Lorsque l’on commence \u00e0 avoir un peu de mat\u00e9riel r\u00e9seau (i.e. Cisco \ud83d\ude42 ), il est alors int\u00e9ressant de centraliser l’authentification et l’autorisation sur ses \u00e9quipements.<\/p>\n
Les serveurs que vous rencontrerez le plus souvent sont les Radius (bien connu des internautes :-p ) et plus sp\u00e9cifiquement \u00e0 Cisco, Tacacs+.<\/p>\n
On peut d’authentifier sur un Cisco de plusieurs fa\u00e7ons, soit part un mot de passe local, soit via un serveur Radius, soit via un serveur TACACS+<\/a>.<\/p>\n C’est cette derni\u00e8re solution que nous allons mettre en oeuvre.<\/p>\n Je ne rentrerais pas dans les d\u00e9tails concernant L’authentification, l’autorisation et l’accounting (le fameux AAA) ni dans le choix de TACACS+ plut\u00f4t que Radius, aussi je vous invite \u00e0 lire ce tr\u00e8s bon article de Ben<\/a>.<\/p>\n Bien \u00e9videmment, j’ai choisi mes serveurs OpenBSD pour y install\u00e9 Tacacs+.<\/p>\n De plus le package TACACS+ est diponible pour le poisson qui pique ( tacacs+-4.0.4ap1.tgz pour la version 4.3).<\/p>\n Vous le trouverez s\u00fbrement pour votre distribution Linux favorite sinon, sur le FTP de Cisco, ftp-eng.cisco.com dans \/pub\/tacacs .<\/p>\n La configuration se fait dans le fichier \/etc\/tac_plus.conf.<\/p>\n Nous allons faire une configuration simplifi\u00e9e qui nous servira a nous authentifier sur nos ciscos avec 2 comptes. Celui de l’administrateur et un compte Op\u00e9rateur qui nous servira plus tard pour la sauvegarde \ud83d\ude09 (dans un futur billet) .<\/p>\n On \u00e9vitera bien \u00e9videment de mettre les mots de passe en clair… L’utilitaire \/usr\/local\/sbin\/generate_passwd vous permettra de chiffrer vos mots de passe :<\/p>\n On d\u00e9fini un groupe \u00ab\u00a0Admin\u00a0\u00bb et un groupe \u00ab\u00a0Operator\u00a0\u00bb :<\/p>\n Ici je mets login = cleartext pour d\u00e9finir un mot de passe en clair (c’est un exemple hein !!!!), crypt\u00e9 toujours vos mots de passe dans vos fichiers de configuration.<\/p>\n Je d\u00e9finie l’admin \u00ab\u00a0charlie\u00a0\u00bb qui fait partie du groupe \u00ab\u00a0admin\u00a0\u00bb et qui a tout les droits (default service=permit).<\/p>\n Je d\u00e9finie l’utilisateur \u00ab\u00a0lulu\u00a0\u00bb (oui je sais j’ai un humour imparable…), membre du groupe \u00ab\u00a0operator\u00a0\u00bb et n’a le droit d’executer que les commandes suivantes :<\/p>\n show version<\/p>\n show ip<\/p>\n traceroute (vers n’importe ou)<\/p>\n logout (vaut mieux \ud83d\ude42 )<\/p>\n Ne reste plus qu’a lancer le serveur :<\/p>\n \/usr\/local\/sbin\/tac_plus -C \/etc\/tac_plus.conf<\/p>\n (A rajouter bien s\u00fbr dans votre \/etc\/rc.local et n’oubliez pas non plus d’ouvrir le port 49\/tcp dans PacketFilter si vous faites du filtrage).<\/p>\n Sur les routeurs et switchs :<\/p>\n Sur un Pix 6.3 :<\/p>\n Attention<\/strong> : N’oubliez pas de rajouter enable (ou local) a la fin de la ligne aaa authentication, ceci afin de vous permettre de vous identifier quand le serveur TACACS+ est indisponible (enfin, c’est vous qui voyez \ud83d\ude00 )<\/p>\n Et voil\u00e0, d\u00e9sormais vous pouvez vous logguer sur vos Cisco avec le user \u00ab\u00a0charlie\u00a0\u00bb et le mot de passe associ\u00e9.<\/p>\n J’ai volontairement simplifi\u00e9 la proc\u00e9dure, il y a \u00e9norm\u00e9ment d’options possible, d’accounting et d’autorisation que je vous laisse potasser tranquillement \ud83d\ude00<\/p>\n Quelques documents ICI<\/a><\/p>\n et LA<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Lorsque l’on commence \u00e0 avoir un peu de mat\u00e9riel r\u00e9seau (i.e. Cisco \ud83d\ude42 ), il est alors int\u00e9ressant de centraliser l’authentification et l’autorisation sur ses \u00e9quipements. Les serveurs que vous rencontrerez le plus souvent sont les Radius (bien connu des … Read More \n
key = macl\u00e9secr\u00e8te (une cl\u00e9 d'\u00e9change)\r\n\r\naccounting file = \/var\/log\/tacacs\r\n\r\n# Le password Enable :\r\n\r\nuser = $enable$ {\r\n\r\n login = des \"1234567890\"\r\n\r\n }<\/pre>\npoissonquipique# .\/generate_passwd\r\n\r\nPassword to be encrypted:<\/pre>\n
\r\ngroup = admin {\r\n\r\nlogin = des \"AB12GR54RE98\"\r\n\r\nexpires = \"Dec 31 2099\"\r\n\r\n}\r\n\r\ngroup = operators {\r\n\r\nlogin = cleartext \"motdepassesupersecret\"\r\n\r\nexpires = \"Dec 31 2999\"<\/pre>\n\r\nuser = charlie {\r\ndefault service = permit\r\nmember = admin\r\n}<\/pre>\n\r\nuser = lulu {\r\nmember = operators\r\ncmd = show { permit ver permit ip }\r\ncmd = traceroute { permit .* }\r\ncmd = logout { permit .* }\r\n}<\/pre>\n\n
aaa new-model\r\naaa authentication login default group tacacs+ enable<\/pre>\n
tacacs-server host ipdupoissonquipique\r\ntacacs-server directed-request\r\ntacacs-server key macl\u00e9secr\u00e8te\r\n\r\nline vty 0 4\r\nexec-timeout 0 0\r\npassword motdepasselocal\r\nlogin authentication default<\/pre>\n
aaa-server TACACS+ protocol tacacs+\r\naaa-server TACACS+ max-failed-attempts 3\r\naaa-server TACACS+ deadtime 10\r\naaa-server TACACS+ (inside) host ipdupoissonquipique macl\u00e9secr\u00e8te timeout 10\r\naaa-server LOCAL protocol local\r\naaa authentication ssh console TACACS+ LOCAL<\/pre>\n