Magazine Informatique

Les articles de votre blog ici ? Inscrivez votre blog !


Mise en place du modèle AAA sur un matériel Cisco

Publié le 09 avril 2012 par Lolokai @lolokai

Pré-requis

  • Connaitre le fonctionnement et les différents modes d’IOS.
  • Avoir des bases en réseau (IP, masque de sous réseau…).

Qu’est-ce que AAA ?

AAA (Authentication, Authorization and Accounting) est un protocole qui permet de gérer :

  • Authentication : Authentification consiste à déterminer si l’utilisateur ou l’équipement est bien celui qu’il prêtant être, cela ce fait grâce à une authentification nom d’utilisateur/ mot de passe, ou grâce à un certificat.
  • Authorization : Autorisation consiste à déterminer les droits de l’utilisateur sur les différentes ressources.
  • Accounting : Compte permet de garder des informations sur l’utilisation des ressources par l’utilisateur.

Comment configurer l’authentification AAA sur nos équipements Cisco ?

L’authentification AAA se basant sur une indentification par nom d’utilisateur/mot, il faut définir l’ensemble des couples autorisés. Pour ce faire nous pouvons  créer des utilisateurs en local sur notre équipement grâce à la commande :

Router(config)#username cisco secret ciscoPa

Cette commande est composée du mot clé username suivi du nom d’utilisateur, du mot clé secret suivi du mot de passe.
Nous pouvons aussi créer nos utilisateurs sur un serveur ce qui a pour avantage de ne pas avoir à configurer les couples sur tous les équipements, mais de tout centraliser, ceci nous permet de gagner du temps.
Pour ce faire nous pouvons utiliser les protocoles Radius ou Tacacs+ :

  • Radius :  est un protocole orienté client/serveur qui permet de centraliser les données d’identifications de nos utilisateurs. Le protocole Radius est basé sur de L’UDP, de plus Radius est un protocole ouvert, il fonctionne donc sur différents équipements.
  • Tacacs+ : le protocole Tacacs+ lui aussi va nous permettre de centraliser les données d’identifications de nos utilisateurs. Contrairement à Radius il est basé sur du TCP, et est un protocole propriétaire Cisco.

Configuration de l’authentification AAA

Maintenant, que nous savons comment créer nos couples d’identifiants nous allons voir comment configurer AAA.
Pour ce faire il faut d’abord activer AAA grâce à la commande :

Router(config)#aaa new-model

Puis si nous utilisons un serveur Radius il nous faut configurer notre équipement pour qu’il puise communiquer avec notre serveur Radius :

Router(config)#radius-server host 192.168.10.5
Router(config)#radius-server key radiuskey

Ces commandes nous permettent de spécifier l’IP du serveur Radius, puis le mot de passe utilisé pour communiquer avec le serveur.
De même si nous utilisons Tacacs+ il nous faut configurer notre équipement pour qu’il puisse communiquer avec le serveur Tacacs+ :

Router(config)#tacacs-server host 192.168.10.6
Router(config)#tacacs-server key tacacsKey

Ces commandes nous permettent de spécifier l’IP du serveur Tacacs, puis le mot de passe utilisé pour communiquer avec le serveur.
Nous sommes maintenant prêts pour configurer AAA :

Router(config)#aaa authentication login Exemple group radius group tacacs+ local

Cette commande est composée des mots clés « aaa » authentication login, suivi de soit le mot clé « défaut » (pour configurer la règle AAA par default) ou le nom de la règle, suivi des méthodes d’authentification soit en radius, Tacacs+, sur la base local, avec le mot de passe ou enable…
Ce qu’il faut savoir c’est que nous pouvons configurer plusieurs méthodes d’authentification, de manières hiérarchique en effet si la première méthode n’est pas disponible c’est la deuxième méthode qui sera utilisé et ainsi de suite.

Mise en place de notre règle AAA sur un moyen de connexion

Nous pouvons configurer nos lignes VTY et console pour qu’ils utilisent notre règle AAA :

Router(config)#line console 0
Router(config-line)#login authentication Exemple

Dans cet exemple, nous avons configuré notre règle AAA précédemment créée sur la ligne console.

Conclusion

Voilà, cet article se termine nous avons vu ensemble qu’est-ce que AAA et comment configurer l’authentification AAA sur notre équipement Cisco. L’un des autres avantages d’AAA c’est que nous pouvons l’intégrer à notre « Active Directory » pour utiliser sa base d’utilisateur.
Avez-vous des questions, quelle méthode d’authentification utilisez-vous ?


Retour à La Une de Logo Paperblog
Signaler un abus

A propos de l’auteur


Lolokai 189 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte

Magazines