Protocole AAA

AAA

 

 

Introduction


AAA = Authentication Authorization Accounting

Authentication = Tu est qui ??
Authorization = Tu as le droit de faire quoi ??
Accounting = Qu’as tu fais ??

 

Pour ce faire, deux protocoles :

  • TACACS+
    • Terminal Access Controller Access Control System +
    • Protocole propriétaire CISCO.
    • TCP port 49
    • Mot de passe crypté
    • Paquets crypté
  • RADIUS
    • Remote Authentication Dial-In User Service
    • Protocole Standardisé RFC 2865
    • UDP port 1645 et 1812
    • Mot de passe crypté
    • Paquets non crypté

 

Authentication


Étape 1  Activer le modèle AAA

Switch(config)# aaa new-model

Étape 2 
Créer un compte secours

Switch(config)# username Secours secret mypassword

Si notre switch ne parviens plus à joindre le serveur d’authentification , on va pouvoir quand même si connecter avec notre compte secours.

Étape 3

Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :

  • L’adresse IP de ce serveur
  • Le mot de passe utilisé pour chiffrer cette échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2
ou
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX       <Serveur 1
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY       <Serveur 2

Afin que le Switch puissent utilisé le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces deux serveurs soit dans le même groupe de travail :

Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe
Switch(config-sg-radius)# server X.X.X.X
Switch(config-sg-radius)# server Y.Y.Y.Y

 

Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...

Il existe plusieurs méthode pour s’authentifier, cette ligne va nous permettre de classer par ordre de priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Afin que notre switch interroge dans un premier temps notre serveur radius puis utilise notre compte secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :

Switch(config)# aaa authentication login default group radius local

 

Étape 5

Appliquer l’authentification AAA sur les « lines » pour nos connections SSH

Switch(config)# line vty  0 4
Switch(config-line)# login authentication [default | list-name]

 

Exemple de configuration RADIUS

Switch(config)# aaa new-model
Switch(config)# username secours secret password
Switch(config)# radius-server host 192.168.0.1 key AZERTYUIOP123456789
Switch(config)# radius-server host 192.168.0.2 key AZERTYUIOP123456789
Switch(config)# aaa group server radius FingerGroup
Switch(config-sg-radius)# server 192.168.0.1
Switch(config-sg-radius)# server 192.168.0.2
Switch(config-sg-radius)# exit
Switch(config)# aaa authentication login default group FingerGroup local
Switch(config)# line vty 0 4
Switch(config-line)# login authentication default

 

Authorization


EN COURS DE REDACTION

Accounting


EN COURS DE REDACTION

 

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire