Académique Documents
Professionnel Documents
Culture Documents
Authentification, Autorisation et
comptabilité
.6 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
Le contrôle d’accès (mot de passe et login)limite qui ou quoi peut utiliser
des ressources spécifiques.
SSH est une forme plus sécurisée
d'accès à distance.
L’utilisation de la méthode de base
de données locale pour stocker les
noms utilisateurs et leurs mots de
passe a ces limites. Elle ne fournit
pas de méthode d’authentification
de secours;
Elle est utilisée uniquement pour les
petites entreprises.
Une meilleure solution consiste à utiliser une base de données centralisée sur
un serveur central.
Le routeur accède à un serveur AAA en tant que client AAA pour lui demander
d’authentifier l’utilisateur.
Pour communiquer avec le serveur AAA, il peut utiliser l’un ou les protocoles RADIUS
(Remote Authentication Dial-In User Service) ou TACACS+(Terminal Access
Controller Access Control System)
L’autorisation contrôle ce que les utilisateurs peuvent et ne peuvent pas faire sur le
réseau après leur authentification.
L’autorisation utilise un ensemble d’attributs qui décrit l’accès de l’utilisateur au
réseau.
L’autorisation est automatique et ne nécessite pas que les utilisateurs effectuent des
étapes supplémentaires après l’authentification.
Les données collectées peuvent inclure les heures de connexion de démarrage et d'arrêt,
les commandes exécutées, le nombre de paquets et le nombre d'octets.
La comptabilité est implémentée à l'aide d'une solution basée sur serveur AAA.
Les serveurs AAA conservent un journal détaillé de ce que l'utilisateur authentifié fait
exactement sur le périphérique
Précaution :
Ne pas exécuter la commande, sauf si vous êtes prêt à configurer l'authentification
AAA. Cela permettrait de forcer les utilisateurs à authentifier Telnet avec identifiant.
La liste nommée doit être explicitement activée sur la ligne à l'aide de la commande
de configuration de la ligne
Pour afficher les attributs qui sont collectés pour une session AAA qui
est identifier par un ID unique, on utilise la commande
Combine l'authentification et
Sépare AAA selon l'architecture AAA , ce l'autorisation, mais se sépare de
fonctionnalité qui permet la modularité de la mise en ACCOUNTING, ce qui permet moins de
œuvre du pare-feu flexibilité dans la mise en œuvre
TACACS +.
JR-ADMIN JR-ADMIN
Password prompt?
Accept/Reject
• RADIUS utilise les ports UDP 1645 ou 1812 pour l'authentification et les ports
1646 ou 1813 pour l’ Accounting
Access-Request
Username? (JR_ADMIN, “Str0ngPa55w0rd”)
JR-ADMIN Access-Accept
Password?
Str0ngPa55w0rd
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
• Le contrôleur de domaine AD sous Windows serveur est utilisé
pour appliquer les stratégies de sécurité en authentifiant et en
autorisant même sur les appareils Cisco IOS.
• L'implémentation Microsoft d'un serveur AAA utilisant RADIUS est
connue sous le nom de service d'authentification Internet (IAS)
devenu apartir de 2008 Network Policy server (NPS).
• Le contrôleur AD du serveur Microsoft est utilisé pour effectuer
les services d'authentification et d'autorisation
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
• Cisco Identity Services Engine (ISE) est une plate-forme de
politique de contrôle des identités et des accès qui permet aux
entreprises d'appliquer la conformité, d'améliorer la sécurité de
l'infrastructure et de rationaliser leurs opérations de service;
• L'architecture de Cisco ISE permet aux entreprises de collecter
des informations contextuelles en temps réel auprès des réseaux,
des utilisateurs et des appareils
Étape 2. Spécifiez Cisco Secure ACS qui fournira des services AAA pour le
routeur. Il peut s'agir d'un serveur TACACS + ou RADIUS.
Topologie de référence
AAA sur serveur
R1
192.168.1.101
R1
192.168.1.101
Display “show
Accept
version” output
Do not permit
Reject
“configure terminal”
Le mot clé auto doit être entré pour activer l'authentification 802.1X