Introduction

AAA = Authentication Authorization Accounting

– Authentication = Tu es qui ??
– Authorization = Tu as le droit de faire quoi ??
– Accounting = Qu’as-tu fait ??

Pour ce faire, deux protocoles :

• TACACS+
  • Terminal Access Controller Access Control System +
  • Protocole propriétaire CISCO.
  • TCP port 49
  • Mot de passe crypté
  • Paquets cryptés

• RADIUS
  • Remote Authentication Dial-In User Service
  • Protocole standardisé RFC 2865
  • UDP port 1645 et 1812
  • Mot de passe crypté
  • Paquets non crypté

Authentication

Étape 1  activer le modèle AAA

Switch(config)# aaa new-model

Étape 2 
Créer un compte secours

Switch(config)# username Secours secret mypassword

Si notre switch ne parvient plus à joindre le serveur d’authentification , on va pouvoir quand même s’y connecter avec notre compte secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

• L’adresse IP de ce serveur
• Le mot de passe utilisé pour chiffrer cet échange (Key)

Switch(config)# radius-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2
ou
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2

Afin que le Switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soient dans le même groupe de travail :

Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe
Switch(config-sg-radius)# server X.X.X.X
Switch(config-sg-radius)# server Y.Y.Y.Y

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...

Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Envie d’en découvrir plus ?

Offre simplement un café à notre équipe pour les remercier de leurs travail !

Ce café te permettra d’avoir un accès illimité au site pendant 24h

Offrir un café à 0,90€

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet

Partager :

• Cliquez pour partager sur Facebook(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur LinkedIn(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Twitter(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur WhatsApp(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Skype(ouvre dans une nouvelle fenêtre)
• Plus

• Cliquer pour imprimer(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Reddit(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Pocket(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Telegram(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Tumblr(ouvre dans une nouvelle fenêtre)
• Cliquez pour partager sur Pinterest(ouvre dans une nouvelle fenêtre)

WordPress:

J'aime chargement…