Security

Protocole AAA

Auteur

Noël NICOLAS

Date

18 novembre 2016

Commentaires

1

Security

Introduction


AAA = Authentication Authorization Accounting

Authentication = Tu es qui ??
Authorization = Tu as le droit de faire quoi ??
Accounting = Qu’as-tu fait ??

Pour ce faire, deux protocoles :

  • TACACS+
    • Terminal Access Controller Access Control System +
    • Protocole propriétaire CISCO.
    • TCP port 49
    • Mot de passe crypté
    • Paquets cryptés
  • RADIUS
    • Remote Authentication Dial-In User Service
    • Protocole standardisé RFC 2865
    • UDP port 1645 et 1812
    • Mot de passe crypté
    • Paquets non crypté

Authentication


Étape 1  activer le modèle AAA

Switch(config)# aaa new-model

Étape 2 
Créer un compte secours

Switch(config)# username Secours secret mypassword

Si notre switch ne parvient plus à joindre le serveur d’authentification , on va pouvoir quand même s’y connecter avec notre compte secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

  • L’adresse IP de ce serveur
  • Le mot de passe utilisé pour chiffrer cet échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2
ou
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2

Afin que le Switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soient dans le même groupe de travail :

Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe
Switch(config-sg-radius)# server X.X.X.X
Switch(config-sg-radius)# server Y.Y.Y.Y

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...

Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Envie d’en découvrir plus ?

Devenez membre Gold ou Platinium de FingerInTheNet et accédez à l’intégralité des cours et à des contenus exclusifs !

A votre rythme, Réponse prioritaire aux questions sur les cours

Contenus Exclusifs, accès aux articles avancés

Réductions sur les cours spéciaux ou personnalisés

Essayez pour seulement 1€

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet

Les commentaires sont fermés.

%d blogueurs aiment cette page :