Configuration de l'authentification radius sur un ASA

Redaction: Carmona Pierre 26/09/2010

www.labo-cisco.com

Configuration de lauthentification radius sur un ASA

SOMMAIRE

Carmona Pierre 26/09/2010

Introduction ........................................................................................................................................................ 3 Prparation du serveur RADIUS .......................................................................................................................... 3 Installation de l'IAS (Service d'authentification internet) ................................................................................. 3 Cration du groupe utilisateur d'accs ............................................................................................................ 4 Configuration de l'IAS (Service d'authentification internet) ......................................................................... 6 Configuration rseau......................................................................................................................................... 11 Cration du client RADIUS ............................................................................................................................. 11 Configuration du firewall ............................................................................................................................... 12

www.labo-cisco.com

Page 2 sur 13

Configuration de lauthentification radius sur un ASA

INTRODUCTION

Carmona Pierre 26/09/2010

RADIUS (Remote Authentication Dial In User Service) est un protocole rseau qui fournit des services centraliss d'authentification, d'autorisation et de compatibilit pour la gestion des ordinateurs et quipements rseaux pour se connecter un service rseau tel que le SSH dans notre cas. Ceci permet une connexion scurise vos quipements rseaux. Nous verrons dans un premier temps la configuration du serveur RADIUS prsent sur Windows Serveur 2003 ce dernier tant encore le plus gnralis dans les entreprises. Enfin, nous verrons la partie authentification du ct client dans notre cas un firewall Cisco ASA.

PREPARATION DU SERVE UR RADIUS INSTALLATION DE L'IAS (SERVICE D'AUTHENTIFICATION INTERNET)

La configuration du serveur RADIUS se fait sur l'IAS de Windows Serveur de ce fait nous allons voir comment installer ce service.

Pour installer l'IAS, veuillez utiliser l' "Ajout/Suppression de composants Windows" prsent dans l'outil "Ajout/suppression de programmes" du "panneau de configuration" de Windows. Veuillez par la suite double cliquer sur "Service de mise en rseau" puis cocher le "Service d'authentification internet" (IAS).Aprs un click sur "Ok" puis sur "Suivant" l'installation dbutera.

www.labo-cisco.com

Page 3 sur 13

Configuration de lauthentification radius sur un ASA

CREATION DU GROUPE UTILISATEUR D'ACCES

Carmona Pierre 26/09/2010

Nous allons maintenant nous occuper de la cration d'utilisateurs et de groupes pour l'accs au serveur RADIUS depuis notre firewall. La cration se fera dans la console "Utilisateur et Ordinateurs d'Active Directory" prsente dans les "Outils d'administration" de Windows.

Nous allons commencer par crer le groupe qui se verra accueillir l'utilisateur. Pour cela veuillez-vous placer dans le rpertoire qui convient et effectuer un clic-droit "Ajouter un nouveau groupe". Aprs avoir renseign le nom et aprs vrification de votre "tendu" et "type" de groupe, vous pouvez cliquer sur "Ok" pour finaliser la cration du groupe.

www.labo-cisco.com

Page 4 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

La cration d'un utilisateur se fait un clic-droit "Ajouter un nouvel utilisateur".

Une fois l'utilisateur cr, veuillez faire un clic-droit sur celui-ci pour cliquer sur proprits. Dans l'onglet "Appel entrant" veuillez cocher le bouton radio "Autoriser l'accs".

www.labo-cisco.com

Page 5 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

Pour finir, veuillez renseigner le groupe cr prcdemment l'onglet "Membre de".

CONFIGURATION DE L'IAS (SERVICE D'AUTHENTIFICATION INTERNET)

Nous allons passer la configuration de l'IAS RADIUS dans lequel se retrouverons les paramtres d'appel et les stratgies d'accs. Nous allons dans un premier temps configurer une nouvelle stratgie d'accs distance.

www.labo-cisco.com

Page 6 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

Veuillez-vous positionner dans le dossier dans le dossier "Stratgie d'accs distant" puis faire un clicdroit et slectionner "crer une nouvelle stratgie". Dans la fentre de cration, veuillez prciser le "Nom de la stratgie" et cocher "Installer une stratgie personnalise" puis veuillez cliquer sur "Suivant".

Vous allez maintenant voir apparatre une nouvelle fentre vous permettant d'ajouter une nouvelle condition de stratgie. Veuillez cliquer sur "ajouter".

www.labo-cisco.com

Page 7 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

Veuillez aller voir apparatre la "slection d'attribut" dans laquelle vous allez slectionner "GroupesWindows" et enfin cliquer sur ajouter

Slectionner le groupe cr prcdemment et dans lequel se retrouveront tous les utilisateurs autoriss se connecter via le serveur RADIUS.

www.labo-cisco.com

Page 8 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

Vous pouvez voir ci-contre le rsultat de votre prcdente opration.

On continue en permettant l'accs distant.

www.labo-cisco.com

Page 9 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

Enfin veuillez renseigner les paramtres d'appel entrant dans l'onglet "Authentification". Suite cette tape la stratgie, la stratgie est maintenant configure.

Nous allons maintenant "Enregistrer le serveur RADIUS" dans Active Directory.

www.labo-cisco.com

Page 10 sur 13

Configuration de lauthentification radius sur un ASA

CONFIGURATION RESEAU CREATION DU CLIENT RADIUS

Carmona Pierre 26/09/2010

La cration du client radius se fera dans l'IAS (Service d'authentification internet) et plus particulirement dans le dossier "Clients RADIUS".

Veuillez faire un clic-droit dans la zone et slectionner "Ajouter un client RADIUS". Veuillez prciser le nom de votre quipement et l'IP lui correspondant.

www.labo-cisco.com

Page 11 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

Veuillez slectionner "Radius Standard" dans la liste de "Client-Fournisseur" et prciser un secret partag.Ce dernier sera utile pour permettre au serveur et firewall de communiquer.

CONFIGURATION DU FIREWALL
Nous allons passer la configuration du firewall. Celui-ci utilisera RADIUS pour la l'authentification de ces accs SSH, console et srie pour notre exemple. Les oprations effectuer seront dtailles ci-dessous. Dans un premier temps vous allez vous mettre en mode de configuration terminal (#) conf t Nous allons maintenant dfinir un utilisateur de backup au cas o le serveur RADIUS resterait inactif. (config)# username backup password cisco privilege 15 Nous allons maintenant faire concider le firewall et le serveur RADIUS. (config)# aaa new-model (config)# aaa-server RADIUS_GROUP protocol radius (config)# aaa-server RADIUS_GROUP (inside) host 10.15.0.1 (IP du serveur radius) (config)# key cisco (cl partage configure prcdemment) Enfin nous allons orienter l'authentification. (config)# aaa authentication enable console RADIUS-GROUP LOCAL (LOCAL permet la base de donne locale de prendre le relai d'authentification en cas d'inaccessibilit avec le serveur RADIUS) (config)# aaa authentication serial console RADIUS-GROUP LOCAL (config)# aaa authentication ssh console RADIUS-GROUP LOCAL Suite ces actions n'hsitez pas sauvegarder votre configuration. (#) exit (#) write mem

www.labo-cisco.com

Page 12 sur 13

Configuration de lauthentification radius sur un ASA

Carmona Pierre 26/09/2010

www.labo-cisco.com

Retrouvez nos autres laboratoires: www.labo-cisco.com

Labo Microsoft Labo.Net Labo Apple Labo Oracle Labo Linux Labo IBM Labo Mandriva

Page 13 sur 13