Ce document fournit des informations sur la façon de configurer le système Cisco Intrusion Prevention System (IPS) pour l'authentification de connexion utilisateur à l'aide d'un serveur RADIUS. ACS est utilisé comme serveur RADIUS.
Ce document suppose que le système de prévention des intrusions (IPS) de Cisco est entièrement opérationnel et configuré pour permettre à Cisco Intrusion Prevention System Manager Express (IME) ou CLI d'apporter des modifications à la configuration. En plus de l'authentification AAA locale, vous pouvez maintenant configurer les serveurs RADIUS pour effectuer l'authentification des utilisateurs du capteur. La possibilité de configurer l'IPS pour utiliser l'authentification AAA RADIUS pour les comptes d'utilisateurs, ce qui facilite le fonctionnement des déploiements IPS de grande envergure, est disponible dans Cisco Intrusion Prevention System 7.0(4)E4 et versions ultérieures.
Remarque : il n'existe aucune option permettant d'activer la comptabilité sur le système IPS. L'authentification RADIUS est prise en charge dans IPS 7.04, mais TACACS ou Authorization ou Accounting ne sont pas pris en charge.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco Intrusion Prevention System version 7.0(4)E4 et ultérieure
Intrusion Prevention System Manager Express version 7.1(1) et ultérieure
Serveur de contrôle d'accès sécurisé Cisco 5.x
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Utilisez l’outil de recherche de commandes (clients enregistrés seulement) pour en savoir plus sur les commandes employées dans cette section.
Complétez ces étapes afin d'ajouter l'IPS à l'IME, puis configurez l'IPS pour l'authentification à partir du serveur ACS :
Choisissez Home > Devices > Device List > Add afin d'ajouter un IPS à l'IME.
Renseignez les champs de la fenêtre Add Device, comme indiqué ici, afin de fournir les détails sur l'IPS. Le nom du capteur utilisé ici est IPS. Click OK.
Cliquez sur Yes afin d'accepter le certificat et continuer la connexion https au capteur. Vous devez accepter le certificat pour vous connecter au capteur et y accéder.
L'IPS nommé IPS est ajouté à Intrusion Prevention System Manager Express (IME).
Choisissez Configuration > IPS > Sensor Setup > Authentication, et complétez ces étapes :
Cliquez sur la case d'option RADIUS Server afin de sélectionner le serveur RADIUS comme périphérique d'authentification.
Fournissez les paramètres RADIUS Authentication, comme indiqué.
Choisissez Local et RADIUS comme authentification de console, afin que l'authentification locale soit utilisée lorsque le serveur RADIUS n'est pas disponible.
Cliquez sur Apply.
Complétez ces étapes afin de configurer l'ACS en tant que serveur RADIUS :
Choisissez Network Resources > Network Devices and AAA Clients, et cliquez sur Create afin d'ajouter l'IPS au serveur ACS.
Fournissez les informations requises sur le client (IPS est le client ici), et cliquez sur Submit. Cela permet à l'IPS d'être ajouté au serveur ACS. Les détails incluent l'adresse IP de l'IPS et les détails du serveur RADIUS.
Choisissez Users and Identity stores > Internal Identity Stores > Users, et cliquez sur Create afin de créer un nouvel utilisateur.
Fournissez les informations de nom et de mot de passe. Lorsque vous avez terminé, cliquez sur Submit.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
Essayez de vous connecter à l'IPS avec le nouvel utilisateur. Une fois l'utilisateur authentifié, vérifiez le rapport sur ACS.
Cliquez sur Authentications-RADIUS-Today afin d'afficher le rapport actuel.
Cette image montre que l'utilisateur qui se connecte à l'IPS est authentifié par le serveur ACS.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
03-May-2011 |
Première publication |