AAA

AAA

 

 

Introduction


AAA = Authentication Authorization Accounting

  • Authentication = Tu est qui ??
  • Authorization = Tu as le droit de faire quoi ??
  • Accounting = Qu’as tu fais ??

  • TACACS+
    • Terminal Access Controller Access Control System +
    • Protocole propriétaire CISCO.
    • TCP port 49
    • Mot de passe crypté
    • Paquets crypté
  • RADIUS
    • Remote Authentication Dial-In User Service
    • Protocole Standardisé RFC 2865
    • UDP port 1645 et 1812
    • Mot de passe crypté
    • Paquets non crypté

 

Authentication


 

Étape 1  Activer le modèle AAA

Switch(config)#aaa new-model

 

Étape 2 
Créer un compte secours

Switch(config)#username Secours secret mypassword

Si notre switch ne parviens plus à joindre le serveur d’authentification , on va pouvoir quand même si connecter avec notre compte secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

  • L’adresse IP de ce serveur
  • Le mot de passe utilisé pour chiffrer cette échange (Key)
Switch(config)#radius-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)#radius-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2
ou
Switch(config)#tacacs-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)#tacacs-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2

Afin que le Switch puissent utilisé le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soit dans le même groupe de travail :

Switch(config)#aaa group server { radius | tacacs+ } nom-du-groupe
Switch(config-sg-radius)#server X.X.X.X
Switch(config-sg-radius)#server Y.Y.Y.Y

 

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)#aaa authentication login {default | local} méthode1 méthode2 ect...

Il existe plusieurs méthode pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Afin que notre switch interroge dans un premier temps notre serveur radius puis utilise notre compte secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :

Switch(config)#aaa authentication login default group radius local

 

Étape 5

Appliquer l’authentification AAA sur les « lines » pour nos connections SSH

Switch(config)#line vty  0 4
Switch(config-line)#login authentication {default | list-name}

 

Exemple de configuration RADIUS

Switch(config)#aaa new-model
Switch(config)#username secours secret password
Switch(config)#radius-server host 192.168.0.1 key AZERTYUIOP123456789
Switch(config)#radius-server host 192.168.0.2 key AZERTYUIOP123456789
Switch(config)#aaa group server radius FingerGroup
Switch(config-sg-radius)#server 192.168.0.1
Switch(config-sg-radius)#server 192.168.0.2
Switch(config-sg-radius)#exit
Switch(config)#aaa authentication login default group FingerGroup local
Switch(config)#line vty 0 4
Switch(config-line)#login authentication default

 

Authorization


 

Accounting


 

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

2 thoughts on “AAA”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *