Sécurité - Configuration de -

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Commandes pour Mots de passe
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
show ip dhcp server statistics
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Tunnel pour paquets IP Multicast
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR1 Cfi_CCH.
Configuration Routeur SOHO77
AAA - Présentation ccnp_cch ccnp_cch.
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
Sécurité - Configuration de
TP - Vues CLI basées sur le rôle
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
Comprendre et Configurer l'Authentification CHAP PPP
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Cisco IOS - Login Enhancements
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
QoS - Configuration RSVP
d'accès distant pour IPv6
Sécurité - Configuration de
- Comment changer le Logo WebVPN
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
trois réseaux internes
Sécurité - Configuration d'un
entre trois routeurs utilisant des
Commande show ip dhcp database
- Configuration de Microsoft NetMeeting avec les passerelles IOS Cisco
Sécurité - Listes d'Accès Dynamiques - Lock and Key
IOS Firewall - Blocage d'applets Java
Configuration de groupes l'autorisation via ASDM
Configurer l'Autorisation
(Switch Database Management)
QoS - Configuration Fragmentation
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Bureau distant sur Windows Vista /2008 Server
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
show ip dhcp relay information trusted-sources
Transcription de la présentation:

Sécurité - Configuration de - l'authentification pour - l'accès au serveur HTTP ccnp_cch

- Résolutions de problèmes Sommaire - Introduction - Rappels de théorie - Configurer - Configuration de l'authentification locale pour les utilisateurs du serveur HTTP - Configuration du routeur - Ce qui en résulte pour l'utilisateur - Configuration de l'authentification TACACS+ pour les utilisateurs du serveur HTTP - Configuration du routeur - Configuration de l'authentification RADIUS pour les utilisateurs du serveur HTTP - Résolutions de problèmes ccnp_cch

Introduction Ce document montre comment configurer une authentification locale, TACACS+ et RADIUS pour une connexion HTTP. Les différentes composantes utilisées sont: • Cisco Releases 11.2 et supérieures • Matériel supportant les différentes versions de logiciel Rappels de théorie Une fonctionnalité pour gérer le routeur avec HTTP a été ajoutée dans l'IOS Cisco release 11.2. La commande ip http authentication vous permet d'utiliser une métho- de d'authentification particulière pour les utilisateurs du serveur HTTP. Le serveur HTTP utilise la méthode du mot de passe enable pour authentifier un utilisateur avec le privilège 15. La commande ip http authentication vous permet maintenant de spécifier une méthode d'authentification enable, locale, TACACS+ ou RADIUS, l'auto- risation, l'accounting (AAA) pour l'utilisateur du serveur HTTP. Configurer Cette section vous fournit les informations pour configurer les caractéristiques décrites dans ce document. Ce document utilise la configuration décrite ci-dessous: • Configuration de l'authentification locale pour les utilisateurs du serveur HTTP • Configuration de l'authentification TACACS+ pour les utilisateurs du serveur HTTP • Configuration de l'authentification RADIUS pour les utilisateurs du serveur HTTP ccnp_cch

Authentification locale Configuration de l'authentification locale pour les utilisateurs du ser- veur HTTP • Configuration du routeur • Ce qui en résulte pour les utilisateurs Configuration du routeur Authentification locale !--- Cette partie concerne l'authentification locale ! aaa new-model aaa authentication login default local aaa autorization exec default local username Un privilege 15 password un username Trois password trois username Quatre privilege 7 password quatre ! ip http server ip http authentication local !--- Exemple de commande pour changer le niveau de privilege privilege exec level 7 clear line Ce qui en résulte pour les utilisateurs Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Un • L'utilisateur passe l'autorisation web si l'URL est entrée comme http://#.#.#.# • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Trois • L'utilisateur n'aura pas l'autorisation web car il n'a pas de niveau de privilège • Après une connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. ccnp_cch

Authentification TACACS+ • L'utilisateur ne sera pas en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Quatre • L'utilisateur passera l'autorisation web si l'URL est entrée comme http://#.#.#.#/ level/7/exec • Les commandes de niveau 1 (level 1) et la commande de niveau 7 clear line appa- raîtront • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur sera au niveau de privilège 7 (show privilege doit afficher 7) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. Configuration de l'authentification TACACS+ pour les utilisateurs du serveur HTTP • Configuration du routeur • Ce qui en résulte pour les utilisateurs Configuration du routeur Authentification TACACS+ ! aaa new-model aaa authentication login default group tacacs+ aaa autorization exec default group tacacs+ ! ip http server ip http authentication aaa tacacs-server host 171.68.118.101 tacacs-server key cisco ! !--- Exemple de commande pour changer le niveau de privilege privilege exec level 7 clear line ccnp_cch

ccnp_cch Ce qui en résulte pour les utilisateurs Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Un • L'utilisateur passe l'autorisation web si l'URL est entrée comme http://#.#.#.# • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Deux • L'utilisateur n'aura pas l'autorisation web car il n'a pas de niveau de privilège • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur ne pourra pas exécuter toutes les commandes car la configuration du serveur ne les autorise pas. • Utilisateur Trois • L'utilisateur n'aura pas l'autorisation web car il n'a pas le niveau de privilège requis • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur ne sera pas en mode enable après le login (show privilege doit affi- cher 1) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Quatre • L'utilisateur aura l'autorisation web si l'URL est entrée comme http://#.#.#.# • Les commandes de niveau 1 (level 1) et la commande de niveau 7 clear line appa- raitront • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur sera au niveau de privilège 7 (show privilege doit afficher 7) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. ccnp_cch

ccnp_cch Configuration d'un Daemon Serveur Freeware user = Un { default service = permit login = cleartext "Un" service = exec { priv-lvl = 15 } user = Deux { login = cleartext "Deux" service = exec { user = Trois { login = cleartext "Trois" } user = Quatre { login = cleartext "Quatre" service = exec { priv-lvl = 7 Configuration de Secure ACS pour un Serveur UNIX # ./ViewProfile -p 9900 -u Un User Profile Information user = Un{ profile_id = 27 profile_cycle = 1 password = clear "*******" default service=permit service=shell { set priv-lvl=15 # ./ViewProfile -p 9900 -u Deux user = Deux{ profile_id = 28 ccnp_cch

ccnp_cch Configuration de Secure ACS pour un Serveur UNIX # ./ViewProfile -p 9900 -u Trois User Profile Information user = Trois{ profile_id = 29 profile_cycle = 1 password = clear "*******" default service=permit } # ./ViewProfile -p 9900 -u Quatre user = Quatre{ profile_id = 30 service=shell { set priv-lvl=7 Configuration de Secure ACS pour un Serveur Windows Utilisateur Un dans Groupe Un • Paramètres de Groupe - Vérifier shell (exec) - Vérifier privilege level=15 - Vérifier Default (Undefined) Services Note: Si cette option n'apparait pas, allez dans Interface Configuration et sélection- nez TACACS+ et ensuite Advanced Configuration Options. Choisissez la configu- ration Display enable default (undefined) service. • Paramètres Utilisateur - Mot de passe dans une base de données; entrez le mot de passe et le confirmer Utilisateur Deux dans Groupe Deux • Paramètres de Groupe • Paramètres Utilisateur ccnp_cch

ccnp_cch Configuration de Secure ACS pour un Serveur Windows Utilisateur Trois dans Groupe Trois • Paramètres de Groupe - Vérifier shell (exec) - Vérifier privilege level blank - Vérifier Default (Undefined) Services Note: Si cette option n'apparait pas, allez dans Interface Configuration et sélection- nez TACACS+ et ensuite Advanced Configuration Options. Choisissez la configu- ration Display enable default (undefined) service. • Paramètres Utilisateur - Mot de passe dans une base de données; entrez le mot de passe et le confirmer Utilisateur Quatre dans Groupe Quatre - Vérifier privilege level=7 ccnp_cch

Authentification TACACS+ Configuration de l'authentification RADIUS pour les utilisateurs du serveur HTTP • Configuration du routeur • Ce qui en résulte pour les utilisateurs • Configuration RADIUS avec support de Cisco AV-Pairs • Configuration de Secure ACS serveur pour UNIX • Configuration de Secure ACS serveur pour Windows Configuration du routeur Authentification TACACS+ ! aaa new-model aaa authentication login default group radius aaa autorization exec default group radius ! ip http server ip http authentication aaa tacacs-server host 171.68.118.101 auth-port 1645 acct-port 1646 tacacs-server key cisco ! !--- Exemple de commande pour changer le niveau de privilege privilege exec level 7 clear line Ce qui en résulte pour les utilisateurs Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Un • L'utilisateur passe l'autorisation web si l'URL est entrée comme http://#.#.#.# • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Utilisateur Trois • L'utilisateur n'aura pas l'autorisation web car il n'a pas de niveau de privilège • Après une connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur ne sera pas en mode enable après le login (show privilege doit affi- cher 1) ccnp_cch

ccnp_cch Ce qui en résulte pour les utilisateurs Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Quatre • L'utilisateur passe l'autorisation web si l'URL est entrée comme http://#.#.#.#/ level/7/exec • Les commandes de niveau 1 (level 1) et la commande de niveau 7 clear line appa- raitront • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur aura le privilège 7 après le login ( show privilege doit afficher 7) Configuration RADIUS sur un Serveur qui supporte Cisco AV-Pairs Un password= "un" Service-Type = Shell-User cisco-avpair = "shell:priv-lvl=15" three Password = "three" Service-Type = Login-User Quatre Password= "quatre" Service-Type = Login-User cisco-avpair = "shell:priv-lvl=7" Configuration de Secure ACS pour un Serveur UNIX # ./ViewProfile -p 9900 -u Un User Profile Information user = Un{ profile_id = 31 set server current-failed-login = 0 profile_cycle = 3 radius=Cisco{ check_items= { 2="un" } reply_attributes= { 6=6 # ./ViewProfile -p 9900 -u Trois user = Trois{ profile_id = 32 2="trois" 6=1 ccnp_cch

Résolution de problèmes # ./ViewProfile -p 9900 -u Quatre User Profile Information user = Quatre{ profile_id = 33 profile_cycle = 1 radius=Cisco{ check_items= { 2="quatre" } reply_attributes= { 6=1 9,1="shell:piv-lvl=7" Configuration de Secure ACS pour un Serveur Windows • User = Un, service type (attribute 6) = administrative • User = Trois, service type (attribute 6) = login • User = Quatre, service type (attribute 6) = login, vérifier la boite de dialogue Cisco AV-pairs et entrer shell:priv-lvl=7 Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration. Commandes utilisables pour la résolution de problèmes Les commandes suivantes sont très utiles pour résoudre les problèmes d'authentifica- tion HTTP. Elles sont exécutées sur le routeur. • terminal monitor -- Affiche la sortie des commandes debug et les messages d'erreur système pour le terminal courant et la session courante. • debug aaa authentication -- Affiche les informations d'authentification sur AAA/ TACACS+/RADIUS. • debug aaa authorization -- Affiche les informations d'autorisation sur AAA/ TACACS+/RADIUS. • debug radius -- Affiche les informations détaillées associées à RADIUS. • debug tacacs -- Affiche les informations détaillées associées à TACACS+. • debug ip http authentication -- Utilisez cette commande pour résoudre les problèmes d'authentification HTTP. Affiche la méthode d'authentification adoptée par le routeur et les messages d'état spécifiques à l'authentification. ccnp_cch