполните эти шаги:

    1. Нажмите кнопку с зависимой фиксацией RADIUS Server для выбора RADIUS Server как Устройства для проверки подлинности.

    2. Предоставьте параметры Проверки подлинности RADIUS, как показано.

    3. Выберите Local и RADIUS как Консольная Аутентификация, так, чтобы локальная проверка подлинности использовалась, когда сервер RADIUS не доступен.

    4. Нажмите кнопку Apply.

      /image/gif/paws/112974/acs-ips-05.gif

Настройте ACS как сервер RADIUS

Выполните эти шаги для настройки ACS как сервера RADIUS:

  1. Выберите Network Resources> Network Devices и AAA Clients, и нажмите Create для добавления IPS к серверу ACS.

    acs-ips-06.gif

  2. Предоставьте необходимую информацию о клиенте (IPS является клиентом здесь), и нажмите Submit. Это позволяет IPS быть добавленным к серверу ACS. Подробные данные включают IP-адрес IPS и подробных данных сервера RADIUS.

    acs-ips-07.gif

  3. Выберите Users и хранилища Identity> Внутренний Идентификационный> Users Хранилищ, и нажмите Create для создания нового пользователя.

    acs-ips-08.gif

  4. Предоставьте информацию об Имени и пароле. По завершении нажмите кнопку Submit (Отправить).

    acs-ips-09.gif

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Попытайтесь войти в IPS с недавно созданным пользователем. Как только пользователь заверен, проверьте отчёт относительно ACS.

acs-ips-10.gif

Нажмите Authentications-RADIUS-Today для просматривания текущего отчета.

acs-ips-12.gif

Этот образ показывает, что пользователь, соединяющийся с IPS, заверен сервером ACS.

acs-ips-13.gif

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения