Scribd
Importer
668 vues18 pages

Configuration du Protocole AAA

Ce document décrit le protocole AAA (Authentication, Authorization, Accounting). Il explique les différents composants AAA ainsi que les modes d'authentification locale et basée sur un serveur. Le document présente également la configuration de l'authentification, de l'autorisation et de la comptabilité AAA sur un routeur.

Transféré par

jemaouiabdlkbir590
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
668 vues18 pages

Configuration du Protocole AAA

Ce document décrit le protocole AAA (Authentication, Authorization, Accounting). Il explique les différents composants AAA ainsi que les modes d'authentification locale et basée sur un serveur. Le document présente également la configuration de l'authentification, de l'autorisation et de la comptabilité AAA sur un routeur.

Transféré par

jemaouiabdlkbir590
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

1

Protocol AAA
Authentication Authorization Accounting

Mme EL HILALY Khadija

Sécurité réseaux
2 INTRODUCTION
 AAA = Authentication Authorization Accounting

– Authentication = Tu est qui ??


– Authorization = Tu as le droit de faire quoi ??
– Accounting = Qu’as tu fais ??
3 Composants AAA
Modes d'authentification

Authentification AAA
LOCAL [Link] client établit la connexion avec le routeur
2. Le routeur AAA demande à l’utilisateur un login/mot de passe
[Link] routeur consulte sa base de donnée local pour vérifier le login/mot de passe de
l’utilisateur

Authentification AAA
Basé sur serveur
[Link] client établit la connexion avec le routeur
2. Le routeur AAA demande à l’utilisateur un login/mot de passe
[Link] routeur consulte le serveur AAA pour vérifier le login/mot de passe de l’utilisateur
4. l’utilisateur est authentifié suit au réponse du serveur AAA
Autorisation

AAA Autorisation
Comptabilité (Accounting)

Types d'informations comptables:


 Réseau
 Connexion
 EXEC Comptabilité AAA
 Système
 Commander
 Ressource
Configuration de l'authentification AAA locale sur un routeur

1. Ajouter les noms d'utilisateur et mots de passe à la base de données de routeur local pour les utilisateurs qui ont
besoin d'un accès administratif au routeur.
2. Activer globalement AAA sur le routeur.
3. Configurer les paramètres AAA sur le routeur.
Méthodes d'authentification
9

Authentification AAA basé sur un serveur


La comparaison AAA local et AAA Implémentations sur
serveur
authentification locale:

1. L'utilisateur établit une connexion avec le routeur.

2. Routeur invite l'utilisateur à un nom d'utilisateur et


mot de passe, l'authentification de l'utilisateur en
utilisant une base de données locale.

authentification par serveur:

1. L'utilisateur établit une connexion avec le


routeur.

2. Routeur invite l'utilisateur à un nom


d'utilisateur et mot de passe.

3. Routeur passe le nom d'utilisateur et mot


de passe à Cisco Secure ACS (serveur ou
moteur)

4. Le Cisco Secure ACS authentifie


l'utilisateur.
Présentation de Cisco Secure Access Control System
12 RADIUS vs tacacs+
TACACS+ RADIUS
 Terminal Access Controller Access Control System  Remote Authentication Dial-In User Service
+  Protocole Standardisé RFC 2865
 Protocole propriétaire CISCO.  UDP port 1645 et 1812
 TCP port 49  Mot de passe crypté
 Mot de passe crypté  Paquets non crypté
 Paquets crypté
13 Configuration authentification AAA basé sur un serveur
 Étape 1: Activer le modèle AAA
 Switch(config)# aaa new-model
 Étape 2 :Créer un compte utilisateur (local sur le routeur)
 Switch(config)# username Secours secret mypassword

 Si notre switch ne parviens plus à joindre le serveur d’authentification , on va pouvoir quand


même si connecter avec notre compte secours.

 Étape 3
Afin d’utiliser le serveur d’authentification, nous allons devoir lui spécifier :
 L’adresse IP de ce serveur
 Le mot de passe utilisé pour chiffrer cette échange (Key)
14 Configuration authentification AAA basé sur un serveur
 Switch(config)# radius-server host X.X.X.X key XXXXXXX <Serveur 1
 Switch(config)# radius-server host Y.Y.Y.Y key YYYYYYY <Serveur 2
ou
 Switch(config)# tacacs-server host X.X.X.X key XXXXXXX <Serveur 1
 Switch(config)# tacacs-server host Y.Y.Y.Y key YYYYYYY <Serveur 2

Afin que le Switch puissent utilisé le serveur X.X.X.X ou Y.Y.Y.Y pour s’authentifier , il faut que ces
deux serveurs soit dans le même groupe de travail :

 Switch(config)# aaa group server [ radius | tacacs+ ] nom-du-groupe


 Switch(config-sg-radius)# server X.X.X.X
15 Configuration authentification AAA basé sur un serveur
Étape 4

Cette étape va constituer l’ordre de priorité des méthodes d’authentification.

 Switch(config)# aaa authentication login [default | local] méthode1 m2 m3 ect...


Il existe plusieurs méthode pour s’authentifier, cette ligne va nous permettre de classer par ordre de
priorité.

Si la méthode 1 ne fonctionne pas , on passe à la méthode 2 ect …

Pour sélectionner notre serveur RADIUS nous devons mettre la commande « group » avant.

Afin que notre switch interroge dans un premier temps notre serveur radius puis utilise notre compte
secours uniquement si notre serveur est hors ligne, utilisez la commande suivante :

 Switch(config)# aaa authentication login default group radius local


16 Configuration authentification AAA basé sur un serveur

 Étape 5

Appliquer l’authentification AAA sur les « lines » pour nos connections SSH ou telnet

 Switch(config)# line vty 0 4


 Switch(config-line)# login authentication [default | list-name]
17 Exemple de configuration de l’authentification
avec un serveur RADIUS
switch(config)# aaa new-model
Switch(config)# username secours secret password
Switch(config)# radius-server host [Link] key AZERTYUIOP123456789
Switch(config)# aaa authentication login default group radius local

Switch(config)# line vty 0 4


Switch(config-line)# login authentication default
18 Configuration Autorisation & accounting

Autorisation
 R(config)# aaa authorisation exec default group radius(ou tacacs)
 R(config)# aaa authorisation network default group radius(ou tacacs)

Accounting
 R(config)# aaa acounting exec default start-stop group radius(ou tacacs)

Vous aimerez peut-être aussi