Académique Documents
Professionnel Documents
Culture Documents
Tout d’abord, il faut utiliser la commande « aaa new-model » afin de pouvoir accéder aux
autres commandes en rapport avec le protocole AAA.
Pour configurer l’autorisation AAA, nous allons utiliser la commande « aaa authorization
». Trois choix s’offre ensuite à nous, l’argument « exec » qui demandera alors
l’autorisation d’accéder au mode EXEC de l’équipement (mode enable) ou l’argument «
network » pour les services réseaux.
Configuration de la traçabilité AAA avec RADIUS
Pour la traçabilité, c’est la même chose que pour l’autorisation sauf qu’on ajoutera de
nouveaux arguments qui sont le « start-stop » et le « stop-only ». Le « start-stop », qui
envoie un « start » au début d’un processus et un « stop » à la fin alors que le « stop-only
» envoie seulement un stop à la fin de chaque processus.
Le protocole TACACS+ est une amélioration apportée par Cisco au protocole TACACS. Il
est uniquement supporté par les équipements Cisco et n’est pas compatible avec le
protocole TACACS.
Tout comme le protocole RADIUS, le TACACS+ nécessite d’avoir un serveur dédié à
l'AAA et configuré pour diffuser le TACACS+.
Le protocole TACACS+ possède quelques spécificités :
- Contrairement au protocole RADIUS, le TACACS+ permet de séparer les étapes
d’authentification et d’autorisation en deux processus. Ce qui permet si on le veut,
d’utiliser un autre protocole pour l’authentification et d’utiliser le TACACS+ pour
l’autorisation.
- Le TACACS+ chiffre absolument tous les paquets durant les communications et pas
seulement les mots de passe. Il offre donc plus de sécurité que le RADIUS.
- Il utilise les ports TCP
- Il supporte les multi-protocoles
La méthode d’authentification du TACACS+ fonctionne différemment de celle du RADIUS,
là où le RADIUS récupère le nom et le mot de passe et vérifie les deux en même temps
afin de donner accès à l’équipement, le TACAS+ va d’abord demander le nom puis il va
vérifier son existence dans sa base de données, suite à cette vérification, il va ensuite
demander le mot de passe et réitérer l’action, si le nom d’utilisateur et le mot de passe
qui ont été donnés sont corrects alors le serveur donnera l’accès à l’équipement.
Voici l’environnement dans lequel je vais travailler afin de vous montrer comment
configurer le protocole TACACS+ sur un routeur Cisco et un serveur :
Configuration du serveur TACACS+
Pour configurer le serveur TACACS+, il faut aller sur le serveur dans l’onglet « Services »
et activer l’AAA. Après avoir activé le service AAA, il vous faut choisir le type de serveur
entre RADIUS et TACACS, on choisit donc le TACACS. On va ensuite pouvoir rentrer les
indications du routeur qui utilisera le TACACS+, on indique le nom du routeur, son
adresse IP et une clé secrète.
Pour cette configuration, je vais utiliser la commande simplifiée pour pouvoir appliquer la
configuration TACAC+. On utilise donc la commande « tacacs-server host
ipdevotreserveur single-connection key clésecrète », le nouvel argument « single-
connection » est propre au TACACS+ et ne peut pas être utilisé pour le RADIUS, il
permet de maintenir la connexion TCP durant toute la vie de la session, dans le cas
contraire, la connexion s’ouvre et se fermer pour chaque session.
Pour configurer l’autorisation AAA, nous allons utiliser la commande « aaa authorization
». Trois choix s’offre ensuite à nous, l’argument « exec » qui demandera alors
l’autorisation d’accéder au mode EXEC de l’équipement (mode enable) ou l’argument «
network » pour les services réseaux.
Pour la traçabilité, c’est la même chose que pour l’autorisation sauf qu’on ajoutera de
nouveaux arguments qui sont le « start-stop » et le « stop-only ». Le « start-stop », qui
envoie un « start » au début d’un processus et un « stop » à la fin alors que le « stop-only
» envoie seulement un stop à la fin de chaque processus.
Conclusion
Il vous est maintenant possible de réaliser la configuration des protocoles AAA, RADIUS
et TACACS+ sur vos équipements.