Professional Documents
Culture Documents
serveur d'accs
Contenu
Introduction
Avant de commencer
Conventions
Conditions pralables
Composants utiliss
Diagramme du rseau
Configuration gnrale de AAA
Activer AAA
Spcifier le serveur AAA externe
Configuration du serveur AAA
Configuration de l'authentification
Authentification de connexion
Authentification PPP
Configurer l'autorisation
Autorisation exec
Autorisation de rseau
Configurer la comptabilit
Configurer des exemples de comptabilit
Informations connexes
Introduction
Ce document explique comment configurer AAA (authentification, autorisation et comptabilit) sur
un routeur Cisco utilisant les protocoles Radius et TACACS+. Le but de ce document n'est pas de
couvrir toutes les fonctionnalits d'AAA, mais d'expliquer les commandes principales et fournir
quelques exemples et lignes directrices.
Avant de commencer
Conventions
Pour plus d'informations sur les conventions des documents, rfrez-vous aux Conventions
utilises pour les conseils techniques de Cisco.
Conditions pralables
Pour obtenir une prsentation de AAA et pour des dtails complets au sujet des commandes et
des options AAA, veuillez vous reporter au Guide de configuration de la scurit IOS 12.2 :
Utilisation de l'authentification, l'autorisation et la comptabilit
Composants utiliss
Les informations de ce document sont bases sur la ligne principale de la version 12.1 du logiciel
Cisco IOS.
Les informations prsentes dans ce document ont t cres partir de priphriques dans un
environnement de laboratoire spcifique. Tous les priphriques utiliss dans ce document ont
dmarr avec une configuration efface (par dfaut). Si vous travaillez dans un rseau
oprationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de
l'utiliser.
Diagramme du rseau
Pour activer AAA, vous devez configurer la commande aaa new-model en configuration globale.
Remarque:Jusqu' ce que cette commande soit active, toutes les autres commandes AAA sont
masques.
En configuration globale, dfinissez le protocole de scurit utilis avec AAA (Radius, TACACS+).
Si vous ne voulez utiliser aucun de ces deux protocoles, vous pouvez utiliser la base de donnes
locale sur le routeur.
Si vous utilisez TACACS+, utilisez la commande tacacs-server host <IP address of the AAA
server> <key> .
Si vous utilisez Radius, utilisez la commande radius-server host <IP address of the AAA server>
<key> .
Le serveur AAA doit avoir un IP accessible depuis le serveur d'accs (effectuez un test ping pour
vrifier la connectivit).
Configuration de l'authentification
L'authentification vrifie les utilisateurs avant qu'ils soient autoriss l'accder au rseau et aux
services rseau (qui sont vrifis avec l'autorisation).
Le logiciel Cisco IOS utilise la premire mthode liste pour authentifier des utilisateurs. Si cette
mthode choue ragir (indiqu par une ERREUR), le logiciel Cisco IOS slectionne la
prochaine mthode d'authentification figurant dans la liste de mthodes. Ce processus continue
jusqu' ce qu'une transmission russisse avec une mthode d'authentification liste ou que toutes
les mthodes dfinies dans la liste de mthodes soient puises.
Il est important de noter que le logiciel Cisco IOS essaie d'authentifier avec la mthode
d'authentification suivante liste seulement quand il n'y a aucune rponse la mthode
prcdente. Si l'authentification choue un point quelconque de ce cycle, ce qui signifie que le
serveur AAA ou la base de donnes de noms d'utilisateur local rpond en refusant l'accs de
l'utilisateur (indiqu par un FAIL), le processus d'authentification s'interrompt et aucune autre
mthode d'authentification n'est essaye.
Pour permettre une vrification de l'utilisateur, vous devez configurer le nom d'utilisateur et le mot
de passe sur le serveur AAA.
Authentification de connexion
Vous pouvez utiliser la commande aaa authentication login pour authentifier les utilisateurs qui
veulent un accs exec dans le serveur d'accs (tty, vty, console et aux).
Remarque:Le serveur (Radius ou TACACS+) ne rpondra pas une requte aaa authentication
envoye par le serveur d'accs s'il n'y a aucune connectivit IP, si le serveur d'accs n'est pas
correctement dfini sur le serveur AAA ou si le serveur AAA n'est pas correctement dfini sur le
serveur d'accs.
Remarque:Avec l'exemple ci-dessus, si nous n'incluons pas le mot cl local, nous avons :
Remarque:Le mot cl group fournit une faon de grouper les htes serveurs existants. La
fonctionnalit permet l'utilisateur de slectionner un sous-ensemble d'htes du serveur
configurs et de les utiliser pour un service particulier. Pour plus d'informations sur cette
fonctionnalit avance, reportez-vous au document AAA Server-Group.
Nous configurons:
Remarque:Pour avoir un accs la console authentifi par un nom d'utilisateur local et un mot de
passe, utilisez :
Vous pouvez mettre l'authentification pour accder au mode activer (privilge 15).
Nous configurons:
Si le serveur Radius ne rpond pas, le mot de passe activ configur localement sur le routeur
devra tre entr.
Authentification PPP
La commande aaa authentication ppp est utilise pour authentifier une connexion PPP. Elle est
gnralement utilise pour authentifier l'ISDN ou les utilisateurs distants analogiques qui veulent
accder Internet ou un site central travers un serveur d'accs.
Le serveur d'accs a une interface ISDN qui est configure pour accepter des clients PPP
entrants. Nous utilisons un dialer rotary-group 0, mais la configuration peut tre faite sur l'interface
principale ou l'interface du profil numroteur.
Nous configurons
Pour utiliser une liste nomme plutt que la liste par dfaut, configurez les commandes suivantes :
Router(config)# aaa authentication ppp ISDN_USER group radius Router(config)# int dialer 0
Router(config-if)# pp authentication chap ISDN_USER
Dans cet exemple, la liste est ISDN_USER et la mthode est Radius.
Le serveur d'accs a une carte de modem interne (Mica, Microcom ou port suivant). Supposons
que les commandes aaa authentication login et aaa authentication ppp sont toutes les deux
configures.
Si l'utilisateur d'un modem accde d'abord au routeur en utilisant une session exec en mode
caractre (par exemple, en utilisant Terminal Window after Dial), l'utilisateur est authentifi sur une
ligne tty. Pour lancer une session en mode paquet, les utilisateurs doivent saisir ppp default ou
ppp. Puisque l'authentification PPP est explicitement configure (avec aaa authentication ppp),
l'utilisateur est authentifi de nouveau au niveau PPP.
Pour viter cette deuxime authentification, nous pouvons utiliser le mot cl if-needed.
Router(config)# aaa authentication login default group radius local Router(config)# aaa
authentication ppp default group radius local if-needed
Remarque:Si le client commence une session PPP directement, l'authentification PPP est
directement excute puisqu'il n'y a aucun accs de connexion au serveur d'accs.
Configurer l'autorisation
L'autorisation est le processus par lequel vous pouvez contrler ce qu'un utilisateur peut ou ne
peut pas faire.
Pour plus d'informations sur les autres types d'autorisation, veuillez vous reporter au Guide de
configuration de scurit Cisco IOS, version 12.2.
Autorisation exec
L'autorisation Exec est seulement effectue sur les lignes vty et tty.
Nous configurons:
Remarque:Avec cet exemple, si le mot cl local n'est pas inclus et que le serveur AAA ne rpond
pas, alors l'autorisation ne sera jamais possible et la connexion chouera.
partir de l'exemple 1, si un utilisateur qui se connecte au serveur d'accs doit tre autoris
entrer directement le mode activer, configurez le couple attribut-valeur suivant de Cisco sur le
serveur AAA :
shell:priv-lvl=15
Ceci signifie que l'utilisateur passera directement au mode enable.
Remarque:Si la premire mthode choue rpondre, alors la base de donnes locale est
utilise. Cependant, l'utilisateur ne passera pas directement au mode d'activation, mais devra
lancer la commande d'activation et fournir le mot de passe d'activation.
Pour configurer un dlai d'inactivit (de sorte que la session soit dconnecte en cas d'absence
de trafic aprs un dlai d'inactivit), utilisez l'attribut 28 de Radius IETF : Idle-Timeout sous le
profil de l'utilisateur.
Autorisation de rseau
La commande de rseau d'autorisation AAA excute l'autorisation pour toutes les demandes de
service lies l'ensemble du rseau, telles que PPP, SLIP et ARAP. Cette section se concentre
sur PPP, qui est le plus couramment utilis.
Le serveur AAA vrifie si une session PPP du client est autorise. De plus, des options PPP
peuvent tre demandes par le client : rappel, compression, adresse IP et ainsi de suite. Ces
options doivent tre configures sur le profil de l'utilisateur sur le serveur AAA. De plus, pour un
client dtermin, le profil AAA peut contenir le dlai d'inactivit, la liste d'accs et d'autres attributs
par utilisateur qui seront tlchargs par le logiciel Cisco IOS et appliqus pour ce client.
Service-Type=7 (encadr)
Protocole encadr = PPP
Vous pouvez utiliser le serveur AAA pour allouer des attributs par utilisateur, tels que l'adresse IP,
le numro de rappel, la valeur de la dure d'inactivit du numroteur, la liste d'accs, etc. Dans
une telle implmentation, NAS tlcharge les attributs appropris du profil d'utilisateur du serveur
AAA.
Comme pour l'authentification, nous pouvons configurer un nom de liste plutt qu'utiliser celui par
dfaut :
Configurer la comptabilit
La fonctionnalit de comptabilit AAA vous permet de suivre les services auxquels les utilisateurs
accdent et la quantit des ressources rseau qu'ils consomment.
La comptabilit de rseau fournit des informations pour toutes les sessions PPP, Slip et
Protocole d'accs distance AppleTalk (ARAP) : le comptage de paquets, le comptage des
octets, le temps de session et l'heure de dbut et de fin.
La comptabilit Exec fournit des informations au sujet des sessions terminales Exec de
l'utilisateur (session telnet par exemple) du serveur d'accs au rseau : temps de session,
heure de dbut et de fin.
Pour plus d'informations sur les autres types d'autorisation, veuillez vous reporter au Guide de
configuration de scurit Cisco IOS, version 12.2.
Les exemples ci-dessous se concentrent sur la faon dont les informations peuvent tre envoyes
au serveur AAA.
Pour chaque session entrante PPP, l'information de comptabilit est envoye au serveur AAA une
fois que le client est authentifi et aprs la dconnexion en utilisant le mot cl start-stop.
Si l'information de comptabilit doit tre envoye seulement aprs la dconnexion d'un client,
utilisez le mot cl arrt et configurez la ligne suivante :
Jusqu' ce stade, la comptabilit AAA fournit le support d'enregistrement de dbut et de fin pour
les appels qui ont t soumis l'authentification de l'utilisateur.
Avec cette commande, l'enregistrement comptable de dbut et de fin d'tablissement d'un appel et
de dconnexion d'un appel suit la progression de la connexion de la ressource au priphrique.
Un enregistrement comptable de dbut-fin de l'authentification de l'utilisateur distinct suit la
progression de gestion des utilisateurs. Ces deux ensembles d'enregistrements comptables sont
lis en utilisant une seule session ID pour l'appel.
Informations connexes
Support technique - Cisco Systems