Ce document fournit des informations sur la façon dont configurer le Système de protection contre les intrusions Cisco (IPS) pour l'authentification d'ouverture de session utilisateur utilisant un serveur de RAYON. ACS est utilisé en tant que serveur de RAYON.
Ce document suppose que le Système de protection contre les intrusions Cisco (IPS) est complètement opérationnel et configuré pour permettre au Manager Express de Système de protection contre les intrusions Cisco (IME) ou au CLI pour apporter des modifications de configuration. En plus de l'authentification locale d'AAA, vous pouvez maintenant configurer des serveurs de RAYON pour exécuter l'authentification de l'utilisateur de capteur. La capacité de configurer l'IPS pour utiliser l'authentification d'AAA RADIUS pour des comptes utilisateurs, qui facilite l'exécution de grands déploiements IPS, est disponible dans le Système de protection contre les intrusions Cisco 7.0(4)E4 et plus tard.
Remarque: Il n'y a aucune option d'activer la comptabilité sur l'IPS. Il y a support d'authentification de RAYON dans IPS 7.04, mais TACACS ou autorisation ou comptabilité ne sont pas pris en charge.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Version 7.0(4)E4 et ultérieures de Système de protection contre les intrusions Cisco
Version 7.1(1) et ultérieures de Manager Express de système de prévention des intrusions
Cisco Secure Access Control Server 5.x
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Terminez-vous ces étapes afin d'ajouter l'IPS à IME et puis configurer l'IPS pour l'authentification du serveur ACS :
Choisissez à la maison > les périphériques > la liste de périphériques > ajoutent afin d'ajouter un IPS à l'IME.
Terminez-vous les champs dans la fenêtre de périphérique d'ajouter, comme affiché ici, afin de fournir les détails au sujet de l'IPS. Le nom de capteur utilisé ici est IPS. Cliquez sur OK.
Clic oui afin de recevoir le certificat et continuer la connexion de https au capteur. Vous devez recevoir le certificat afin de se connecter à et accéder au capteur.
L'IPS nommé par IPS est ajouté au Manager Express de système de prévention des intrusions (IME).
Choisissez la configuration > l'IPS > le capteur installé > authentification, et terminez-vous ces étapes :
Cliquez sur la case d'option de serveur de RAYON afin de sélectionner le serveur de RAYON comme périphérique authentifiant.
Fournissez les paramètres d'authentification de RAYON, comme affiché.
Choisissez les gens du pays et le RAYON comme authentification de console, de sorte que l'authentification locale soit utilisée quand le serveur de RAYON n'est pas disponible.
Cliquez sur Apply.
Terminez-vous ces étapes afin de configurer l'ACS en tant que serveur de RAYON :
Choisissez les ressources de réseau > les périphériques de réseau et les clients d'AAA, et le clic créent afin d'ajouter l'IPS au serveur ACS.
Fournissez l'information requise au sujet du client (l'IPS est le client ici), et cliquez sur Submit. Ceci permet à l'IPS d'obtenir ajouté au serveur ACS. Les détails incluent l'adresse IP de l'IPS et des petits groupes de serveur de RAYON.
Choisissez les utilisateurs et l'identité enregistre > identité interne enregistre > des utilisateurs, et le clic créent afin de créer un nouvel utilisateur.
Fournissez les informations de nom et de mot de passe. Quand vous terminez, cliquez sur Submit.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
Essayez de se connecter dans l'IPS avec l'utilisateur de création récente. Une fois que l'utilisateur est authentifié, vérifiez l'état sur ACS.
Cliquez sur l'Authentification-RAYON-Aujourd'hui afin de visualiser l'état en cours.
Cette image prouve que l'utilisateur connecté à l'IPS est authentifié par le serveur ACS.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.