Authentification RADUIS sur switch CISCO 2950
Authentification RADUIS sur switch CISCO 2950 - Sécurité - Systèmes & Réseaux Pro
![[:ass_kicker57]](https://forum-images.hardware.fr/images/perso/ass_kicker57.gif "[:ass_kicker57]")
car j'arrive toujours po
Marsh Posté le 20-04-2007 à 23:40:59
a c'est possible. je pensais que sa touché plus la sécurité mais bon. Je peux déplacer le topic ou c'est demande admin?
Marsh Posté le 23-04-2007 à 23:39:04
plusieurs choses.
Tout d'abord, tu ne trouveras pas de reponse generique, car a chaque implementation AAA correspond une config différente, et personne ne va s'amuser à essayer vraiment de comprendre la tienne : isole tes problèmes si tu veux des réponses (par ex, mois je le fait avec le serveur tacacs libre tacplus, et ca marche tres bien, alors je ne vais pas me plonger dans ta conf aaa new-model).
Quand tu joue avec le AAA, ne fait jamais de 'wr mem', comme ca, si tu te coupe la patte, un reboot est suffisant, et tu es pas obligé de te retapper toute la conf.
Si tu as accès à la console, la première chose que tu devrais mettre en place c'est un methode d'authentification de fall-back au niveau de la 'line con0', qui utilise une authentification speciale (pas default, donc) qui bypass le radius.
Enfin, quand tu joue avec ca, active le mode debug du AAA, tu verras plus clairement quel point chagrine ton switch, les logs sont assez complets (pense à faire un 'term mon' si connexion line).
Bonne chance
Marsh Posté le 24-04-2007 à 16:04:01
Merci pour ta réponse !!
Je passe à sa traduction 
Si j'ai compris, le protocole tacacs est une solution permettant dassurer la sécurité relative aux accès distants. RADUIS s'appuie donc sur ce protocole, on est d'accord?
Le AAA permet de définir des méthodes/models d'authentification? Il peut donc y avoir plusieurs méthodes apparament?
Bonne idée pour le 'wr'!! Merci!
Je vais me renseigner pour mettre en place une méthode d'authentification de fall-back au niveau de la 'line con0'.
Je suppose que lorsque tu dis "bypass", sa passe avant le RADIUS. Je vais aussi regardé comment activer le debug AAA.
Pour information, j'utilise Tera Term PRO.
Merci pour tous ses nouveaux termes, je vais en avoir appris un peu plus comme sa.
J'y retourne de suite! 
Marsh Posté le 24-04-2007 à 16:25:24
Arf, je trouve rien pour le fall-back de la line console/Radius. Je sais pas trop quoi taper dans mon ami google...
Edit:
Ah si, j'ai peut être trouvé ceci : http://www.cisco.com/en/US/product [...] ml#1088508
Message édité par _w0lf_ le 24-04-2007 à 16:28:38
Marsh Posté le 24-04-2007 à 17:56:48
Bon, j'ai avancé légèrement.
J'arrive à un début d'authentification via Telnet. Je dis début car une fois loggué, j'ai accès au switch en mode de base uniquement 
. (le message est "error authentication" ).
Le debug aaa donne ceci :
| Citation : |
Je sais pas si c'est le fait que le password de base n'est pas défini mais bon. il trouve l'utilisateur + le pass de l'AD; mais après, qu'est-ce qui cloche?
Après un reboot switch, en telnet; il me mets "password required but none set" mais c'est normal. Si j'en mets un, il n'y a plus d'interet à l'authentificaiton Radius. Pourtant, il me semble avoir fait un "wr".. Pas grave sa m'évitera de me retaper la config.
Que puis-je fais pour le (nouveau) problème d'authentification?
Par avance, merci 
Marsh Posté le 26-04-2007 à 12:27:50
![[:alex684]](https://forum-images.hardware.fr/images/perso/alex684.gif "[:alex684]")
De plus, j'ai pas réussis a trouver comment faire passer la ligne console en prioritaire donc je dois encore tous effacer et tous refaire :S ![[:hypnotic]](https://forum-images.hardware.fr/images/perso/hypnotic.gif "[:hypnotic]")
Marsh Posté le 27-04-2007 à 06:51:06
voila ce que je fais en tacacs pour la console
aaa new-model
aaa authentication login default group tacacs+ line
aaa authentication login LINE line
aaa authentication enable default group tacacs+ enable
line con 0
exec-timeout 5 0
privilege level 15
password 7 xx
login authentication LINE
line vty 0 4
access-class 2 in
exec-timeout 0 0
password 7 xx
length 0
Marsh Posté le 30-04-2007 à 22:26:21
Bonsoir,
Bon, j'ai encore tout recommencer et sa ne fonctionne toujours pas 
Néanmoins, voici les log du aaa :
| Citation : |
Sinon, comme j'ai un doute sur la question, je la pose : le groupe crée sous l'A.D doit etre le même que lorsque l'on tape ses commandes dans le switch cisco :
| Citation : |
ou "radgrp" est le nom du groupe défini dans l'A.D ???
De tte façon, j'ai essayé avec le même nom et sa n'a pas fonctionner.
Je ne sais plus trop quoi faire...
Marsh Posté le 12-06-2007 à 19:39:33
Juste pour info : TACACS est un protocol propriétaire Cisco... donc qui marche avec un serveur AAA Cisco ou compatatible...
Marsh Posté le 12-06-2007 à 21:56:28
| alltech a écrit : Juste pour info : TACACS est un protocol propriétaire Cisco... donc qui marche avec un serveur AAA Cisco ou compatatible... |
Juste pour info : RADIUS est un protocole standard ietf... donc qui marche avec un serveur AAA Cisco ou compatible Radius...
Marsh Posté le 12-06-2007 à 23:56:03
ton titre presente un soucis. Un 2950 est un switch N2 pas un routeur.
Marsh Posté le 13-06-2007 à 00:15:01
Merci a tous pour votre mais j'ai résolu mon problème ^^
J'avais oublié quelques commandes super importantes comme "generate key"....
bonne nuit.
Marsh Posté le 16-08-2007 à 17:22:32
Salut,
| Citation : |
La voici. Et aussi "bonjour"/"merci"; sa peux aider des gens....
Bye.
Marsh Posté le 16-08-2007 à 23:20:25
Reply
Marsh Posté le 17-04-2007 à 11:30:50
Bonjour,
J'essaie actuellement de mettre en place une authentification Raduis sur un CISCO 2950.
Par défaut, il ne prend pas le SSH donc je lui est mis un autre IOS qui le prend en compte
c2950-i6k2l2q4-mz.121-22.EA5a.bin
Ensuite, j'ai crée des utilisateurs dans l'AD avec un groupe pour la connexion au switch :
groupe : adminsw
utilisateurs: adminsw1 & adminsw2
.
J'ai pensé à leur cocher "autoriser l'acces à distance dans les propriétés.
Ensuite, j'ai configurer le switch en faisant ceci :
Switch2950(config)#aaa new-model ### efface la configuration aaa précédente a faire absolument !
Switch2950 (config)#radius-server host @IP auth-port 1645 acct-port 1646 key azerty ## Important : ici vous devez rentrez ladresse IP du serveur RADIUS mais surtout la key ici azerty doit correspondre au secret partagé que vous avez renter lors de lajout de clients RADIUS sur le serveur W2K.
Switch2950(config)#radius-server timeout 5
Switch2950(config)#radius-server retransmit 5
Switch2950(config)#aaa group server radius radgrp ## Attribue le groupe radgrp au serveur RADIUS
Switch2950(config-sg-radius)#server @IP auth-port 1645 acct-port 1646 ## Le groupe radgrp contient le serveur @IP et utilise le port 1645 pour lauthentification et le 1646 pour « lAccounting », cest à dire la gestion des informations récoltées pendant toute la durée de la session, après identification de l'utilisateur.
Switch2950(config-sg-radius)#exit
Switch2950(config)#aaa authentication login specific group radgrp enable ##Lauthentification doit se dérouler grace à un login qui est spécifique au groupe radgrp sachant que ce groupe et celui du serveur RADIUS.
Switch2950(confgi)#aaa authorization exec default group radgrp local ##Cette commande permet de lui dire de prendre en compte les autorisations en fonction du niveau de privileges accordés.
Switch2950(config)#line vty 0 4
Switch2950(config-line)#login authentication specific ##Linterface line vty 0 4 utilise le principe de lauthentification spécifique au serveur RADIUS.
Switch2950#wr
Pour finir, j'ai configurer le serveur RADUIS:
J'ai crée un client RADUIS avec pour @IP l'@IP du switch. En utilisateur, j'ai pris adminsw (et/ou administrateurs du domaine). Dans Profil, j'ai pris « Authentification non cryptée (PAP, SPAP) » puis j'ai ajouter "Vendor-specific":
N° attribut assigné au fournisseur: 1
Valeur d'attribut : shell : priv-lvl=15
J'au ajouter "Service-type" => login.
Ensuite, pour les ports d'authentification j'ai pris 1645 et pour les comptes 1646.
J'ai inscrit tous sa dans l'AD.
Apres toute cette configuration, j'essaie de me loguer via Telnet:
user : adminsw1
pass : azerty
authentification failed!
Et voila, j'ai recommencé plein de fois; toujours la même erreur. Le pire, c'est que je ne peux plus acceder au switch par le port COM car ce dernier refuse du à l'authentification SSH. Je suis obligé de passer en mode Rommon pour effacer la config; la refaire puis refaire les config RADUIS pour arriver au final au même message d'erreur.
Bizarrement, même avec Putty en SSH, la connexion est refusé.
Quelqu'un aurait déjà eu se problème?
Merci et désolé du roman.. mais plus y'a d'explication, plus le problème est "simple" à cerné..
Message édité par _w0lf_ le 13-06-2007 à 00:13:50