Authentification centralisée via TACACS+
Par Geo le mardi 11 novembre 2008, 11:19 - Authentification - Lien permanent
Afin de vous simplifier la gestion utilisateurs et surtout améliorer votre sécurité il est préférable d’utiliser une authentification centralisé. Nous allons parler aujourd’hui de TACACS+ (Terminal Access Controller Access-Control System Plus).
Chez Cisco il y a pour l’authentification 3 parties : - Authentication (authentification) - Authorization (autorisation) - Accounting (rapports) On appelle ça l’AAA. Nous allons maintenant expliquer à quoi servent ces différentes parties : - Authentification, c’est ce qui permet d’identifier l’utilisateur à l’aide de son nom d’utilisateur et une méthode de validation (statique : mot de passe, dynamique : token, calculette, … ou bien physique : lecteur de badge, …) - Autorisation, c’est ce qui donne les droits par exemple la liste des commandes autorisées - Rapports, c’est la partie journaux qui va comptabiliser l’utilisation de ressources par exemple la connexion, déconnexion, les ressources réseau, les ressources cpu, les ressources mémoire,…
* Fonctionnement
L’équipement va envoyer une requête START au serveur TACACS+ qui va lui répondre le type d’authentification à utiliser puis les données utilisateur / mot de passe et enfin la validation de l’authentification. Ensuite l’équipement va demander au serveur la liste des services auquel il a accès. Enfin il va envoyer un message pour dire que la session a bien démarré jusqu’à la déconnexion.
* Mise en place
Télécharger la dernière version depuis le site http://www.shrubbery.net/tac_plus la compiler et l’installer. Ensuite il vous faut un fichier configuration :
- /etc/tac_plus.conf
- set the key
key = cle_tacacs accounting file = /var/log/tac_plus.acct
- users accounts
user = jdoe { login = cleartext “cisco” enable = cleartext “enable” name = “John Doe” }
Dans cet exemple l’utilisateur jdoe utilisera le mot de passe « cisco » pour se connecter et le mot de passe « enable » pour passer en mode privilégié. Pour crypter vos mots de passe il faut utiliser la commande « tac_pwd » et dans le fichier de configuration remplacer cleartext « cisco » par des « XS9lbwngAfLL6 » Ensuite sur vos équipements cisco configuration de l’authentification tacacs+ (retour à l’authentification locale si le serveur tacacs+ ne répond plus).
aaa new-model aaa authentication login telnet group tacacs+ local aaa authentication login console group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default if-authenticated none aaa accounting update newinfo aaa accounting exec default start-stop group tacacs+
line con 0 login authentication console line vty 0 4 login authentication telnet line vty 5 15
tacacs-server host 192.168.10.10 tacacs-server key cle_tacacs
* Vérification
Depuis un des équipements Cisco :
- test aaa group tacacs+ jdoe cisco legacy
Attempting authentication test to server-group tacacs+ using tacacs+ User was successfully authenticated.
Je vous recommande fortement d'avoir au minimum deux serveurs TACACS+ sur votre réseau.