Principes et configuration AAA
Page 1 Copyright
Copyright
© Huawei
© Huawei
Technologies
Technologies
Co.,Co.,
[Link].
2023.
2023.
Tous
Tous
droits
droits
réservés.
réservés.
� Avant-propos
⚫ La gestion des utilisateurs est l'une des exigences les plus fondamentales en matière de
gestion de la sécurité pour tout réseau.
⚫ L'authentification, l'autorisation et la traçabilité (AAA) est un cadre de gestion qui fournit un
mécanisme de sécurité permettant d'autoriser certains utilisateurs à accéder à des ressources
spécifiques et d'enregistrer les opérations de ces utilisateurs. L'AAA est largement utilisé en
raison de sa bonne évolutivité et de la facilité de mise en œuvre de la gestion centralisée des
informations sur les utilisateurs. L'AAA peut être mis en œuvre par le biais de plusieurs
protocoles. Dans les applications réelles, le protocole RADIUS (Remote Authentication Dial-In
User Service) est le plus couramment utilisé pour mettre en œuvre l'AAA.
⚫ Ce cours décrit les concepts de base, la mise en œuvre, les configurations de base et les
scénarios d'application typiques de l'AAA.
Page 2 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Objectifs
⚫ À la fin de ce cours, vous serez capable de :
▫ Comprendre les fondements de l'AAA.
▫ Décrire les scénarios d'application de l'AAA.
▫ Comprendre les fondements du protocole RADIUS.
▫ Se familiariser avec les configurations de base de l'AAA.
Page 3 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Table des matières
1. Aperçu AAA
2. Configuration AAA
Page 4 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Concepts de base du protocole AAA
⚫ L'authentification, l'autorisation et la traçabilité (AAA) constituent un mécanisme de gestion
de la sécurité du réseau.
Étape 1 Étape 2 Étape 3 Étape 4
Identité de
Authentification Autorisation Traçabilité
l'utilisateur
Identifie les Identifie et Détermine si l'accès Vérifie et enregistre
utilisateurs grâce à authentifie les est autorisé. les informations
des informations utilisateurs qui d'accès.
comme le compte tentent d'accéder
et le mot de passe. aux ressources.
Page 5 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Architecture AAA commune
⚫ Une architecture AAA commune comprend l'utilisateur, le serveur d'accès réseau (NAS) et le
serveur AAA.
Utilisateur • Le NAS recueille et gère les demandes d'accès des
utilisateurs de manière centralisée.
• Plusieurs domaines sont créés sur le NAS afin de
gérer les utilisateurs. Différents domaines peuvent
Utilisateur
être associés à différents schémas AAA, qui
1@Domaine 1
comprennent le schéma d'authentification, le
Réseau IP Réseau IP schéma d'autorisation et le schéma de traçabilité.
• Lors de la réception d'une demande d'accès
Utilisateur NAS Serveur utilisateur, le NAS détermine le domaine auquel
2@Domaine 2 AAA l'utilisateur appartient sur la base du nom
d'utilisateur et effectue la gestion et le contrôle de
Architecture AAA commune l'utilisateur sur la base des schémas AAA
Utilisateur
3@Domaine 3 configurés pour le domaine.
Page 6 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Authentification
⚫ L'AAA prend en charge les modes d'authentification suivants : non-authentification, authentification
locale et authentification à distance.
Utilisateur Réseau IP
1@Domaine 1
Nom d'utilisateur Réseau IP Nom d'utilisateur et mot de
et mot de passe passe de l'utilisateur 3
Renvoi d'un résultat
d'authentification
Utilisateur NAS Serveur AAA
2@Domaine 2
Utilisateur Domaine Mode d'authentification
Utilisateur Utilisateur 1@Domaine 1 Domaine 1 Non-authentification
3@Domaine 3
Utilisateur 2@Domaine 2 Domaine 2 Authentification locale
Utilisateur 3@Domaine 3 Domaine 3 Authentification à distance
Page 7 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Autorisation
⚫ Le protocole AAA prend en charge les modes d'autorisation suivants : la non-autorisation, l'autorisation
locale et l'autorisation à distance.
⚫ Les informations d'autorisation comprennent le groupe d'utilisateurs, l'ID VLAN et le numéro ACL.
Utilisateur Réseau IP
1@Domaine 1
Réseau IP Délivre des autorisations à
l'utilisateur 2 après le succès
de l'authentification.
Utilisateur NAS Serveur AAA
2@Domaine 2
Utilisateur Domaine Mode d'autorisation Contenu de l'autorisation
Utilisateur 1@Domaine 1 Domaine 1 Non-autorisation Aucune
Utilisateur
3@Domaine 3 Utilisateur 2@Domaine 2 Domaine 2 Autorisation locale L'accès à Internet est autorisé.
L'autorisation est accordée par
Utilisateur 3@Domaine 3 Domaine 3 Autorisation à distance
un serveur à distance.
Page 8 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Traçabilité
⚫ La fonction de traçabilité surveille le comportement du réseau et l'utilisation des ressources du réseau
par les utilisateurs autorisés.
⚫ L'AAA prend en charge deux modes de traçabilité : la non-traçabilité et la traçabilité à distance.
Utilisateur Réseau IP
1@Domaine 1
Réseau IP Demande de démarrage
de la traçabilité
Réponse de démarrage
de la traçabilité
Utilisateur NAS Serveur AAA
2@Domaine 2
Utilisateur Domaine Mode de traçabilité
Utilisateur 1@Domaine 1 Domaine 1 Non-traçable
Utilisateur
Utilisateur 2@Domaine 2 Domaine 2 Non-traçable
3@Domaine 3
Utilisateur 3@Domaine 3 Domaine 3 Traçabilité à distance
Page 9 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Protocole de mise en œuvre de l'AAA - RADIUS
⚫ Parmi les protocoles utilisés pour la mise en œuvre de l'AAA, le RADIUS est le plus couramment utilisé.
Utilisateur L'utilisateur saisit un nom NAS Serveur RADIUS
d'utilisateur et un mot de passe.
Demande d'accès
L'authentification est acceptée ou rejetée, et
L'utilisateur est informé du le paquet correspondant est livré.
résultat de l'authentification.
Demande de démarrage de la traçabilité
Réponse de démarrage de la traçabilité
L'utilisateur commence à accéder aux ressources réseau.
L'utilisateur demande à se déconnecter.
Demande d'arrêt de la traçabilité
L'utilisateur est informé de la fin de Réponse d'arrêt de la traçabilité
l'accès au réseau.
Page 10 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Scénarios communs d'application de l'AAA
L'AAA pour les utilisateurs d'accès à Internet via Authentification et autorisation locales pour les
RADIUS utilisateurs administratifs
Connexion par Telnet/SSH
Serveur Administrateur réseau Routeur
Utilisateur d'accès NAS
RADIUS (NAS)
Internet
• Les schémas AAA sont configurés sur le NAS pour mettre en • Une fois les schémas AAA locaux configurés sur le routeur, ce
œuvre l'interfonctionnement entre le NAS et le serveur RADIUS. dernier compare le nom d'utilisateur et le mot de passe de
• Une fois que l'utilisateur a saisi un nom d'utilisateur et un mot de l'administrateur réseau avec le nom d'utilisateur et le mot de
passe sur le client, le NAS envoie le nom d'utilisateur et le mot de passe configurés localement lorsque l'administrateur réseau se
passe au serveur RADIUS pour authentification. connecte au routeur.
• Si l'authentification réussit, l'utilisateur se voit accorder • Une fois l'authentification réussie, le routeur accorde certaines
l'autorisation d'accès à Internet. autorisations d'administrateur à l'administrateur réseau.
• Le serveur RADIUS peut enregistrer l'utilisation des ressources
réseau de l'utilisateur pendant l'accès à Internet.
Page 12 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Table des matières
1. Aperçu AAA
2. Configuration AAA
Page 13 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Configuration AAA (1)
1. Accédez à la vue AAA.
Quittez la vue système et entrez dans la vue AAA.
2. Créez un schéma d'authentification.
Créez un schéma d'authentification et entrez dans la vue schéma d'authentification.
Réglez le mode d'authentification sur l'authentification locale. Par défaut, le mode d'authentification est
l'authentification locale.
Page 14 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Configuration AAA (2)
3. Créez un domaine et associez-y un schéma d'authentification.
Créez un domaine et entrez dans la vue du domaine.
Associez le schéma d'authentification au domaine.
4. Créez un utilisateur.
Créez un utilisateur local et configurez un mot de passe pour l'utilisateur local.
• Si le nom d'utilisateur contient un délimiteur « @ », le caractère avant « @ » est le nom d'utilisateur et le
caractère après « @ » est le nom de domaine.
• Si la valeur ne contient pas « @ », la chaîne de caractères entière représente le nom d'utilisateur et le nom
de domaine est celui par défaut.
Page 15 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Configuration AAA (3)
5. Configurez un type d'accès utilisateur.
Configurez le type d'accès de l'utilisateur local. Par défaut, tous les types d'accès sont désactivés pour un
utilisateur local.
6. Configurez un niveau d'utilisateur.
Spécifiez le niveau d'autorisation de l'utilisateur local.
Page 16 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Exemples de configuration AAA
⚫ Une fois le mot de passe et le niveau de l'utilisateur configurés sur R1, l'hôte A peut utiliser
le nom d'utilisateur et le mot de passe configurés pour se connecter à distance à R1.
Hôte A R1
GE 0/0/0
[Link]/24
Page 17 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Vérification de la configuration (1)
⚫ Dans le protocole AAA, chaque domaine est associé à un schéma d'authentification, un
schéma d'autorisation et un schéma de traçabilité. Dans cet exemple, c'est le domaine par
défaut qui est celui utilisé.
Page 18 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Vérification de la configuration (2)
⚫ Une fois que l'utilisateur s'est correctement connecté et déconnecté, vous pouvez consulter
son dossier.
Page 19 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Quiz
1. Quels modes d'authentification, d'autorisation et de comptabilité sont pris en charge par
l'AAA ?
2. Lorsqu'un nouvel utilisateur commun est configuré avec l'authentification locale mais n'est
pas associé à un domaine défini par l'utilisateur, à quel domaine l'utilisateur appartient-il ?
Page 20 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Sommaire
⚫ L'AAA améliore la sécurité du réseau de l'entreprise et empêche les utilisateurs non autorisés
de se connecter aux réseaux de l'entreprise en authentifiant les identités des employés de
l'entreprise et des utilisateurs externes, en autorisant les ressources accessibles et en
surveillant le comportement d'accès à Internet.
▫ Authentification : détermine les utilisateurs autorisés à accéder au réseau.
▫ Autorisation : autorise les utilisateurs à accéder à des services spécifiques.
▫ Traçabilité : enregistre l'utilisation des ressources du réseau.
⚫ La technologie AAA peut être mise en œuvre localement ou via un serveur distant.
⚫ Parmi les protocoles utilisés pour la mise en œuvre de l'AAA, le RADIUS est le plus
couramment utilisé.
Page 21 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
� Thank You
[Link]
Page 22 Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
