CCNA 200-301 · Sécurité

Le protocole AAA

Authentication, Authorization, Accounting : centralisez l’authentification de vos équipements Cisco avec TACACS+ ou RADIUS.

Introduction

AAA = Authentication Authorization Accounting

  • Authentication = Tu es qui ?
  • Authorization = Tu as le droit de faire quoi ?
  • Accounting = Qu’as-tu fait ?

Pour ce faire, deux protocoles :

  • TACACS+
    • Terminal Access Controller Access Control System +
    • Protocole propriétaire Cisco.
    • TCP port 49
    • Mot de passe crypté
    • Paquets cryptés
  • RADIUS
    • Remote Authentication Dial-In User Service
    • Protocole standardisé RFC 2865
    • UDP port 1645 et 1812
    • Mot de passe crypté
    • Paquets non cryptés

Configuration du modèle AAA sur Cisco

Étape 1

Activer le modèle AAA :

Switch(config)# aaa new-model

Étape 2

Créer un compte de secours :

Switch(config)# username Secours secret mypassword

Si notre switch ne parvient plus à joindre le serveur d’authentification, on va pouvoir quand même s’y connecter avec notre compte de secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

  • L’adresse IP de ce serveur
  • Le mot de passe utilisé pour chiffrer cet échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY Switch(config)# tacacs-server host X.X.X.X key XXXXXXX Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY

Afin que le switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier, il faut que ces deux serveurs soient dans le même groupe de travail :

Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe Switch(config-sg-radius)# server X.X.X.X Switch(config-sg-radius)# server Y.Y.Y.Y

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)# aaa authentication login [ default | local ] méthode1 m2 m3 etc...

Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de les classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas, on passe à la méthode 2, etc.

Pour sélectionner notre serveur RADIUS, nous devons mettre la commande « group » avant.

Afin que notre switch interroge dans un premier temps notre serveur RADIUS puis utilise notre compte de secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :

Switch(config)# aaa authentication login default group radius local

Étape 5

Appliquer l’authentification AAA sur les « lines » pour nos connexions SSH :

Switch(config)# line vty 0 4 Switch(config-line)# login authentication [ default | list-name ]

Exemple de configuration RADIUS

Switch(config)# aaa new-model Switch(config)# username secours secret password Switch(config)# radius-server host 192.168.0.1 key AZERTYUIOP123456789 Switch(config)# radius-server host 192.168.0.2 key AZERTYUIOP123456789 Switch(config)# aaa group server radius FingerGroup Switch(config-sg-radius)# server 192.168.0.1 Switch(config-sg-radius)# server 192.168.0.2 Switch(config-sg-radius)# exit Switch(config)# aaa authentication login default group FingerGroup local Switch(config)# line vty 0 4 Switch(config-line)# login authentication default
Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →