Introduction

AAA = Authentication Authorization Accounting

– Authentication = Tu es qui ??
– Authorization = Tu as le droit de faire quoi ??
– Accounting = Qu’as-tu fait ??

Pour ce faire, deux protocoles :

• TACACS+
  • Terminal Access Controller Access Control System +
  • Protocole propriétaire CISCO.
  • TCP port 49
  • Mot de passe crypté
  • Paquets cryptés

• RADIUS
  • Remote Authentication Dial-In User Service
  • Protocole standardisé RFC 2865
  • UDP port 1645 et 1812
  • Mot de passe crypté
  • Paquets non crypté

Authentication

Étape 1  activer le modèle AAA

Switch(config)# aaa new-model

Étape 2 
Créer un compte secours

Switch(config)# username Secours secret mypassword

Si notre switch ne parvient plus à joindre le serveur d’authentification , on va pouvoir quand même s’y connecter avec notre compte secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

• L’adresse IP de ce serveur
• Le mot de passe utilisé pour chiffrer cet échange (Key)

Switch(config)# radius-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2
ou
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2

Afin que le Switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soient dans le même groupe de travail :

Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe
Switch(config-sg-radius)# server X.X.X.X
Switch(config-sg-radius)# server Y.Y.Y.Y

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...

Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Envie d’en découvrir plus ?

Devenez membre Gold ou Platinium de FingerInTheNet et accédez à l’intégralité des cours et à des contenus exclusifs !

A votre rythme, Réponse prioritaire aux questions sur les cours

Contenus Exclusifs, accès aux articles avancés

Réductions sur les cours spéciaux ou personnalisés

Essayez pour seulement 1€

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet

Partager :

• Cliquez pour partager sur Facebook(ouvre dans une nouvelle fenêtre)
• Plus

• Cliquez pour partager sur Twitter(ouvre dans une nouvelle fenêtre)

WordPress:

J'aime chargement…

Articles similaires