informatique:cisco:securiser_un_routeur
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:cisco:securiser_un_routeur [2009/07/16 20:33] – Syslog, SNMP, NTP pteu | informatique:cisco:securiser_un_routeur [2009/07/17 18:07] – aaa authentication pteu | ||
---|---|---|---|
Line 255: | Line 255: | ||
* **character mode** pour les " | * **character mode** pour les " | ||
* **packet mode** pour les interfaces (async, serial) | * **packet mode** pour les interfaces (async, serial) | ||
+ | |||
+ | ====RADIUS==== | ||
+ | |||
+ | L'un des 2 protocoles AAA les plus connu avec TACACS ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, | ||
+ | |||
+ | Le RADIUS permet : | ||
+ | * le chiffrement du mot de passe (uniquement) en MD5 | ||
+ | * l' | ||
+ | |||
+ | Mise en place : | ||
+ | aaa new-model | ||
+ | radius-server host 10.0.0.111 | ||
+ | radius-server key < | ||
+ | |||
+ | |||
+ | ====TACACS+==== | ||
+ | |||
+ | Le TACACS+ ressemble au RADIUS à ceci près qu'il est propriétaire Cisco et utilise tcp/49. Lui aussi associe à chaque compte 0 ou plusieurs AV. On peut 'en servir pour identifier un utilisateur et appliquer un profil réseau (ses VLAN/ | ||
+ | |||
+ | TACACS+ permet : | ||
+ | * de chiffrer tout le contenu des transactions | ||
+ | |||
+ | Mise en place : | ||
+ | aaa new-model | ||
+ | tacacs-server host 10.0.0.111 | ||
+ | tacacs-server key < | ||
+ | |||
+ | ====aaa authentication==== | ||
+ | |||
+ | Créer une méthode d' | ||
+ | aaa authentication login default group tacacs+ local | ||
+ | |||
+ | Elle utilisera en premier lieu le serveur TACACS+ ; si ce dernier ne répond pas on essaie dans la base locale. S'il renvoie une erreur d' | ||
+ | |||
+ | Pour créer un groupe, applicable sur une ou plusieurs interfaces on remplace '' | ||
+ | aaa authentication login ma_liste group tacacs+ local | ||
+ | |||
+ | Puis on l' | ||
+ | line vty 0 4 | ||
+ | login authentication ma_liste | ||
+ | |||
+ | ===Vérifs=== | ||
+ | |||
+ | debug aaa authentication | ||
+ | debug aaa authorization | ||
informatique/cisco/securiser_un_routeur.txt · Last modified: 2014/02/07 14:29 by pteu