Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:securiser_un_routeur [2009/07/17 16:43] – RADIUS et TACACS+ pteu
+++ informatique:cisco:securiser_un_routeur [2009/07/18 12:23] – pteu
@@ Line 169: / Line 169: @@
   * pour préciser l'interface source des paquets syslog émis ''logging source-interface <interface>''
-Quoiqu'il en soit il vaut mieux que l'horloge des équipements soient synchronisé => NTP.
+Quoiqu'il en soit il faut que l'horloge des équipements soient synchronisés => NTP.
 ====NTP====
-Pour synchroniser l'horloge de toutes les machines il est recommandés d'utiliser NTP qui est un protocole de synchronisation d'horloge. Le terme strate désigne le nombre de hop pour atteindre une autorité de temps (par exemple une horloge atomique).
+Pour synchroniser l'horloge de toutes les machines il est recommandés d'utiliser **NTP** (Network Time Protocole) qui est un protocole de synchronisation d'horloge fonctionnant sur udp/123. Le terme //strate// désigne le nombre de hop pour atteindre une autorité de temps (par exemple une horloge atomique).
 On peut définir différents types de dépendance avec une machine distante :
@@ Line 245: / Line 245: @@
 =====AAA=====
-Authentication, Authorization and Accounting est un mécasnisme de sécurité qui permet d'authentifier une personne, de lui attribuer des droits et de "pister" ce qu'il fait.
+Authentication, Authorization and Accounting est un mécanisme de sécurité qui permet d'authentifier une personne, de lui attribuer des droits et d'auditer ce qu'il fait. Cela permet de contrôler les accès au réseau.
 Il existe 3 types de configurations possibles :
@@ Line 253: / Line 253: @@
 modes d'accès au routeur :
-  * **character mode** pour les "line" (vty, con)
+  * **character mode** pour les "line" (vty, con) => on définit les droits ''exec''
-  * **packet mode** pour les interfaces (async, serial)
+  * **packet mode** pour les interfaces (async, serial) => on définit les droits ''network''
 ====RADIUS====
-L'un des 2 protocoles AAA les plus connu avec TACACS ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, mais RADIUS permet des extension propriétaires.
+L'un des 2 protocoles AAA les plus connu avec TACACS+ ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, mais RADIUS permet des extension propriétaires.
 Le RADIUS permet :
@@ Line 282: / Line 282: @@
   tacacs-server key <secretkey>
+====aaa authentication====
+Créer une méthode d'authentification par défaut :
+  aaa authentication login default group tacacs+ local
+Elle utilisera en premier lieu le serveur TACACS+ ; si ce dernier ne répond pas on essaie dans la base locale. S'il renvoie une erreur d'authentification le routeur ne recherche pas dans la base locale. On peut lister jusqu'à 4 méthodes parmi celles-ci : ''enable, group, krb5, line, local, local-case, none''.
+Pour créer un groupe, applicable sur une ou plusieurs interfaces on remplace ''default'' par un nom :
+  aaa authentication login ma_liste group tacacs+ local
+Puis on l'applique sur une ou des interfaces :
+  line vty 0 4
+   login authentication ma_liste
+====aaa authorization====
+Pour définir les droits associés à un compte.
+  aaa authorization exec default group radius local none
+====aaa accounting====
+L'accounting permet d'auditer et de facturer un compte utilisateur.
+  aaa accouting exec default start-stop group tacacs+
+Cette commande permet de logger chaque début et fin de processus lancé par n'importe quel profil (default) du groupe tacacs+.
+====Vérifs====
+  debug aaa authentication
+  debug aaa authorization
+  debug aaa accounting
 =====Vérifs=====
   show login [failure]