Protocole AAA

 

 

Introduction


AAA = Authentication Authorization Accounting

Authentication = Tu est qui ??
Authorization = Tu as le droit de faire quoi ??
Accounting = Qu’as tu fais ??

 

Pour ce faire, deux protocoles :

  • TACACS+
    • Terminal Access Controller Access Control System +
    • Protocole propriétaire CISCO.
    • TCP port 49
    • Mot de passe crypté
    • Paquets crypté
  • RADIUS
    • Remote Authentication Dial-In User Service
    • Protocole Standardisé RFC 2865
    • UDP port 1645 et 1812
    • Mot de passe crypté
    • Paquets non crypté

 

Authentication


Étape 1  Activer le modèle AAA

Switch(config)# aaa new-model

Étape 2 
Créer un compte secours

Switch(config)# username Secours secret mypassword

Si notre switch ne parviens plus à joindre le serveur d’authentification , on va pouvoir quand même si connecter avec notre compte secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

  • L’adresse IP de ce serveur
  • Le mot de passe utilisé pour chiffrer cette échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2
ou
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2

Afin que le Switch puissent utilisé le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soit dans le même groupe de travail :

Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe
Switch(config-sg-radius)# server X.X.X.X
Switch(config-sg-radius)# server Y.Y.Y.Y

 

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...

Il existe plusieurs méthode pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Afin que notre switch interroge dans un premier temps notre serveur radius puis utilise notre compte secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :

Switch(config)# aaa authentication login default group radius local

 

Étape 5

Appliquer l’authentification AAA sur les « lines » pour nos connections SSH

Switch(config)# line vty  0 4
Switch(config-line)# login authentication [default | list-name]

 

Exemple de configuration RADIUS

Switch(config)# aaa new-model
Switch(config)# username secours secret password
Switch(config)# radius-server host 192.168.0.1 key AZERTYUIOP123456789
Switch(config)# radius-server host 192.168.0.2 key AZERTYUIOP123456789
Switch(config)# aaa group server radius FingerGroup
Switch(config-sg-radius)# server 192.168.0.1
Switch(config-sg-radius)# server 192.168.0.2
Switch(config-sg-radius)# exit
Switch(config)# aaa authentication login default group FingerGroup local
Switch(config)# line vty 0 4
Switch(config-line)# login authentication default

 

Authorization


EN COURS DE REDACTION

Accounting


EN COURS DE REDACTION

 

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Poster un Commentaire

1 Commentaire sur "Protocole AAA"

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
kayoumt
Invité
Félicitations pour la partie Authentication. Je t’encourage à faire les deux autres parties. 1 – C’est important de préciser qu’il faut configurer un serveur Radius ou Tacacs. J’avais fait un lab AAA, en installant Radius sur Windows Server 2008R2. Ce n’était pas évident de configurer les policies NPS de Windows. 2 – Ce n’est pas clair pour moi la signification du mot-clé « default » dans les commandes « aaa authentication  » et « login authentication ». 3 – En plus, la commande « aaa authentication  » est utilisée de deux façons différentes dans l’article. Quelle est la différence entre les deux ? – aaa authentication… Read more »