Introduction
AAA = Authentication Authorization Accounting
– Authentication = Tu es qui ??
– Authorization = Tu as le droit de faire quoi ??
– Accounting = Qu’as-tu fait ??
Pour ce faire, deux protocoles :
- TACACS+
- Terminal Access Controller Access Control System +
- Protocole propriétaire CISCO.
- TCP port 49
- Mot de passe crypté
- Paquets cryptés
- RADIUS
- Remote Authentication Dial-In User Service
- Protocole standardisé RFC 2865
- UDP port 1645 et 1812
- Mot de passe crypté
- Paquets non crypté
Authentication
Étape 1 activer le modèle AAA
Switch(config)# aaa new-model Étape 2
Créer un compte secours
Switch(config)# username Secours secret mypassword
Si notre switch ne parvient plus à joindre le serveur d’authentification , on va pouvoir quand même s’y connecter avec notre compte secours.
Étape 3
Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :
- L’adresse IP de ce serveur
- Le mot de passe utilisé pour chiffrer cet échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX <Serveur 1 Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY <Serveur 2 ou Switch(config)# tacacs-server host X.X.X.X key XXXXXXX <Serveur 1 Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY <Serveur 2
Afin que le Switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soient dans le même groupe de travail :
Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe Switch(config-sg-radius)# server X.X.X.X Switch(config-sg-radius)# server Y.Y.Y.Y
Étape 4
Cette étape va constituer l’ordre de priorité des méthodes d’authentification.
Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect... Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.
Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …
Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.
Envie d'en découvrir plus ?
Offre simplement un café à notre équipe pour les remercier de leurs travail !
Ce café te permettra d'avoir un accès illimité au site pendant 24h
Offrir un café à 0,90€
Les commentaires sont fermés.