In questo documento viene illustrato come configurare Cisco Intrusion Prevention System (IPS) per l'autenticazione dell'accesso utente tramite un server RADIUS. ACS viene utilizzato come server RADIUS.
In questo documento si presume che Cisco Intrusion Prevention System (IPS) sia completamente operativo e configurato per consentire a Cisco Intrusion Prevention System Manager Express (IME) o CLI di apportare modifiche alla configurazione. Oltre all'autenticazione AAA locale, è ora possibile configurare i server RADIUS per eseguire l'autenticazione dell'utente con sensore. La possibilità di configurare l'IPS in modo che utilizzi l'autenticazione AAA RADIUS per gli account utente, che facilita il funzionamento di distribuzioni IPS di grandi dimensioni, è disponibile in Cisco Intrusion Prevention System 7.0(4)E4 e versioni successive.
Nota: non è disponibile alcuna opzione per abilitare l'accounting sull'IPS. IPS 7.04 supporta l'autenticazione RADIUS, ma TACACS o Authorization o Accounting non sono supportati.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Cisco Intrusion Prevention System versione 7.0(4)E4 e successive
Intrusion Prevention System Manager Express versione 7.1(1) e successive
Cisco Secure Access Control Server 5.x
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).
Completare questa procedura per aggiungere l'IPS all'IME e quindi configurare l'IPS per l'autenticazione dal server ACS:
Scegliere Home > Dispositivi > Elenco dispositivi > Aggiungi per aggiungere un IPS all'IME.
Completare i campi nella finestra Add Device (Aggiungi dispositivo), come mostrato di seguito, per fornire i dettagli sull'IPS. Il nome del sensore utilizzato è IPS. Fare clic su OK.
Fare clic su Yes (Sì) per accettare il certificato e continuare la connessione https al sensore. È necessario accettare il certificato per connettersi al sensore e accedervi.
L'IPS denominato IPS viene aggiunto all'IME (Intrusion Prevention System Manager Express).
Scegliere Configurazione > IPS > Impostazione sensore > Autenticazione, quindi attenersi alla seguente procedura:
Per selezionare il server RADIUS come dispositivo di autenticazione, fare clic sul pulsante di opzione Server RADIUS.
Specificare i parametri di autenticazione RADIUS, come mostrato.
Scegliere Locale e RADIUS come autenticazione della console, in modo che venga utilizzata l'autenticazione locale quando il server RADIUS non è disponibile.
Fare clic su Apply (Applica).
Per configurare il server ACS come server RADIUS, completare la procedura seguente:
Scegliere Risorse di rete > Dispositivi di rete e client AAA, quindi fare clic su Crea per aggiungere l'IPS al server ACS.
Fornire le informazioni richieste sul client (IPS è il client qui) e fare clic su Invia. In questo modo l'IPS viene aggiunto al server ACS. I dettagli includono l'indirizzo IP dell'IPS e i dettagli del server RADIUS.
Scegliere Utenti e archivi identità > Archivi identità interni > Utenti, quindi fare clic su Crea per creare un nuovo utente.
Specificare il nome e la password. Al termine, fare clic su Invia.
Per verificare che la configurazione funzioni correttamente, consultare questa sezione.
Provare ad accedere all'IPS con l'utente appena creato. Una volta autenticato l'utente, controllare il report su ACS.
Per visualizzare il report corrente, fare clic su Authentications-RADIUS-Today.
Nell'immagine viene mostrato come l'utente che si connette all'IPS venga autenticato dal server ACS.
Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare OIT per visualizzare un'analisi dell'output del comando show.
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
03-May-2011 |
Versione iniziale |