Scribd
Importer
27 vues80 pages

Gestion de l'authentification AAA

Le document traite de la gestion de l'accès administratif via les méthodes d'authentification, d'autorisation et de comptabilité (AAA). Il décrit les différentes méthodes d'authentification, y compris l'utilisation de mots de passe, de bases de données locales et de serveurs d'accès centralisés, ainsi que les processus d'autorisation et de comptabilité associés. Enfin, il aborde les avantages du système AAA, tels que la flexibilité, la tolérance aux pannes et l'utilisation de protocoles de sécurité standardisés.

Transféré par

Narcisse S. SANKARA
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
27 vues80 pages

Gestion de l'authentification AAA

Le document traite de la gestion de l'accès administratif via les méthodes d'authentification, d'autorisation et de comptabilité (AAA). Il décrit les différentes méthodes d'authentification, y compris l'utilisation de mots de passe, de bases de données locales et de serveurs d'accès centralisés, ainsi que les processus d'autorisation et de comptabilité associés. Enfin, il aborde les avantages du système AAA, tels que la flexibilité, la tolérance aux pannes et l'utilisation de protocoles de sécurité standardisés.

Transféré par

Narcisse S. SANKARA
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

Authentication, Authorization,

and Accounting
Managing Administrative Access
 La gestion des systèmes d’informations est cruciale.
 Méthodes:
 Password seul.
 Base des données locale.
 AAA Authentification locale (self-contained AAA).
 AAA Basé sur le serveur.
Network
Access Common AAA Command
Modes Access Server
Type Element
Ports

Remote Character Mode


tty, vty, auxiliary, login, exec, and enable
administrati (line or EXEC and console commands
ve access mode)

Dial-up and VPN


Remote Packet
access including
network (interface ppp and network commands
asynchronous and
access mode)
ISDN (BRI and PRI)
Mot de passe seul

User Access Verification

Password: cisco
Password: cisco1
Internet Password: cisco12
% Bad passwords

R1(config)# line vty 0 4


R1(config-line)# password cisco
R1(config-line)# login

• Méthode très faible et vulnérable aux attaques par dictionnaire ou le


brute force.
DB locale
R1(config)# username Admin secret Str0ng5rPa55w0rd
R1(config)# line vty 0 4
R1(config-line)# login local

 Il permet un niveau de sécurité plus élevé que la méthode précédente.


 Double le temps de traitement pour un pirate ( il faut trouver le nom
d’utilisateur et le mot de passe).
 La base des données se constitue de trois collonnes ( username,
privilège, password).
 On peut contrôler l’accès par cette méthode avec plusieurs options
détaillés après.
 La duplication de la DB devra être faite sur l’ensemble des
équipements du réseau ( travail fastidieux )
AAA Security Services
 AAA est un framework pour assurer :

Qui a le droit
d’accès ?

Qu’est ce qu’il peut


faire ?

Qu’est ce qu’il a fait ?


AAA Security Services
Authentication Authorization
L’identité
Combien vous pouvez avoir

Accounting
Vos transactions
Méthodes d’authentification AAA
 Les routeurs CISCO peuvent implémenter les deux
méthodes:
Local username and Cisco Secure Access
password database Control Server (ACS)
Authentification locale
 Nommée aussi “Self-contained AAA”, elle contient des
méthodes qui permettent d’authentifier des clients:
 Par exemple les login et des passwords
d’authentification, challenge response …

 Sa configuration est comme suite:


 Définir une list des méthodes nommées.
 Appliquer cette liste au interfaces (console, aux,
vty).

 La méthode default est appliqué par défaut sur les


interfaces si aucune méthode n’est crée ou affectée aux
interfaces.
AAA Authentification locale

 Les méthodes d’authentifications nommées ou default


définissent:

 Le type d’authentification à assurer (login, enable,


ppp…).

 la séquence d’authentification par exemple vérifier


dans DB locale d’abord, serveur RADIUS ensuite,
enfin un serveur TACACS+.
AAA Local Authentication
 Le client établit une connexion avec le routeur.
 Le routeur AAA demande du client le nom d’utilisateur et
le mot de passe.
 Avant de donner l’accès au client pour atteindre la
ressource souhaitée le routeur authentifie le nom
d’utilisateur et le mot de passe dans la BD locale.

Remote Client AAA


Router
1

2
3
Server-Based AAA Authentication
 La solution Access Control Server “ACS” est la solution la
plus répandue vu la centralisation du serveur.
 Tolérant aux pannes, car plusieurs ACS peuvent
coexister.
 Solution d’entreprise.

 Le serveur ACS peut être:

 Cisco Secure ACS pour le serveur Windows:


 Les services AAA du routeur contacent Cisco Secure
Access Control Server (ACS) pour l’authentification des
utilisateurs et des administrateurs.

 Cisco Secure ACS Solution Engine


L’authentification basée sur un serveur
1. Le client établit une session avec le routeur.
2. Le routeur AAA demande le nom d’utilisateur le mot de passe du
client.
3. Le routeur authentifie le client en se basant sur un serveur distant.
4. Le routeur est autorisé ou non d’accèder aux ressources qu’il a
demandé.

Cisco Secure
Client Distant Routeur AAA ACS Server
1

2 3
4
Autorisation
 Une fois le client authentifié, l’autorisation permet de
déterminer:

 Quelles ressources le client peut atteindre.

 Les opérations que l’utilisateur peut faire.


 P.e., “l’utilisateur ‘etudiant’ peut accèder au serveur
serverENITE en utilisant Telnet seulement.”

 Comme l’authentification AAA l’autorisation est configuré


sous formes des listes nommées à appliquer sur une
ligne / interface.
Autorisation AAA
Cisco Secure
Client Distant AAA ACS Server
Router
1

1.L’utilisateur est authentifié est la session est établie avec


le serveur ACS.

2.Quand l’utilisateur essaie de passer en mode privilège le


routeur vérifie auprès du routeur est ce que ce client
“student” a le droit d’exécuter la commande “enable”.

3.Le serveur AAA retourne la réponse PASS/FAIL.


Audit
 Fournit la méthode de la collecte et d'envoie des
informations au serveur de journalisation.

 Utilisé pour la facturation, l'audit et de reporting, tels que


l'identité des utilisateurs, durées de début/fin des
sessions, commandes exécutées, le nombre de paquets /
octets…
 La comptabilité est configuré en définissant une liste
"nommé" des méthodes accounting, et en appliquant
ensuite cette liste à diverses interfaces.
AAA Accounting
Cisco Secure
Remote Client AAA ACS Server
Router
1

1.Lorsqu'un utilisateur est authentifié, le processus de


comptabilité AAA génère un message de démarrage pour
lancer le processus d’audit.

2.Lorsque l'utilisateur se déconnecte, un message d'arrêt


est enregistrée et le processus accounting se termine.
Avantages AAA
 Une flexibilité accrue et un contrôle de l'évolutivité de la
configuration d'accès

 Des systèmes de sauvegarde multiples

 Méthodes d'authentification normalisées

 RADIUS, TACACS + et Kerberos


AAA - Évolutivité

 AAA est généralement implémenté en utilisant un


serveur ACS dédié pour stocker les noms d'utilisateur /
mots de passe dans une base de données centralisée.

 L'information est centralement ajoutée / modifiée


contrairement à une base de données locale
(configuration sur chaque routeur).
AAA – Plusieurs systèmes BACKUP
 La tolérance aux pannes peut être configurée sous
formes de séquences.
 Consulter un serveur RADIUS d’abord,
 Si RADIUS n’est pas accessible consulter TACACS+,
 Si les deux serveurs sont inaccessibles Locale DB.
 Si les trois sont inaccessibles, ce n’est pas votre
jours de chance 
AAA – Standardized Security Protocols
 AAA supporte les protocoles de sécurité standarisés.

 TACACS+

 Terminal Access Controller Access Control System Plus


 Remplacant de TACACS et XTACACS

 RADIUS
 Remote Authentication Dial-In User Service
Implémentation de l’authentification locale
AAA
Etapes de la configuration
d’authentification locale en CLI
1. Activer AAA globalement on utilisant :
 aaa new-model

2. Définir la méthode d’authentification AAA:


 aaa authentication

3. Appliquer
la méthode sur un interface ou bien une ligne
(VTY/Con/Aux …) .
Enable AAA
 La commande aaa new-model active la fonctionnalité
AAA.
 Les commandes AAA peuvent être implémenter par
la suite.
 Pour désactiver AAA, utiliser la commande no aaa
new-model.
 Attention:
 La commande d’activation AAA doit être executée
que lorsque les méthodes d’authentification vont
être configuré.
 Par défaut une fois aaa est activé cela force les
utilisateurs Telnet de s'authentifier avec un nom
d'utilisateur, même si aucune base de données
d'utilisateurs ou méthode d'authentification n’est
configurée.
Configuring Authentication

 Specify which type of authentication to configure:


 Login – active AAA pour des connexions TTY, VTYs, et con 0.
 Enable - active AAA pour l’accès au mode EXEC.
 PPP active AAA pour des connexions PPP (packet transfer).
Configuring Authentication

 La méthode default est appliquée par défaut sur toutes


les interfaces lorsqu’aucune méthode nommée n’est
définie.
Configuring Authentication

 Les méthodes énumèrent les types d’authentificatons à


effectuer dans l’ordre d’exécution par exemple:
 Mots de passe prédéfinis (p.e ., local, enable, ou line)
 Consulter des serveurs TACACS+ / RADIUS / Kerberos
Configure Authentication

Methods Description
enable Utiliser les mots de passe enable pour l’authentification.
line Utiliser les mots de passe des lignes pour l’authentification.
local Utilisation base des donnée locale .
local-case Utilisation base des donnée local ( sensible à la case).
none Aucune authentification.
group radius Utilisation d’un groupe de serveurs RADIUS .
group tacacs+ Utilisation d’un groupe de serveurs TACACS+.
Désactiver le compte en fonction d’un seuil
des tentatives de connexions non réussies
 Vérouiller les utilisateurs qui ont dépassé un seuil des
tentatives de connexions échouées:
 aaa local authentication attempts max-fail
number-of-unsuccessful-attempts
 Pour supprimer le verouillage des comptes, utiliser
no ensuite la commande çi dessous.
Router(config)#
aaa local authentication attempts max-fail [number-of-unsuccessful-attempts]

Mot clé Description


number-of-unsuccessful- Nombre des connexions échouées, avant la mise en
attempts quarantaine du compte .
Locking a User Account
 Le compte vérouiller restera toujours dans cette état,
tant que l’administrateur ne le dévrouillera pas par la
commande :
 clear aaa local user lockout {username
username | all}
 Cette commande est différente de login delay.

 login delay introduit un délai entre deux tentaives


erronées sans désactiver le compte en question.
Configuring Local AAA Authentication
 Ajouter des utilisateurs dans la base des donnée locale
du routeurs (avec leurs privilèges).
 Activer AAA globalement sur le routeur.
 Configurer les paramétres AAA sur le routeur.
 Diagnostic .

R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case
R1(config)# aaa local authentication attempts max-fail 10
Using a Named List

 La liste par défaut ou autre nommée peuvent être définis.


 La liste default est automatiquement appliquée sur
toutes les interfaces et lignes si aucune liste
nommée n’est définie.

R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case enable
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
Display User Information

R1# show aaa local user lockout

Local-user Lock time


JR-ADMIN 04:28:49 UTC Sat Dec 27 2008

R1# show aaa sessions


Total sessions since last reload: 4
Session Id: 1
Unique Id: 175
User Name: ADMIN
IP Address: 192.168.1.10
Idle Time: 0
CT Call Handle: 0
Troubleshooting AAA Authentication
R1# debug aaa ?
accounting Accounting
administrative Administrative
api AAA api events
attr AAA Attr Manager
authentication Authentication
authorization Authorization
cache Cache activities
coa AAA CoA processing
db AAA DB Manager
dead-criteria AAA Dead-Criteria Info
id AAA Unique Id
ipc AAA IPC
mlist-ref-count Method list reference counts
mlist-state Information about AAA method list state change and
notification
per-user Per-user attributes
pod AAA POD processing
protocol AAA protocol processing
server-ref-count Server handle reference counts
sg-ref-count Server group handle reference counts
sg-server-selection Server Group Server Selection
subsys AAA Subsystem
testing Info. about AAA generated test packets

R1# debug aaa


Troubleshooting AAA Authentication
R1# debug aaa authentication
113123: Feb 4 10:11:19.305 CST: AAA/MEMORY: create_user (0x619C4940) user=''
ruser='' port='tty1' rem_addr='async/81560' authen_type=ASCII service=LOGIN priv=1
113124: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): port='tty1' list=''
action=LOGIN service=LOGIN
113125: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): using "default" list
113126: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): Method=LOCAL
113127: Feb 4 10:11:19.305 CST: AAA/AUTHEN (2784097690): status = GETUSER
113128: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): continue_login
(user='(undef)')
113129: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETUSER
113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
113131: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETPASS
113132: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): continue_login
(user='diallocal')
113133: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = GETPASS
113134: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
113135: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = PASS
Configuring Local Authentication Using
CCP

AAA is disabled by
default in CCP.
Create Users
Configure a Login Authentication Method
Implementing Server-Based AAA
Authentication
Server-Based Solution
TACACS+ and RADIUS
 Cisco ACS supporte deux protocoles:
– Terminal Access Control Access Control Server Plus
(TACACS+)
– Remote Dial-in User Services (RADIUS)
TACACS+ and RADIUS
 Les deux peuvent échanger les données
d’authentification/autorisation/audit entre l’utilisateur et
le serveur.
 TACACS+ est considéré comme le plus sécurisé car tous
les échanges passent chiffrés.

 RADIUS chiffre seulement le mot de passe.


 Les noms d’utilisateurs – Droits – Audit passent en
clair , considéré comme l’ami des personnes mal
intentionné car il reste à deviner que le mot de
passe.
TACACS+ Authentication
 TACACS+ est un protocole propriétaire Cisco qui permet
de séparer les services AAA.
 La séparation des services ajoute plus de fléxibilité
dans l’implémentation, car on peut utiliser TACACS+
pour l’autorisation et l’audit , et d’autre protocoles
pour l’authentification.

Connect Username prompt?

Username? Use “Username”

JR-ADMIN JR-ADMIN

Password prompt?

Password? Use “Password”


“Str0ngPa55w0rd” “Str0ngPa55w0rd”

Accept/Reject
RADIUS Authentication
 RADIUS, développé par l’entreprise Livingston,un
standard IETF open pour les applications comme l’accès
réseau / mobilité IP.

 RADIUS est actuelement définit par RFCs 2865,


2866, 2867, and 2868.

 Le protocole RADIUS cache seulement le mot de passe


pendant l’échange mais garde le reste en clair.
RADIUS Authentication
 RADIUS ne sépare pas les services AAA.
 RADIUS utilise le port 1645 ou 1812 UDP pour
authentification et le port 1646 ou 1813 UDP pour
l’audit.

Access-Request
Username? (JR_ADMIN, “Str0ngPa55w0rd”)

JR-ADMIN Access-Accept
Password?

Str0ngPa55w0rd
RADIUS Authentication
 RADIUS est le plus utilisé pour les applications de la VOIP
(SIP).

 RADIUS est utilisé principalemet par le standard


802.1x.
 Le protocole DIAMETER est le protocole qui remplacera
RADIUS.
 DIAMETER utilse un nouveau protocole Stream
Control Transmission Protocol (SCTP) et TCP au lieu
de UDP.
TACACS+ vs. RADIUS
Feature TACACS+ RADIUS

Sépare les AAA, donc plus de Combine les AAA , moins de


Fonctionnalité
fléxibilité fléxibilité par rapport à TACACS+

Standard Protocole Cisco Open:/Standard RFC

UDP 1645 ou 1812 pour


Transport Protocol TCP port 49 l’authentification
UDP 1646 or 1813 pour l’audit

Bidirectional challenge and response Challenge unidirectionnel et le


CHAP client envoie ses cordonnées et le
Comme CHAP serveur réponds définitivement.
Support des
Multiprotocol support Pas d ARA, NetBEUI
protocoles

Confidentialité Entire packet encrypted Only the password is encrypted

Provides authorization of router Has no option to authorize router


Customization commands on a per-user or per- commands on a per-user or per-
group basis. group basis.

Accounting Limited Extensive


Cisco Secure ACS
Cisco Secure ACS Options
Cisco Secure ACS Express 5.0
– Entry-level ACS with simplified feature set
– Support for up to 50 AAA device and up to 350 unique user ID logins in a
24-hour period

Cisco Secure ACS for Windows can be installed on:


– Windows 2000 Server with Service Pack 4
– Windows 2000 Advanced Server with Service Pack 4
– Windows Server 2003 Standard or Enterprise Edition
– Windows Server 2008 Standard or Enterprise Edition

Cisco Secure ACS Solution Engine


– A highly scalable dedicated platform that serves as a high-performance
ACS
– 1RU, rack-mountable
– Preinstalled with a security-hardened Windows software, Cisco Secure
ACS software
– Support for more than 350 users
Cisco Secure ACS - Home
Cisco Secure ACS - Home
ACS External Databases
ACS External Databases
ACS Group Setup
ACS User Setup
Configuring Server-Based AAA
Authentication
Etapes de configuration CLI
1. Activer AAA en mode configuration global:
 aaa new-model
2. Déclaration des serveurs et des clès:
 Server IP address and Key
3. Définir les méthodes d’authentification:
 aaa authentication
4. Appliquer
ces méthodes aux interfaces ( si c’est
nécessaire).
5. Configurer les autorisations ( optionnel):
 aaa authorization
6. Configurer l’audit des évenement (optionnel):
 aaa accounting
Server-Based AAA Authentication
1. Spécifiez l’adresse ip du serveur qui va fournir
l’authentification
2. Configurer la clé de chiffrement nécessaire pour le
chiffrement des données transitant entre le serveur ACS
et les clients
AAA Configuration Commands
Commande Description

• Indiquer l’adresse IP du serveur ACS et spécifier le


mode single-connection .
tacacs-server host • Cette fonctionnalité maintient une seule connexion
ip-address pour tout l’échange entre un serveur ACS et des
single-connection clients (Routeurs / Switchs), au lieu d’ouvrir pour
chaque requêtes une sessions TCP, cette solution
permet de gagner le temps et les performances.

• Etablir un secret entre un NAS est le ACS server ,


tacacs-server key key cette clé servira pour le chiffrement de tout les
échanges AAA.

radius-server host ip-


address • Spécifier l’adresse IP du serveur RADIUS.

radius-server key key


Configurer les paramètres des serveurs
AAA
192.168.1.100

R1

Cisco Secure ACS


for Windows
using RADIUS

192.168.1.101

Cisco Secure ACS


Solution Engine
using TACACS+

R1(config)# aaa new-model


R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
Définir une liste des méthodes
R1(config)# aaa authentication login default ?
enable Use enable password for authentication.
group Use Server-group
krb5 Use Kerberos 5 authentication.
krb5-telnet Allow logins only if already authenticated via Kerberos V
Telnet.
line Use line password for authentication.
local Use local username authentication.
local-case Use case-sensitive local username authentication.
none NO authentication.
passwd-expiry enable the login list to provide password aging support

R1(config)# aaa authentication login default group ?


WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.

R1(config)# aaa authentication login default group


AAA Authentication Commands
R1(config)# aaa authentication login default group tacacs+ group radius local-case

Paramètere Description

• Cette méthode est appliquée par défaut sur toutes les lignes
default
et sur tout les ports

• The group radius and group tacacs+ methods refer to


group group-name previously defined RADIUS or TACACS+ servers.
group radius • The group-name string allows the use of a predefined group
group tacacs+ of RADIUS or TACACS+ servers for authentication (created
with the aaa group server radius or aaa group server
tacacs+ command).
Configuring the AAA Server 192.168.1.100

R1

Cisco Secure ACS


for Windows
using RADIUS

192.168.1.101

Cisco Secure ACS


Solution Engine
using TACACS+

R1(config)# aaa new-model


R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
R1(config)# aaa authentication login default group tacacs+ group radius local-case
R1(config)#
Troubleshooting Server-Based
Authentication
R1# debug aaa authentication
AAA Authentication debugging is on
R1#
14:01:17: AAA/AUTHEN (567936829): Method=TACACS+
14:01:17: TAC+: send AUTHEN/CONT packet
14:01:17: TAC+ (567936829): received authen response status = PASS
14:01:17: AAA/AUTHEN (567936829): status = PASS
Troubleshooting Server-Based
Authentication
R1# debug tacacs ?
accounting TACACS+ protocol accounting
authentication TACACS+ protocol authentication
authorization TACACS+ protocol authorization
events TACACS+ protocol events
packet TACACS+ packets
<cr>

R1# debug radius ?


accounting RADIUS accounting packets only
authentication RADIUS authentication packets only
brief Only I/O transactions are recorded
elog RADIUS event logging
failover Packets sent upon fail-over
local-server Local RADIUS server
retransmit Retransmission of packets
verbose Include non essential RADIUS debugs
<cr>

R1# debug radius


Troubleshooting Server-Based
Authentication
R1# debug tacacs
TACACS access control debugging is on
R1#

13:53:35: TAC+: Opening TCP/IP connection to 192.168.1.101 using source 192.48.0.79


13:53:35: TAC+: Sending TCP/IP packet number 416942312-1 to 192.168.1.101
(AUTHEN/START)
13:53:35: TAC+: Receiving TCP/IP packet number 416942312-2 from 192.168.60.15
13:53:35: TAC+ (416942312): received authen response status = GETUSER
13:53:37: TAC+: send AUTHEN/CONT packet
13:53:37: TAC+: Sending TCP/IP packet number 416942312-3 to 192.168.1.101
(AUTHEN/CONT)
13:53:37: TAC+: Receiving TCP/IP packet number 416942312-4 from 192.168.60.15
13:53:37: TAC+ (416942312): received authen response status = GETPASS
13:53:38: TAC+: send AUTHEN/CONT packet
13:53:38: TAC+: Sending TCP/IP packet number 416942312-5 to 192.168.1.101
(AUTHEN/CONT)
13:53:38: TAC+: Receiving TCP/IP packet number 416942312-6 from 192.168.60.15
13:53:38: TAC+ (416942312): received authen response status = FAIL
13:53:40: TAC+: Closing TCP/IP connection to 192.168.60.15
Server-Based AAA Using CCP
Server-Based AAA Using CCP
Server-Based AAA Using CCP
Server-Based Authorization
Authorization

 Limiter les droits d’utilisateurs.

Router(config)#
aaa authorization type { default | list-name } method1 … [method4]
Command Authorization
Command authorization for user
show version JR-ADMIN, command “show version”?

Display “show
Accept
version” output

JR-ADMIN Command authorization for user


configure terminal JR-ADMIN, command “config terminal”?

Do not permit “configure


Reject
terminal”
Configuring Authorization Type
R1(config)# aaa authorization ?
auth-proxy For Authentication Proxy Services
cache For AAA cache configuration
commands For exec (shell) commands.
config-commands For configuration mode commands.
configuration For downloading configurations from AAA server
console For enabling console authorization
exec For starting an exec (shell).
ipmobile For Mobile IP services.
multicast For downloading Multicast configurations from an AAA server
network For network services. (PPP, SLIP, ARAP)
prepaid For diameter prepaid services.
reverse-access For reverse access connections
template Enable template authorization
R1(config)# aaa authorization exec ?
WORD Named authorization list.
default The default authorization list.
R1(config)# aaa authorization exec default ?
group Use server-group.
if-authenticated Succeed if user has authenticated.
krb5-instance Use Kerberos instance privilege maps.
local Use local database.
none No authorization (always succeeds).
R1(config)# aaa authorization exec default group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
Configuring Authorization
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec default group tacacs+
R1(config)# aaa authorization network default group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1(config-line)# ^Z
Configuring Authorization in CCP
Configuring Authorization in CCP
Server-Based Accounting
Accounting

Router(config)#

aaa accounting type { default | list-name } record-type method1 … [method2]


Configuring Accounting
R1(config)# aaa accounting ?
auth-proxy For authentication proxy events.
commands For exec (shell) commands.
connection For outbound connections. (telnet, rlogin)
delay-start Delay PPP Network start record until peer IP address is known.
exec For starting an exec (shell).
gigawords 64 bit interface counters to support Radius attributes 52 & 53.
multicast For multicast accounting.
nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP
record.
network For network services. (PPP, SLIP, ARAP)
resource For resource events.
send Send records to accounting server.
session-duration Set the preference for calculating session durations
suppress Do not generate accounting records for a specific type of user.
system For system events.
update Enable accounting update records.
R1(config)# aaa accounting exec ?
WORD Named Accounting list.
default The default accounting list.
R1(config)# aaa accounting exec default ?
none No accounting.
start-stop Record start and stop without waiting
stop-only Record stop when service terminates.
R1(config)# aaa accounting exec default start-stop?
broadcast Use Broadcast for Accounting
group Use Server-group
R1(config)# aaa accounting exec default start-stop group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
Configuring Accounting Sample Config
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec group tacacs+
R1(config)# aaa authorization network group tacacs+
R1(config)# aaa accounting exec start-stop group tacacs+
R1(config)# aaa accounting network start-stop group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1(config-line)# ^Z

Vous aimerez peut-être aussi