Vous êtes sur la page 1sur 5

l’authentification, l’équipement demande les autorisations au serveur AAA qui les lui envoie

ensuite.

La traçabilité (accounting)

La traçabilité permet comme son nom l’indique, de tracer tous les faits et gestes des
utilisateurs qui se sont authentifiés et qui ont été autorisés à accéder à l’équipement. Les
données sont collectées sous forme de logs, ils contiennent toutes les actions effectuées
aux lignes vty.
Il est possible de rajouter une sécurité supplémentaire à l’authentification en rest reignant
le nombre de tentatives de connexion. On utilise la commande « aaa authentication
attempts max-fail nombredetentatives ». Une fois le nombre de tentatives dépassé le
compte de l’utilisateur est bloqué et l’utilisateur devra attendre qu’un administ rateur
débloque celui-ci avec la commande « clear aaa local user lockout ».

Le RADIUS (Remote Authentication Dial-In User


Service)
Qu’est-ce que le RADIUS et comment fonctionne-t-il ?

Le RADIUS est un protocole d’authentification standard du modèle AAA, le protocole est


défini par les RFCs 2865, 2866, 2867, 2868, 3162 et 6911. Il permet aussi de faire de la
traçabilité en
authentifié est un utilisateur autorisé.
- Il utilise les ports UDP.
Le RADIUS fonctionne de la même façon que le modèle d’authentification basée sur le
serveur du modèle AAA, les comptes utilisateurs sont stockés dans la base de données du
serveur. Lorsqu’un utilisateur demande accès à l’équipement réseau avec son nom/mot de
passe, l’équipement transfert la requête au serveur qui autorise alors l’accès ou non à
l’équipement.

Configuration du protocole RADIUS

Voici l’environnement dans lequel je vais travailler afin de vous montrer comment configurer
le protocole RADIUS sur un routeur Cisco et un serveur :
Configuration du serveur RADIUS

Pour configurer le serveur RADIUS, il faut aller sur le serveur dans l’onglet « Services » et
activer l’AAA. Après avoir activé le service AAA, il vous faut choisir le type de serveur entre
RADIUS et TACACS, on choisit donc le RADIUS. On va ensuite pouvoir rentrer les
indications du routeur qui utilisera le RADIUS, on indique le nom du routeur, son adresse
IP et une clé secrète.

Configuration du RADIUS sur le routeur

Tout d’abord, il faut utiliser la commande « aaa new-model » afin de pouvoir accéder aux
autres commandes en rapport avec le protocole AAA.

Pour la suite de la configuration du routeur, je vais vous montrer la configuration et


l’expliquer point par point.

Premièrement, on va utiliser la commande « radius-server nomduserveur » pour entrer


dans le mode de configuration du serveur RADIUS.
Deuxièmement, on va indiquer l’adresse IP du serveur RADIUS en spécifiant que celle -ci
est une adresse IPv4 ainsi que le port à utiliser pour l’authentification (1812 étant le port
par défaut) avec la commande « address ipv4 ipdevotreserveur auth-port 1812 ». Comme
dit
Comme pour l’authentification locale, on utilise la commande « authentication login default
local-case », mais cette fois, nous allons utiliser un argument en plus pour ajouter le
RADIUS cet argument est le « group radius » qui va obliger le routeur à utiliser
l’authentification RADIUS.

Configuration de l’autorisation AAA avec RADIUS

Pour configurer l’autorisation AAA, nous allons utiliser la commande « aaa authorization ».
Trois choix s’offre ensuite à nous, l’argument « exec » qui demandera alors l’autorisation
d’accéder au mode EXEC de l’équipement (mode enable) ou l’argument « network » pour
les services réseaux.

Configuration de la traçabilité AAA avec RADIUS

Pour la traçabilité, c’est la même chose que pour l’autorisation sauf qu’on ajoutera de
nouveaux arguments qui sont le « start-stop » et le « stop-only ». Le « start-stop », qui
envoie un « start » au début d’un processus et un « stop » à la fin alors que le « stop-only
» envoie seulement un stop à la fin de chaque processus.

Le TACACS+ (Terminal Access Controller Access


Control System)
Qu’est-ce que le TACACS+ et comment fonctionne-t-il ?

Le protocole TACACS+ est une amélioration apportée par Cisco au protocole TACACS. Il
est uniquement supporté par les équipements Cisco et n’est pas compatible avec le
protocole TACACS.
Tout comme le protocole RADIUS, le TACACS+ nécessite d’avoir un serveur dédié à l'AAA
et configuré pour diffuser le TACACS+.
Le protocole TACACS+ possède quelques spécificités :
- Contrairement au protocole RADIUS, le TACACS+ permet de séparer les étapes
d’authentification et d’autorisation en deux processus. Ce qui permet si on le veut, d’utiliser
un autre protocole pour l’authentification et d’utiliser le TACACS+ pour l’autorisation.
- Le TACACS+ chiffre absolument tous les paquets durant les communications et pas
seulement les mots de passe. Il offre donc plus de sécurité que le RADIUS.
- Il utilise les ports TCP
- Il supporte les multi-protocoles
La méthode d’authentification du TACACS+ fonctionne différemment de celle du RADIUS,
là où le RADIUS récupère le nom et le mot de passe et vérifie les deux en même temps
afin de donner accès à l’équipement, le TACAS+ va d’abord demander le nom puis il va
vérifier son existence dans sa base de données, suite à cette vérification, il va ensuite
demander le mot de passe et réitérer l’action, si le nom d’utilisateur et le mot de passe qui
ont été donnés sont corrects alors le serveur donnera l’accès à l’équipement.

Configuration du protocole TACACS+

Voici l’environnement dans lequel je vais travailler afin de vous montrer comment configurer
le protocole TACACS+ sur un routeur Cisco et un serveur :

Configuration du serveur TACACS+

Pour configurer le serveur TACACS+, il faut aller sur le serveur dans l’onglet « Services »
et activer l’AAA. Après avoir activé le service AAA, il vous faut choisir le type de serveur
entre RADIUS et TACACS, on choisit donc le TACACS. On va ensuite pouvoir ren trer les
indications du routeur qui utilisera le TACACS+, on indique le nom du routeur, son adresse
IP et une clé secrète.

Configuration du TACACS+ sur le routeur


Comme pour la configuration du RADIUS, on utilise la commande « aaa new -model » pour
pouvoir utiliser les autres commandes du protocole AAA.

Pour cette configuration, je vais utiliser la commande simplifiée pour pouvoir appliquer la
configuration TACAC+. On utilise donc la commande « tacacs-server host ipdevotreserveur
single-connection key clésecrète », le nouvel argument « single-connection » est propre au
TACACS+ et ne peut pas être utilisé pour le RADIUS, il permet de maintenir la connexion
TCP durant toute la vie de la session, dans le cas contraire, la connexion s’ouvre et se
fermer pour chaque session.

Configuration de l’authentification TACACS+ sur le routeur

C’est encore la même chose que pour la configuration de l’authentification RADIUS, mais
à la place de l’argument « radius », on utilise l’argument « tacacs+ » (authentication login
default group tacacs+ local-case).

Configuration de l’autorisation AAA avec TACACS+

Pour configurer l’autorisation AAA, nous allons utiliser la commande « aaa authorization ».
Trois choix s’offre ensuite à nous, l’argument « exec » qui demandera alors l’autorisation
d’accéder au mode EXEC de l’équipement (mode enable) ou l’argument « network » pour
les services réseaux.

Configuration de la traçabilité AAA avec TACACS+

Pour la traçabilité, c’est la même chose que pour l’autorisation sauf qu’on ajoutera de
nouveaux arguments qui sont le « start-stop » et le « stop-only ». Le « start-stop », qui
envoie un « start » au début d’un processus et un « stop » à la fin alors que le « stop -only
» envoie seulement un stop à la fin de chaque processus.

Conclusion
Il vous est maintenant possible de réaliser la configuration des protocoles AAA, RADIUS et
TACACS+ sur vos équipements.