Authentification centralisée via Radius et Active Directory
Par Geo le dimanche 22 novembre 2009, 11:26 - Sécurité - Lien permanent
Afin de vous simplifier la gestion utilisateurs et surtout améliorer votre sécurité il est préférable d’utiliser une authentification centralisée. Nous allons parler aujourd’hui de RADIUS (Remote Authentication Dial-In User Service) couplé à Active Directory de Microsoft.
Comme expliqué dans l'article sur TACACS nous allons utiliser l'AAA.
* Pré-requis
Nous allons avoir besoin d’un serveur sous Windows 2003 ainsi que du CD d’installation.
* Mise en place
Tout d’abord il faut installer IAS (Internet Authentication Services). Pour cela se rendre dans Ajouter ou supprimer des programmes puis ajouter ou supprimer des programmes Windows descendre jusqu'à Services de mise en réseau et faire détails et là cocher Service d’authentification Internet et faire Ok puis Suivant et enfin Terminer. Maintenant nous avons besoin de deux groupes de sécurité globaux dans le domaine Active Directory.
CISCO_AAA_LVL1 CISCO_AAA_LVL15
Maintenant nous allons configurer IAS. Pour cela le lancer depuis Outils d’Administration. Faire un click droit sur Service authentification Internet (local) et sélectionner Inscrire le serveur dans Active Directory. Maintenant faites un click droit sur Clients RADIUS et sélectionner Ajouter un client RADIUS et indiquer dans Nom convivial le nom de votre équipement par exemple bgp1.gs.par et dans Adresse du client indiquer l’adresse IP de l’équipement en question puis sélectionner suivant. Dans Client-Fournisseur garder RADIUS Standard et remplir dans Secret partagé indiquer la clé de cryptage pour les communications client-serveur et enfin sélectionner Terminer. Ensuite nous devons créer notre politique d’accès pour cela se rendre dans Stratégies d’accès distant et dans la partie droite faire un click droit Nouvelle stratégie d’accès distant, faire suivant, choisir Installer une stratégie personnalisée et la nommer Cisco AAA Level 1 puis suivant, sur la page suivante faire ajouter sélectionner Windows-Groups et faire Ajouter refaire Ajouter indiquer CISCO_AAA_LVL1 faire Ok deux fois puis suivant, là sélectionner Accorder l’autorisation d’accès distant puis suivant puis modifier le profil aller dans l’onglet Authentification et tout décocher sauf Authentification non cryptée (PAP, SPAP) puis se rendre dans l’onglet Paramètres avancés et là double cliquer sur Service-Type et remplacer Framed par Login et valider, sélectionner Framed-Protocol et cliquer sur supprimer puis cliquer sur Ajouter sélectionner Vendor-Specific là faire Ajouter remplacer RADIUS Standard par Cisco et indiquer Oui, il est conforme et sélectionner Configurer les attributs et là indiquer :
Numéro d’attribut assigné au fournisseur : 1 Format d’attribut : Chaîne Valeur d’attribut : shell :priv-lvl=1
Maintenant faire ok, ok, ok, fermer, ok, non, suivant et terminer. Répéter cette opération pour la politique Cisco AAA Level 15 avec un comme groupe CISCO_AAA_LVL15 par contre au niveau des attributs radius indiquer :
Numéro d’attribut assigné au fournisseur : 1 Format d’attribut : Chaîne Valeur d’attribut : shell :priv-lvl=15
Attention ne pas mettre un utilisateur dans les deux groupes sinon il ne bénéficiera que d’un accès non privilégié Level 1. Maintenant nous devons configurer notre Cisco pour cela :
aaa new-model aaa authentication login default group radius local aaa authorization exec default group radius local radius-server host x.x.x.x radius-server key clé de cryptage
* Vérification
Depuis un des équipements Cisco :
- test aaa group radius jdoe cisco legacy
Attempting authentication test to server-group radius using radius User was successfully authenticated.
Je vous recommande toujours fortement d'avoir au minimum deux serveurs RADIUS sur votre réseau.