Le protocole AAA
Article de blog | Finger In The Net
Le protocole AAA
- Nombre de lecteurs : 5238
- Rédigé par : Noël NICOLAS
- Authentication = Tu es qui ??
- Authorization = Tu as le droit de faire quoi ??
- Accounting = Qu’as-tu fait ??
- TACACS+
- Terminal Access Controller Access Control System +
- Protocole propriétaire CISCO.
- TCP port 49
- Mot de passe crypté
- Paquets cryptés
- RADIUS
- Remote Authentication Dial-In User Service
- Protocole standardisé RFC 2865
- UDP port 1645 et 1812
- Mot de passe crypté
- Paquets non crypté
Configuration du modèle AAA sur cisco
Étape 1
Activer le modèle AAA
Switch(config)# aaa new-model Étape 2
Créer un compte secours
Switch(config)# username Secours secret mypassword
Si notre switch ne parvient plus à joindre le serveur d’authentification , on va pouvoir quand même s’y connecter avec notre compte secours.
Étape 3
Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :
- L’adresse IP de ce serveur
- Le mot de passe utilisé pour chiffrer cet échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY
Afin que le Switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soient dans le même groupe de travail :
Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe Switch(config-sg-radius)# server X.X.X.X Switch(config-sg-radius)# server Y.Y.Y.Y
Étape 4
Cette étape va constituer l’ordre de priorité des méthodes d’authentification.
Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.
Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …
Pour sélectionner notre serveur RADIUS nous devons mettre la commande “group” avant.
Afin que notre switch interroge dans un premier temps notre serveur radius puis utilise notre compte secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :
Switch(config)# aaa authentication login default group radius local
Étape 5
Appliquer l’authentification AAA sur les “lines” pour nos connexions SSH
Switch(config)# line vty 0 4
Switch(config-line)# login authentication [default | list-name] Exemple de configuration RADIUS
Switch(config)# aaa new-model
Switch(config)# username secours secret password
Switch(config)# radius-server host 192.168.0.1 key AZERTYUIOP123456789
Switch(config)# radius-server host 192.168.0.2 key AZERTYUIOP123456789
Switch(config)# aaa group server radius FingerGroup
Switch(config-sg-radius)# server 192.168.0.1
Switch(config-sg-radius)# server 192.168.0.2
Switch(config-sg-radius)# exit
Switch(config)# aaa authentication login default group FingerGroup local
Switch(config)# line vty 0 4
Switch(config-line)# login authentication default
Sur le même thème
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Noël NICOLAS
Auteur de l'article
Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet
Eric JOUFFRILLON
Co-auteur de l'article
Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.
CURSUS DE FORMATION
Administrateur Réseau
Présentation
Les protocoles
En pratique
Les options
Présentation
Les bases
Les tables OSPF
La Sécurité
Autres
Présentation
Les échanges
Choix de la route
Choix du masque
Sécurité