Configurer l'Autorisation Sécurité - Configurer l'Autorisation ccnp_cch ccnp_cch
Sommaire ● Introduction ● Listes nommées de méthodes pour autorisation ● Méthodes d'autorisation AAA ● Listes de méthodes et groupes de serveurs ● Types d'autorisation AAA ● Prérequis pour l'autorisation AAA ● Tâches de configuration de l'autorisation AAA - Configurer l'autorisation AAA en utilisant les listes nommées - Types d'autorisation - Méthodes d'autorisation - Dévalider l'autorisation pour les commandes de configuration globale - Configurer l'autorisation pour reverse Telnet ● Paires attribut-valeur de l'autorisation ● Exemples de configuration de l'autorisation - Exemple de configuration de listes de méthodes nommées - Exemples d'autorisation TACACS+ - Exemple d'autorisation RADIUS - Exemples d'autorisation reverse Telnet ccnp_cch
Listes nommées de méthodes pour autorisation Introduction L'autorisation AAA vous permet de limiter les services disponibles pour un utilisateur. Quand l'autorisation AAA est validée, les serveurs d'accès réseau utilisent l'information récupérée dans le profil utilisateur qui est localisé soit dans la base de données locale de l'utilisateur ou sur le serveur de sécurité pour configurer la session utilisateur. Une fois que cela est fait, l'utilisateur aura l'accès au service demandé uniquement si l'infor- mation présente dans le profil utilisateur le permet. Ce document contient les sections suivantes: ● Listes nommées de méthodes pour autorisation ● Méthodes d'autorisation AAA ● Listes de méthodes et groupes de serveurs ● Types d'autorisation AAA ● Prérequis pour l'autorisation AAA ● Tâches de configuration de l'autorisation AAA ● Paires attribut-valeur de l'autorisation ● Exemples de configuration de l'autorisation Listes nommées de méthodes pour autorisation Les listes de méthodes pour l'autorisation définissent de quelles manières l'autorisation sera exécutée et la séquence d'exécution des méthodes. Une liste de méthodes est sim- plement une liste nommée décrivant les méthodes d'autorisation requises (telles que RADIUS ou TACACS+) en séquence. Les listes de méthodes vous permettent de désigner un ou plusieurs protocoles de sécurité à utiliser pour l'autorisation, assurant ainsi un système de secours en cas défaillance de la méthode initiale. L'IOS Cisco utilise la pre- mière méthode de la liste pour autoriser les utilisateurs pour des services réseau spéci- fiques; si cette méthode ne répond pas, l'IOS Cisco sélectionne la méthode suivante dans la liste des méthodes. Ce processus continue jusqu'à ce qu'une communication avec une méthode d'autorisation de la liste soit réussie ou jusqu'à ce que toutes les méthodes soient épuisées. Note: L'IOS Cisco tente l'autorisation avec la méthode suivante de la liste uniquement s'il n'y a pas de réponse de la méthode précédente. Si l'autorisation échoue à tout point du cycle - signifiant que le serveur de sécurité ou la base de données locale utilisateur répond en refusant l'autorisation pour les services - le processus d'autorisation s'arrête et aucune autre méthode d'autorisation ne sera tentée. Les listes de méthodes sont propres au type d'autorisation requis : ● Auth-proxy - Applique des politiques de sécurité par utilisateur ● Commands - L'autorisation s'applique aux commandes en mode EXEC entrées par l'utilisateur, incluant les commandes de configuration globale, associées à un niveau de privilège particulier. ● EXEC - S'applique aux attributs associés à une session utilisateur terminal EXEC. ● Network - S'applique aux connexions réseau. Ceci peut comprendre PPP, SLIP ou ARAP. ● Reverse Access - S'applique aux sessions reverse Telnet. ccnp_cch
Quand vous créez une liste de méthodes nommée, vous définissez une liste particulière de méthodes d'autorisation pour le type d'autorisation indiqué. Une fois définies, les listes de méthodes doivent être appliquées à des lignes ou des in- terfaces spécifiques avant qu'une des méthodes définies soit exécutée. La seule excep- tion est la liste de méthode par défaut (appelée default). Si la commande aaa authoriza- tion pour un type d'autorisation particulier est entrée sans liste de méthodes nommée spécifique, la liste de méthodes par défaut est appliquées à toutes les interfaces ou li- gnes sauf celles qui ont une liste de méthodes nommée explicitement définie. (Une liste de méthodes nommée prend le pas sur la liste de méthodes par défaut). Si aucune liste de méthodes par défaut est définie, l'autorisation locale est prise par défaut. Méthodes d'autorisation AAA AAA supporte cinq méthodes d'autorisation différentes: ● TACACS+ - Le serveur d'accès réseau échange des informations d'autorisation avec le démon de sécurité TACACS+. L'autorisation TACACS+ définit des droits spécifiques pour les utilisateurs en associant des paires attribut-valeur, qui sont stockées dans une base de données sur le serveur de sécurité TACACS+, à l'utilisateur approprié. ● If-authenticated - L'utilisateur est autorisé à accéder à la fonction requise et pour laquelle l'utilisateur a été authentifié avec succès. ● None - Le serveur de sécurité ne demande pas d'information d'autorisation; l'autori- sation n'est pas effectuée sur cette interface. ● Local - Le routeur ou le serveur d'accès consulte sa base de données locale telle quelle est définie par la commande username pour autoriser des droits spécifiques aux utilisateurs. Un ensemble limité de fonctions peut être contrôlé via la base de données locale. ● RADIUS - Le serveur d'accès réseau échange des informations d'autorisation avec le démon de sécurité RADIUS. L'autorisation RADIUS définit des droits spécifiques pour les utilisateurs en associant des attributs, qui sont stockées dans une base de données sur le serveur de sécurité RADIUS, à l'utilisateur approprié. ccnp_cch
Listes de Méthodes et Groupes de serveurs Un groupe de serveurs est un moyen pour grouper des hosts serveurs TACACS+ ou RADIUS à utiliser dans des listes de méthodes. La figure suivante montre une configu- ration de réseau AAA typique qui comprend quatre serveurs de sécurité: R1 et R2 sont des serveurs RADIUS, T1 et T2 sont des serveurs TACACS+. R1 et R2 composent le groupe de serveurs RADIUS. T1 et T2 composent le groupe de serveurs TACACS+. Serveur d'Accès Réseau Station de travail R1 R2 T1 T2 RADIUS TACAS+ PC distant En utilisant des groupes de serveurs, vous pouvez spécifier un sous-ensemble de hosts serveurs configurés pour service particulier. Par exemple, les groupes de serveurs vous permettent de définir R1 et R2 comme groupe de serveurs séparé, T1 et T2 comme grou- pe de serveurs séparé. Cela signifie que vous pouvez spécifier soit R1 et T1 soit R2 et T2 dans la liste des méthodes ce qui fournit plus de flexibilité dans la manière d'affecter les ressources RADIUS et TACACS+. Les groupes de serveurs peuvent inclure des entrées multiples pour le même serveur tant que chaque entrée possède un identifieur unique. La combinaison d'une adresse IP et d'un port UDP crée un identifieur unique autorisant différents ports à être définis individuellement comme des hosts RADIUS fournissant un service AAA spécifique. En d'autres termes, cet identifieur unique permet aux requêtes RADIUS d'être transmises à différents ports UDP sur un serveur à la même adresse IP. Si deux entrées différentes de host sur le même serveur RADIUS sont configurées pour le même service, l'autorisa- tion par exemple, la seconde entrée de host configurée agit comme secours pour la pre- mière. En se basant sur cet exemple, si la première entrée de host échoue pour fournir les services d'accounting, le serveur d'accès réseau essaiera la seconde entrée de host configurée sur le même équipement pour les services d'accounting ( Les entrées de host RADIUS seront essayées dans l'ordre avec lequel elles ont été configurées). ccnp_cch
Prérequis pour l'autorisation AAA Types d'autorisation L'IOS cisco supporte sept types d'autorisation différents: ● Auth-proxy - Applique des politiques de sécurité par utilisateur ● Commands - L'autorisation s'applique aux commandes en mode EXEC entrées par l'utilisateur, incluant les commandes de configuration globale, associées à un niveau de privilège particulier. ● EXEC - S'applique aux attributs associés à une session utilisateur terminal EXEC. ● Network - S'applique aux connexions réseau. Ceci peut comprendre PPP, SLIP ou ARAP. ● Reverse Access - S'applique aux sessions reverse Telnet. ● Configuration - S'applique au téléchargement de configuration à partir du serveur AAA. ● IP mobile - S'applique à l'autorisation pour les services IP Mobile. Prérequis pour l'autorisation AAA Avant de configurer l'autorisation en utilisant des listes de méthodes nommées, vous devez d'abord réaliser les tâches suivantes: ● Valider AAA sur votre serveur d'accès réseau. ● Configurer l'authentification AAA. L'autorisation s'effectue généralement après l'au- thentification et repose sur une authentification exécutée avec succès. ● Définissez les droits associés à des utilisateurs spécifiques avec la commande username si vous exécutez une autorisation locale. Tâches de configuration de l'autorisation AAA Cette section décrit les tâches de configuration suivantes: ● Configurer l'autorisation AAA en utilisant des listes de méthodes nommées ● Dévalider l'autorisation pour les commandes de configuration globale ● Configurer l'autorisation pour Reverse Telnet ccnp_cch
Configurer l'autorisation AAA en utilisant des listes de méthode nommées Pour configurer l'autorisation AAA en utilisant des listes de méthodes nommées, utilisez les commandes suivantes en commençant en mode de configuration global. Commande But Routeur(config)# aaa authorization {auth-proxy |network | exec | commands level | reverse-access | configuration |ipmobile} {default | list-name} [ method1 [ method2...]] Crée une liste de méthodes d'autorisation pour un type d'autorisation particulier et valide l'autorisation. Routeur(config)# line [aux | console|tty | vty] line-number [ ending-line-number] ou Router(config)# interface interface-type interface-number Entre en mode de configuration ligne pour les lignes auxquelles vous voulez appliquer la liste de méthodes d'autorisation. Entre en mode de configuration interface pour les interfaces auxquelles vous voulez appliquer la liste de méthodes d'autorisa-tion. Router(config-line)# authorization {arap| commands level | exec | reverse-access} {default | list-name} Router(config-line)# ppp authorization Applique la liste d'autorisation à une ligne ou un ensemble de lignes. Applique la liste d'autorisation à une inter- face ou un ensemble de d'interfaces. Cette section comprend les deux parties suivantes: ● Types d'autorisation ● Méthodes d'autorisation Types d'autorisation Les listes de méthodes nommées d'autorisation sont propres au type d'autorisation in- diqué. Pour créer une liste de méthodes afin de valider l'autorisation qui applique des politi- ques de sécurité par utilisateur, utilisez le mot-clé auth-proxy. Pour créer une liste de méthodes afin de valider l'autorisation pour toutes les requêtes relatives au réseau (incluant SLIP, PPP, PPP NCPs et ARAP) utilisez le mot network. Pour créer une liste de méthodes afin de valider l'autorisation pour des commandes EXEC spécifiques associées à un niveau de privilège, utilisez le mot-clé commands. ( Ceci vous permet d'autoriser toutes les commandes associées à un niveau de privilège de 0 à 15). ccnp_cch
Pour créer une liste de méthodes afin de valider l'autorisation des fonctions reverse Telnet commandes, utilisez le mot-clé reverse-access. Méthodes d'autorisation Pour que le serveur d'accès réseau demande des informations d'autorisation via un ser- veur de sécurité TACACS+, utilisez la commande aaa authorization avec le mot-clé group tacacs+ method. Pour permettre aux utilisateurs d'avoir accès aux fonctions qu'ils demandent tant qu'ils sont authentifiés, utilisez la commande aaa authorization avec la mot-clé if-authenti- cated method. Si vous sélectionnez cette méthode toutes les fonctions demandées sont automatiquement autorisées pour les utilisateurs authentifiés. Il y a des cas où vous ne voulez pas activer l'autorisation pour une interface ou une li- gne particulière. Pour stopper les activités d'autorisation sur des lignes ou des interfa- ces précises, utilisez le mot-clé none method. Si vous sélectionnez cette méthode l'au- torisation est dévalidée pour toutes les actions. Pour sélectionner l'autorisation locale, ce qui signifie que le serveur d'accès réseau con- sulte sa base de données locale d'utilisateurs pour déterminer les fonctions qu'un utili- sateur est autorisé à utiliser, utilisez la commande aaa authorization avec le mot-clé local method. Les fonctions associées avec l'autorisation locale sont définies en utili- sant la commande username en mode de configuration global. Pour que le serveur d'accès réseau demande l'autorisation via un serveur de sécurité RADIUS, utilisez la commande aaa authorization avec le mot-clé group radius method. Note: Les listes de méthodes d'autorisation pour SLIP suivent tout ce qui est configuré pour PPP sur l'interface concernée. Si aucune liste n'est définie et appliquée à une in- terface particulière (ou pas de configuration PPP), les paramètres par défaut pour l'au- torisation s'appliquent. Dévalider l'autorisation pour les commandes de configuration globale La commande aaa authorization avec le mot-clé commands tente l'autorisation pour toutes les commandes en mode EXEC, incluant les commandes de configuration globa- le), associées à un niveau de privilège spécifique. Comme il y a des commandes de con- figuration qui sont identiques à quelques commandes du niveau EXEC, il peut y avoir confusion pour le processus d'autorisation. L'utilisation de la commande no aaa autho- rization config-commands stoppe les tentatives d'autorisation de commandes de confi- guration par le serveur d'accès réseau. Pour dévalider l'autorisation AAA pour toutes les commandes de configuration globale, utilisez la commande suivante en mode de configuration global. Commande But Routeur(config)# no aaa authorization config-commands Dévalide l'autorisation AAA pour toutes les commandes de configuration globale. ccnp_cch
ccnp_cch Configurer l'autorisation pour Reverse Telnet Telnet est un protocole d'émulation de terminal utilisé pour des connexions de terminal distant. Normalement vous entrez sur un serveur d'accès réseau (typiquement par une liaison téléphonique ou ADSL) et ensuite vous utilisez Telnet pour accéder aux autres équipements à partir de ce serveur d'accès réseau. Cependant il y a des cas où il est nécessaire d'établir une session reverse Telnet. Dans les sessions revers Telnet, la con- nexion est établie dans la direction opposée, du réseau interne vers le serveur d'accès réseau, à la périphérie du réseau pour obtenir l'accès à des modems ou à d'autres équi- pements connectés à ce serveur d'accès réseau. Reverse Telnet est utilisée pour fournir aux utilisateurs avec des capacités d'accès en sortie des accès Telnet aux ports modem attachés au serveur d'accès réseau. Il est important de contrôler l'accès aux ports accessibles au travers de reverse Telnet. Ne pas faire cela donne à des utilisateurs non autorisés l'accès aux modems à partir desquels ils peuvent piéger et dériver les appels entrants ou faire des appels sortants vers des destinations non autorisées. L'authentification durant reverse Telnet est réalisée au travers de la procédure de login standard de AAA pour Telnet. Typiquement l'utilisateur doit fournir un nom d'utilisa- teur et un mot de passe pour établir une session Telnet ou reverse Telnet. L'autorisa- tion reverse Telnet fournit un niveau de sécurité additionnel en requérant l'autorisation en plus de l'authentification. Quand elle est validée, l'autorisation reverse Telnet peut utiliser TACACS+ ou RADIUS pour autoriser on non cet utilisateur à faire un accès reverse Telnet sur des ports asynchrones spécifiques après que l'utilisateur ait été au- thentifié au travers de la procédure de login standard. L'autorisation reverse Telnet offre les avantages suivants: ● Un niveau additionnel de protection en assurant que les utilisateurs engagés dans les activités reverse Telnet sont bien autorisés à accéder à un port asynchrone spé- cifique en utilisant reverse Telnet. ● Une méthode alternative (autre que les listes d'accès) pour gérer l'autorisation rever- se Telnet. Pour configurer un serveur d'accès réseau pour qu'il demande des informations d'auto- risation à un serveur RADIUS ou TACACS+ avant d'autoriser un utilisateur à établir une session reverse Telnet, utilisez la commande suivante en mode de configuration global. Commande But Router(config)# aaa authorization reverse-access method1 [ method2 ...] Configure le serveur d'accès réseau pour qu'il demande des information d'autorisation avant d'autoriser un utilisateur à établir une session reverse Telnet. Cette fonctionnalité permet au serveur d'accès réseau de demander des informations d'autorisation reverse Telnet à un serveur de sécurité, soit RADIUS soit TACACS+. Vous devez configurer les privilèges spécifiques pour reverse Telnet pou l'utilisateur sur le serveur de sécurité lui-même. ccnp_cch
Paires Attribut-Valeur de l'autorisation L'autorisation RADIUS et TACACS+ définissent des droits spécifiques pour les utilisa- teurs en traitant les attributs qui sont stockés dans une base de données sur le ser- veur de sécurité. Pour RADIUS et TACACS+, les attributs sont définis sur le serveur de sécurité associé à l'utilisateur et sont ensuite transmis au serveur d'accès où ils sont appliqués à la connexion de l'utilisateur. Pour avoir la liste des attributs RADIUS référez-vous au document "Attributs RADIUS". Pour avoir la liste des paires AV supportées par TACACS+ référez-vous à "TACACS+ Paires Attribut/Valeur". Exemples de configuration de l'autorisation Les sections suivantes fournissent des exemples de configuration de l'autorisation. ● Exemple de configuration de listes de méthodes nommées ● Exemples d'autorisation TACACS+ ● Exemple d'autorisation RADIUS ● Exemples d'autorisation reverse Telnet Exemple de configuration de listes de méthodes nommées L'exemple suivant montre comment configurer le Cisco AS5300 (validé pour AAA et la communication avec un serveur de sécurité RADIUS) pour les services AAA fournis par le serveur RADIUS. Si le serveur RADIUS ne répond pas alors la base de données locale sera requise pour l'authentification, l'autorisation et l'accounting seront gérés par un serveur TACACS+. aaa new-model aaa authentication login admins local aaa authentication ppp dialins group radius local aaa authorization network scoobee group radius local aaa accounting network charley start-stop group radius username root password ALongPassword radius-server host alcatraz radius-server key myRaDiUSpassWoRd interface group-async 1 group-range 1 16 encapsulation ppp ppp authentication chap dialins ppp authorization scoobee ppp accounting charley line 1 16 autoselect ppp autoselect during-login login authentication admins modem dialin ccnp_cch
Les lignes dans cet exemple de configuration AAA serveur RADIUS sont définies ci-des- sous: ● La commande aaa new-model valide les services de sécurité réseau AAA. ● La commande aaa authentication login admins local définit une liste de méthodes, admins, pour l'authentification de login. ● La commande aaa authentication ppp dialins group radius local définit la liste de méthodes "dialins" qui spécifie l'authentification RADIUS et ensuite (si le serveur RADIUS ne répond pas) l'authentification locale sera utilisée sur les lignes série uti- lisant PPP. ● La commande aaa authorization network scoobie group radius local définit la liste de méthodes d'autorisation réseau nommée "scoobie" qui spécifie que l'autorisa- tion RADIUS sera utilisée sur les lignes série utilisant PPP. Si le serveur RADIUS ne répond pas) l'autorisation locale réseau sera utilisée. ● La commande aaa accounting network charley start-up group radius définit la lis- te de méthodes réseau accounting nommée "charley" qui spécifie que les services d'accounting RADIUS (dans ce cas pour les enregistrements de début et de fin d'évé- nements particuliers) sera utilisée sur les lignes série utilisant PPP. ● La commande username définit le nom d'utilisateur et le mot de passe devant être utilisés pour l'identification de l'appelant par PAP (Password Authentication Protocol). ● La commande radius-server host définit le nom de host du serveur RADIUS. ● La commande radius-server key définit la chaîne de texte secrète partagée entre le serveur d'accès réseau et le host serveur RADIUS. ● La commande interface group-async sélectionne et définit une interface groupe asynchrone. ● La commande group-range définit les interfaces asynchrones membres de l'interface groupe asynchrone. ● La commande encapsulation ppp définit PPP comme méthode d'encapsulation sur les interfaces spécifiées. ● La commande ppp authentication chap dialin sélectionne CHAP (Challenge Authen- tication Protocol) comme méthode d'authentification PPP et applique la liste de mé- thodes aux interfaces spécifiées. ● La commande ppp authorization scoobie applique la liste de méthodes d'autorisa- tion réseau "scoobie" aux interfaces spécifiées. ● La commande ppp accounting charley applique la liste de méthodes d'accounting réseau "charley" aux interfaces spécifiées. ccnp_cch
● La commande line fait passer en mode de configuration ligne et identifie les lignes devant être configurées. ● La commande autoselect ppp configure l'IOS Cisco pour autoriser un démarrage au- tomatique de session PPP sur ces lignes spécifiques. ● La commande autoselect during-login est utilisée pour afficher le prompt du nom d'utilisateur et du mot de passe sans presser la touche ENTER. Après que l'utilisa- teur se soit "loggé", la fonction autoselect (dans ce cas PPP) commence. ● La commande login authentication admins applique la liste de méthodes "admins" pour l'authentification de login. ● La commande modem dialin configure les modems attachés aux lignes sélectionnées pour accepter uniquement les appels entrants. Exemples d'autorisation TACACS+ Les exemples suivants montrent comment utiliser un serveur TACACS+ pour autoriser les services réseau, incluant PPP et ARAP. Si le serveur TACACS+ n'est pas disponible ou une erreur se produit durant le processus d'autorisation, la méthode de secours (none) permet toutes les requêtes d'autorisation. aaa authorization network default group tacacs+ none L'exemple suivant montre comment permettre l'autorisation réseau utilisant TACACS+. aaa authorization network default group tacacs+ L'exemple suivant montre comment fournir la même autorisation mais crée également des pools d'adresses appelés "mci" et "att". ip address-pool local ip local-pool mci 172.16.0.1 172.16.0.255 ip local-pool att 172.17.0.1 172.17.0.255 Les pools d'adresses peuvent être sélectionnés par le démon TACACS+. Un exemple de configuration du démon: user = mci_customer1 { login = cleartext “some password” service = ppp protocol = ip { addr-pool=mci } user = att_customer1 { login = cleartext “some other password” addr-pool=att ccnp_cch
Exemple d'autorisation RADIUS L'exemple suivant montre comment configurer le routeur pour l'autorisation utilisant RADIUS. aaa new-model aaa authorization exec default group radius if-authenticated aaa authorization network default group radius radius-server host ip radius-server key Les lignes dans cet extrait de configuration de l'autorisation RADIUS sont définies com- me suit: ● La commande aaa authorization exec default group radius if-authenticated confi- gure le serveur d'accès réseau pour qu'il contacte le serveur RADIUS afin de détermi- ner si les utilisateurs sont autorisés à démarrer un shell EXEC quand ils se "loggent". Si une erreur se produit quand le serveur d'accès réseau contacte le serveur RADIUS , la méthode de secours permet de démarrer la CLI pour autant que l'utilisateur soit correctement authentifié. L'information RADIUS retournée peut être utilisée pour spécifier une autocommand ou une liste d'accès de connexion devant être appliquée à cette connexion. Note: Comme aucune méthode de secours n'est spécifiée dans cet exemple, l'autori- sation échouera si pour une raison quelconque il n'y a pas de réponse du serveur Exemples d'autorisation reverse Telnet Les exemples suivants montrent faire pour que le serveur d'accès réseau demande les informations d'autorisation à un serveur de sécurité TACACS+ avant d'autoriser un utilisateur à établir une session reverse Telnet. aaa authentication login default group tacacs+ aaa authorization reverse-access default group tacacs+ ! tacacs-server host 172.31.255.0 tacacs-server timeout 90 tacacs-server key goaway Les lignes dans cet extrait de configuration de l'autorisation reverse Telnet sont défi- nies comme suit: ● La commande aaa new-model valide les services de sécurité réseau AAA. ● La commande aaa authentication login default group tacacs+ définit TACACS+ comme la méthode par défaut pour l'authentification de l'utilisateur au login. ccnp_cch
● La commande aaa authorization reverse-access default group tacacs+ définit TACACS+ comme méthode pour l'autorisation de l'utilisateur quand il essaie d'établir une session reverse Telnet. ● La commande tacacs-server host définit le nom de host du serveur TACACS+. ● La commande tacacs-server time-out fixe l'intervalle de temps pendant lequel le ser- verur d'accès réseau attend la réponse du serveur TACACS+. ● La commande tacacs-server key définit la clé de cryptage utilisée pour toutes les communications entre le serveur d'accès réseau et le serveur TACACS+. L'exemple suivant montre comment configurer un serveur TACACS+ générique pour autoriser un accès reverse Telnet à un utilisateur nommé "pat" sur le port tty2 du serveur d'accès nommé "maple" et sur le port tty5 du serveur d'accès nommé "oak". user = pat login = cleartext lab service = raccess { port#1 = maple/tty2 port#2 = oak/tty5 Note: Dans cet exemple "maple" et "oak" sont les noms de hosts configurés sur les ser- veurs d'accès réseau et non des noms DNS ou alias. L'exemple suivant montre comment configurer le serveur TACACS+ (Cisco Secure) pour autoriser un utilisateur nommé "pat" à faire accès reverse Telnet. profile_id = 90 profile_cycle = 1 member = Tacacs_Users service=shell { default cmd=permit } service=raccess { allow “c2511e0” “tty1” “.*” refuse “.*” “.*” “.*” password = clear “goaway” Note: Cisco Secure supporte uniquement reverse Telnet utilisant l'interface ligne de commande de la version 2.1(x) à 2.2(1). Une clause "service=raccess { }" vide permet à un utilisateur d'avoir un accès incondi- tionnel aux ports du serveur d'accès réseau pour reverse Telnet. Si la clause service= raccess { }" n'existe pas alors l'accès à tout port pour reverse Telnet sera refusé. ccnp_cch
L'exemple suivant montre comment faire pour que le serveur d'accès réseau demande l'autorisation d'un serveur de sécurité RADIUS avant d'autoriser un utilisateur à établir une session reverse Telnet. aaa new-model aaa authentication login default group radius aaa authorization reverse-access default group radius ! radius-server host 172.31.255.0 radius-server key go away auth-port 1645 acct-port 1646 Les lignes dans cet exemple de configuration de l'autorisation reverse Telnet sont défi- nies ci-dessous: ● La commande aaa new-model valide les services de sécurité réseau AAA. ● La commande aaa authentication login default group radius définit RADIUS com- méthode d'authentification par défaut de l'utilisateur quand il essaie d'établir une session reverse Telnet. ● La commande aaa authorization reverse-access default group radius définit RADIUS comme la méthode d'autorisation par défaut de l'utilisateur quand il essaie d'établir une session reverse Telnet. ● La commande radius-server host définit le nom de host du serveur RADIUS. ● La commande radius-server key définit la chaîne de texte secrète partagée entre le serveur d'accès réseau et le host serveur RADIUS. L'exemple suivant montre comment transmettre une requête au serveur RADIUS pour permettre à un utilisateur nommé "pat" à l'accès reverse Telnet pour le port tty2 sur le serveur d'accès nommé "maple". Username = “pat” Password = “goaway” User-Service-Type = Shell-User cisco-avpair = “raccess:port#1=maple/tty2” La syntaxe "racess:port=any/any" permet à un utilisateur d'avoir un accès incondition- nel aux ports du serveur d'accès réseau pour reverse Telnet. Si aucune clause "racess: port={nasname}/{ttynumber}" n'existe pas alors l'accès à tout port pour reverse Telnet sera refusé. ccnp_cch