IPS 7.X：使用ACS 5.X作為Radius伺服器的使用者登入身份驗證配置示例

簡介

本文檔提供有關如何配置思科入侵防禦系統(IPS)以使用RADIUS伺服器進行使用者登入身份驗證的資訊。ACS用作RADIUS伺服器。

必要條件

需求

本文檔假設Cisco入侵防禦系統(IPS)完全正常運行且已配置為允許Cisco入侵防禦系統管理器Express (IME)或CLI進行配置更改。除了本地AAA身份驗證外，現在還可以配置RADIUS伺服器以執行感測器使用者身份驗證。Cisco Intrusion Prevention System 7.0(4)E4及更高版本支援IPS配置IPS以針對使用者帳戶使用AAA RADIUS身份驗證，從而幫助運行大型IPS部署。

注意：沒有選項可在IPS上啟用記帳。IPS 7.04中支援RADIUS身份驗證，但不支援TACACS或授權或記帳。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科入侵防禦系統版本7.0(4)E4及更高版本

• 入侵防禦系統管理器Express版本7.1(1)及更高版本

• 思科安全存取控制伺服器5.x

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

設定

本節提供用於設定本文件中所述功能的資訊。

注意：使用命令查詢工具(僅限註冊客戶)可以獲取有關本部分使用的命令的更多資訊。

使用IME從ACS伺服器配置用於身份驗證的IPS

完成以下步驟以將IPS增加到IME，然後從ACS伺服器配置用於身份驗證的IPS：

1. 選擇Home > Devices > Device List > Add，以便將IPS增加到IME。

   

2. 完成Add Device窗口中顯示的欄位，以便提供有關IPS的詳細資訊。此處使用的感測器名稱為IPS。按一下「OK」（確定）。

   

3. 按一下Yes以接受證書並繼續與感測器進行https連線。您必須接受該證書，才能連線和訪問感測器。

   

   名為IPS的IPS將增加到入侵防禦系統管理器Express (IME)。

   

4. 選擇Configuration > IPS > Sensor Setup > Authentication，並完成以下步驟：

   1. 按一下RADIUS Server單選按鈕以選擇RADIUS Server作為身份驗證裝置。

   2. 提供RADIUS Authentication引數，如下所示。

   3. 選擇Local and RADIUS作為控制檯身份驗證，以便在RADIUS伺服器不可用時使用本地身份驗證。

   4. 按一下「Apply」。

      

將ACS配置為RADIUS伺服器

要將ACS配置為RADIUS伺服器，請完成以下步驟：

1. 選擇Network Resources > Network Devices and AAA Clients，然後按一下Create以將IPS增加到ACS伺服器。

   

2. 提供有關客戶端（IPS在此處是客戶端）的必要資訊，然後按一下Submit。這樣可以將IPS增加到ACS伺服器。詳細資訊包括IPS的IP地址和RADIUS伺服器詳細資訊。

   

3. 選擇Users and Identity stores > Internal Identity Stores > Users，然後按一下Create以建立新使用者。

   

4. 提供名稱和密碼資訊。當您完成時，按一下Submit。

   

驗證

使用本節內容，確認您的組態是否正常運作。

嘗試用新建立的使用者登入IPS。使用者透過身份驗證後，檢查ACS上的報告。

按一下Authentications-RADIUS-Today以檢視當前報告。

此圖顯示，連線到IPS的使用者由ACS伺服器進行身份驗證。

輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• Cisco IPS 4200系列感應器支援頁面
• Cisco IPS 4200系列感測器命令參考
• Cisco IPS管理員Express版本
• IPsec協商/IKE通訊協定支援頁面
• 適用於Windows的Cisco安全存取控制伺服器
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems