Le protocole AAA
Authentication, Authorization, Accounting : centralisez l’authentification de vos équipements Cisco avec TACACS+ ou RADIUS.
Introduction
AAA = Authentication Authorization Accounting
- Authentication = Tu es qui ?
- Authorization = Tu as le droit de faire quoi ?
- Accounting = Qu’as-tu fait ?
Pour ce faire, deux protocoles :
- TACACS+
- Terminal Access Controller Access Control System +
- Protocole propriétaire Cisco.
- TCP port 49
- Mot de passe crypté
- Paquets cryptés
- RADIUS
- Remote Authentication Dial-In User Service
- Protocole standardisé RFC 2865
- UDP port 1645 et 1812
- Mot de passe crypté
- Paquets non cryptés
Configuration du modèle AAA sur Cisco
Étape 1
Activer le modèle AAA :
Switch(config)# aaa new-modelÉtape 2
Créer un compte de secours :
Switch(config)# username Secours secret mypasswordSi notre switch ne parvient plus à joindre le serveur d’authentification, on va pouvoir quand même s’y connecter avec notre compte de secours.
Étape 3
Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :
- L’adresse IP de ce serveur
- Le mot de passe utilisé pour chiffrer cet échange (Key)
Switch(config)# radius-server host X.X.X.X key XXXXXXX
Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY
Switch(config)# tacacs-server host X.X.X.X key XXXXXXX
Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYYAfin que le switch puisse utiliser le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier, il faut que ces deux serveurs soient dans le même groupe de travail :
Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe
Switch(config-sg-radius)# server X.X.X.X
Switch(config-sg-radius)# server Y.Y.Y.YÉtape 4
Cette étape va constituer l’ordre de priorité des méthodes d’authentification.
Switch(config)# aaa authentication login [ default | local ] méthode1 m2 m3 etc...Il existe plusieurs méthodes pour s’authentifier, cette ligne va nous permettre de les classer par ordre de priorité.
Si la méthode 1 ne fonctionne pas, on passe à la méthode 2, etc.
Pour sélectionner notre serveur RADIUS, nous devons mettre la commande « group » avant.
Afin que notre switch interroge dans un premier temps notre serveur RADIUS puis utilise notre compte de secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :
Switch(config)# aaa authentication login default group radius localÉtape 5
Appliquer l’authentification AAA sur les « lines » pour nos connexions SSH :
Switch(config)# line vty 0 4
Switch(config-line)# login authentication [ default | list-name ]Exemple de configuration RADIUS
Switch(config)# aaa new-model
Switch(config)# username secours secret password
Switch(config)# radius-server host 192.168.0.1 key AZERTYUIOP123456789
Switch(config)# radius-server host 192.168.0.2 key AZERTYUIOP123456789
Switch(config)# aaa group server radius FingerGroup
Switch(config-sg-radius)# server 192.168.0.1
Switch(config-sg-radius)# server 192.168.0.2
Switch(config-sg-radius)# exit
Switch(config)# aaa authentication login default group FingerGroup local
Switch(config)# line vty 0 4
Switch(config-line)# login authentication default
