Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:securiser_un_routeur [2009/07/17 18:07] – aaa authentication pteu
+++ informatique:cisco:securiser_un_routeur [2009/07/18 12:23] – pteu
@@ Line 169: / Line 169: @@
   * pour préciser l'interface source des paquets syslog émis ''logging source-interface <interface>''
-Quoiqu'il en soit il vaut mieux que l'horloge des équipements soient synchronisé => NTP.
+Quoiqu'il en soit il faut que l'horloge des équipements soient synchronisés => NTP.
 ====NTP====
-Pour synchroniser l'horloge de toutes les machines il est recommandés d'utiliser NTP qui est un protocole de synchronisation d'horloge. Le terme strate désigne le nombre de hop pour atteindre une autorité de temps (par exemple une horloge atomique).
+Pour synchroniser l'horloge de toutes les machines il est recommandés d'utiliser **NTP** (Network Time Protocole) qui est un protocole de synchronisation d'horloge fonctionnant sur udp/123. Le terme //strate// désigne le nombre de hop pour atteindre une autorité de temps (par exemple une horloge atomique).
 On peut définir différents types de dépendance avec une machine distante :
@@ Line 245: / Line 245: @@
 =====AAA=====
-Authentication, Authorization and Accounting est un mécasnisme de sécurité qui permet d'authentifier une personne, de lui attribuer des droits et de "pister" ce qu'il fait.
+Authentication, Authorization and Accounting est un mécanisme de sécurité qui permet d'authentifier une personne, de lui attribuer des droits et d'auditer ce qu'il fait. Cela permet de contrôler les accès au réseau.
 Il existe 3 types de configurations possibles :
@@ Line 253: / Line 253: @@
 modes d'accès au routeur :
-  * **character mode** pour les "line" (vty, con)
+  * **character mode** pour les "line" (vty, con) => on définit les droits ''exec''
-  * **packet mode** pour les interfaces (async, serial)
+  * **packet mode** pour les interfaces (async, serial) => on définit les droits ''network''
 ====RADIUS====
-L'un des 2 protocoles AAA les plus connu avec TACACS ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, mais RADIUS permet des extension propriétaires.
+L'un des 2 protocoles AAA les plus connu avec TACACS+ ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, mais RADIUS permet des extension propriétaires.
 Le RADIUS permet :
@@ Line 296: / Line 296: @@
    login authentication ma_liste
-===Vérifs===
+====aaa authorization====
+Pour définir les droits associés à un compte.
+  aaa authorization exec default group radius local none
+====aaa accounting====
+L'accounting permet d'auditer et de facturer un compte utilisateur.
+  aaa accouting exec default start-stop group tacacs+
+Cette commande permet de logger chaque début et fin de processus lancé par n'importe quel profil (default) du groupe tacacs+.
+====Vérifs====
   debug aaa authentication
   debug aaa authorization
+  debug aaa accounting
 =====Vérifs=====
   show login [failure]