本文檔提供有關如何配置思科入侵防禦系統(IPS)以使用RADIUS伺服器進行使用者登入身份驗證的資訊。ACS用作RADIUS伺服器。
本文檔假設Cisco入侵防禦系統(IPS)完全正常運行且已配置為允許Cisco入侵防禦系統管理器Express (IME)或CLI進行配置更改。除了本地AAA身份驗證外,現在還可以配置RADIUS伺服器以執行感測器使用者身份驗證。Cisco Intrusion Prevention System 7.0(4)E4及更高版本支援IPS配置IPS以針對使用者帳戶使用AAA RADIUS身份驗證,從而幫助運行大型IPS部署。
注意:沒有選項可在IPS上啟用記帳。IPS 7.04中支援RADIUS身份驗證,但不支援TACACS或授權或記帳。
本文中的資訊係根據以下軟體和硬體版本:
思科入侵防禦系統版本7.0(4)E4及更高版本
入侵防禦系統管理器Express版本7.1(1)及更高版本
思科安全存取控制伺服器5.x
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
本節提供用於設定本文件中所述功能的資訊。
注意:使用命令查詢工具(僅限註冊客戶)可以獲取有關本部分使用的命令的更多資訊。
完成以下步驟以將IPS增加到IME,然後從ACS伺服器配置用於身份驗證的IPS:
選擇Home > Devices > Device List > Add,以便將IPS增加到IME。
完成Add Device窗口中顯示的欄位,以便提供有關IPS的詳細資訊。此處使用的感測器名稱為IPS。按一下「OK」(確定)。
按一下Yes以接受證書並繼續與感測器進行https連線。您必須接受該證書,才能連線和訪問感測器。
名為IPS的IPS將增加到入侵防禦系統管理器Express (IME)。
選擇Configuration > IPS > Sensor Setup > Authentication,並完成以下步驟:
按一下RADIUS Server單選按鈕以選擇RADIUS Server作為身份驗證裝置。
提供RADIUS Authentication引數,如下所示。
選擇Local and RADIUS作為控制檯身份驗證,以便在RADIUS伺服器不可用時使用本地身份驗證。
按一下「Apply」。
要將ACS配置為RADIUS伺服器,請完成以下步驟:
選擇Network Resources > Network Devices and AAA Clients,然後按一下Create以將IPS增加到ACS伺服器。
提供有關客戶端(IPS在此處是客戶端)的必要資訊,然後按一下Submit。這樣可以將IPS增加到ACS伺服器。詳細資訊包括IPS的IP地址和RADIUS伺服器詳細資訊。
選擇Users and Identity stores > Internal Identity Stores > Users,然後按一下Create以建立新使用者。
提供名稱和密碼資訊。當您完成時,按一下Submit。
使用本節內容,確認您的組態是否正常運作。
嘗試用新建立的使用者登入IPS。使用者透過身份驗證後,檢查ACS上的報告。
按一下Authentications-RADIUS-Today以檢視當前報告。
此圖顯示,連線到IPS的使用者由ACS伺服器進行身份驗證。
輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。
目前尚無適用於此組態的具體疑難排解資訊。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
03-May-2011 |
初始版本 |