Dit document bevat informatie over de manier waarop u het Cisco Inbraakpreventiesysteem (IPS) kunt configureren voor gebruikersloginverificatie met behulp van een RADIUS-server. ACS wordt gebruikt als RADIUS-server.
Dit document gaat ervan uit dat het Cisco Inbraakpreventiesysteem (IPS) volledig gebruiksklaar is en is geconfigureerd om het Cisco Inbraakpreventiesysteem Manager Express (IME) of CLI in staat te stellen configuratiewijzigingen door te voeren. Naast lokale AAA-verificatie kunt u nu RADIUS-servers configureren om verificatie van sensorgebruikers uit te voeren. De mogelijkheid om IPS te configureren om AAA RADIUS-verificatie te gebruiken voor gebruikersaccounts, die ondersteuning bieden bij de werking van grote IPS-implementaties, is beschikbaar in Cisco Inbraakpreventiesysteem 7.0(4)E4 en hoger.
Opmerking: Er is geen optie om accounting op IPS mogelijk te maken. Er is ondersteuning voor RADIUS-verificatie in IPS 7.04, maar TACACS of autorisatie of accounting wordt niet ondersteund.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco-inbraakpreventiesysteem versie 7.0(4)E4 en hoger
Inbraakpreventiesysteem Manager Express versie 7.1(1) en hoger
Cisco Secure Access Control Server 5.x
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Voltooi deze stappen om IPS aan IME toe te voegen en dan IPS voor authenticatie van de ACS-server te configureren:
Kies startpunt > Apparaten > Apparaatlijst > Toevoegen om een IPS aan de IME toe te voegen.
Voltooi de velden in het venster Add Devices, zoals hier wordt getoond, om de informatie over IPS te verstrekken. De hier gebruikte sensornaam is IPS. Klik op OK.
Klik op Ja om het certificaat te aanvaarden en door te gaan met de https-verbinding met de sensor. U moet het certificaat accepteren om verbinding te maken met en toegang te krijgen tot de sensor.
IPS met de naam IPS wordt toegevoegd aan de inbraakpreventiesysteem Manager Express (IME).
Kies Configuratie > IPS > Sensor Setup > Verificatie en voltooid deze stappen:
Klik op de radioknop RADIUS-server om de RADIUS-server als het verificatieapparaat te selecteren.
Geef de parameters voor RADIUS-verificatie op, zoals aangegeven.
Kies Lokale en RADIUS als de Console-verificatie, zodat lokale verificatie wordt gebruikt wanneer de RADIUS-server niet beschikbaar is.
Klik op Toepassen.
Voltooi deze stappen om ACS als een RADIUS-server te configureren:
Kies Netwerkbronnen > Netwerkapparaten en AAA-clients en klik op Maken om de IPS-server aan de ACS-server toe te voegen.
Geef de benodigde informatie over de client op (IPS is de client hier) en klik op Inzenden. Dit maakt het mogelijk dat IPS aan de ACS-server wordt toegevoegd. De details omvatten het IP-adres van de IPS en de details van de RADIUS-server.
Kies Gebruikers en identiteitsopnamen > Interne identiteitsopslag > Gebruikers en klik op Maken om een nieuwe gebruiker te maken.
Geef de informatie over naam en wachtwoord op. Klik op Inzenden als u klaar bent.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Probeer met de nieuwe gebruiker in het IPS te loggen. Zodra de gebruiker echt is bevonden, controleer het rapport over ACS.
Klik op Authentications-RADIUS-Today om het huidige rapport te bekijken.
Deze afbeelding toont aan dat de gebruiker die verbinding maakt met de IPS-server geauthentiseerd is door de ACS-server.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
12-May-2011 |
Eerste vrijgave |