La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration de -

Présentations similaires


Présentation au sujet: "Sécurité - Configuration de -"— Transcription de la présentation:

1 Sécurité - Configuration de -
l'authentification pour - l'accès au serveur HTTP ccnp_cch

2 - Résolutions de problèmes
Sommaire - Introduction - Rappels de théorie - Configurer Configuration de l'authentification locale pour les utilisateurs du serveur HTTP Configuration du routeur - Ce qui en résulte pour l'utilisateur - Configuration de l'authentification TACACS+ pour les utilisateurs du serveur HTTP - Configuration du routeur - Configuration de l'authentification RADIUS pour les utilisateurs du serveur HTTP - Résolutions de problèmes ccnp_cch

3 Introduction Ce document montre comment configurer une authentification locale, TACACS+ et RADIUS pour une connexion HTTP. Les différentes composantes utilisées sont: • Cisco Releases 11.2 et supérieures • Matériel supportant les différentes versions de logiciel Rappels de théorie Une fonctionnalité pour gérer le routeur avec HTTP a été ajoutée dans l'IOS Cisco release La commande ip http authentication vous permet d'utiliser une métho- de d'authentification particulière pour les utilisateurs du serveur HTTP. Le serveur HTTP utilise la méthode du mot de passe enable pour authentifier un utilisateur avec le privilège 15. La commande ip http authentication vous permet maintenant de spécifier une méthode d'authentification enable, locale, TACACS+ ou RADIUS, l'auto- risation, l'accounting (AAA) pour l'utilisateur du serveur HTTP. Configurer Cette section vous fournit les informations pour configurer les caractéristiques décrites dans ce document Ce document utilise la configuration décrite ci-dessous: • Configuration de l'authentification locale pour les utilisateurs du serveur HTTP • Configuration de l'authentification TACACS+ pour les utilisateurs du serveur HTTP • Configuration de l'authentification RADIUS pour les utilisateurs du serveur HTTP ccnp_cch

4 Authentification locale
Configuration de l'authentification locale pour les utilisateurs du ser- veur HTTP • Configuration du routeur • Ce qui en résulte pour les utilisateurs Configuration du routeur Authentification locale !--- Cette partie concerne l'authentification locale ! aaa new-model aaa authentication login default local aaa autorization exec default local username Un privilege 15 password un username Trois password trois username Quatre privilege 7 password quatre ! ip http server ip http authentication local !--- Exemple de commande pour changer le niveau de privilege privilege exec level 7 clear line Ce qui en résulte pour les utilisateurs Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Un • L'utilisateur passe l'autorisation web si l'URL est entrée comme • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Trois • L'utilisateur n'aura pas l'autorisation web car il n'a pas de niveau de privilège • Après une connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. ccnp_cch

5 Authentification TACACS+
• L'utilisateur ne sera pas en mode enable après le login ( show privilege doit afficher ) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Quatre • L'utilisateur passera l'autorisation web si l'URL est entrée comme level/7/exec • Les commandes de niveau 1 (level 1) et la commande de niveau 7 clear line appa raîtront • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur sera au niveau de privilège 7 (show privilege doit afficher 7) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. Configuration de l'authentification TACACS+ pour les utilisateurs du serveur HTTP • Configuration du routeur • Ce qui en résulte pour les utilisateurs Configuration du routeur Authentification TACACS+ ! aaa new-model aaa authentication login default group tacacs+ aaa autorization exec default group tacacs+ ! ip http server ip http authentication aaa tacacs-server host tacacs-server key cisco ! !--- Exemple de commande pour changer le niveau de privilege privilege exec level 7 clear line ccnp_cch

6 ccnp_cch Ce qui en résulte pour les utilisateurs
Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Un • L'utilisateur passe l'autorisation web si l'URL est entrée comme • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Deux • L'utilisateur n'aura pas l'autorisation web car il n'a pas de niveau de privilège • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur ne pourra pas exécuter toutes les commandes car la configuration du serveur ne les autorise pas. • Utilisateur Trois • L'utilisateur n'aura pas l'autorisation web car il n'a pas le niveau de privilège requis • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur ne sera pas en mode enable après le login (show privilege doit affi cher 1) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. • Utilisateur Quatre • L'utilisateur aura l'autorisation web si l'URL est entrée comme • Les commandes de niveau 1 (level 1) et la commande de niveau 7 clear line appa raitront • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur sera au niveau de privilège 7 (show privilege doit afficher 7) • Si l'autorisation des commandes a été ajoutée sur le routeur, l'utilisateur pourra exécuter toutes les commandes. ccnp_cch

7 ccnp_cch Configuration d'un Daemon Serveur Freeware user = Un {
default service = permit login = cleartext "Un" service = exec { priv-lvl = 15 } user = Deux { login = cleartext "Deux" service = exec { user = Trois { login = cleartext "Trois" } user = Quatre { login = cleartext "Quatre" service = exec { priv-lvl = 7 Configuration de Secure ACS pour un Serveur UNIX # ./ViewProfile -p u Un User Profile Information user = Un{ profile_id = 27 profile_cycle = 1 password = clear "*******" default service=permit service=shell { set priv-lvl=15 # ./ViewProfile -p u Deux user = Deux{ profile_id = 28 ccnp_cch

8 ccnp_cch Configuration de Secure ACS pour un Serveur UNIX
# ./ViewProfile -p u Trois User Profile Information user = Trois{ profile_id = 29 profile_cycle = 1 password = clear "*******" default service=permit } # ./ViewProfile -p u Quatre user = Quatre{ profile_id = 30 service=shell { set priv-lvl=7 Configuration de Secure ACS pour un Serveur Windows Utilisateur Un dans Groupe Un • Paramètres de Groupe - Vérifier shell (exec) - Vérifier privilege level=15 - Vérifier Default (Undefined) Services Note: Si cette option n'apparait pas, allez dans Interface Configuration et sélection nez TACACS+ et ensuite Advanced Configuration Options. Choisissez la configu ration Display enable default (undefined) service • Paramètres Utilisateur - Mot de passe dans une base de données; entrez le mot de passe et le confirmer Utilisateur Deux dans Groupe Deux • Paramètres de Groupe • Paramètres Utilisateur ccnp_cch

9 ccnp_cch Configuration de Secure ACS pour un Serveur Windows
Utilisateur Trois dans Groupe Trois • Paramètres de Groupe - Vérifier shell (exec) - Vérifier privilege level blank - Vérifier Default (Undefined) Services Note: Si cette option n'apparait pas, allez dans Interface Configuration et sélection nez TACACS+ et ensuite Advanced Configuration Options. Choisissez la configu ration Display enable default (undefined) service. • Paramètres Utilisateur - Mot de passe dans une base de données; entrez le mot de passe et le confirmer Utilisateur Quatre dans Groupe Quatre - Vérifier privilege level=7 ccnp_cch

10 Authentification TACACS+
Configuration de l'authentification RADIUS pour les utilisateurs du serveur HTTP • Configuration du routeur • Ce qui en résulte pour les utilisateurs • Configuration RADIUS avec support de Cisco AV-Pairs • Configuration de Secure ACS serveur pour UNIX • Configuration de Secure ACS serveur pour Windows Configuration du routeur Authentification TACACS+ ! aaa new-model aaa authentication login default group radius aaa autorization exec default group radius ! ip http server ip http authentication aaa tacacs-server host auth-port 1645 acct-port 1646 tacacs-server key cisco ! !--- Exemple de commande pour changer le niveau de privilege privilege exec level 7 clear line Ce qui en résulte pour les utilisateurs Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Un • L'utilisateur passe l'autorisation web si l'URL est entrée comme • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur sera en mode enable après le login ( show privilege doit afficher 15) • Utilisateur Trois • L'utilisateur n'aura pas l'autorisation web car il n'a pas de niveau de privilège • Après une connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login. • L'utilisateur ne sera pas en mode enable après le login (show privilege doit affi cher 1) ccnp_cch

11 ccnp_cch Ce qui en résulte pour les utilisateurs
Les résultats de la reconfiguration précédente pour les utilisateurs sont les suivants: • Utilisateur Quatre • L'utilisateur passe l'autorisation web si l'URL est entrée comme level/7/exec • Les commandes de niveau 1 (level 1) et la commande de niveau 7 clear line appa raitront • Après la connexion Telnet avec le routeur l'utilisateur peut exécuter toutes les commandes après l'authentification de login • L'utilisateur aura le privilège 7 après le login ( show privilege doit afficher 7) Configuration RADIUS sur un Serveur qui supporte Cisco AV-Pairs Un password= "un" Service-Type = Shell-User cisco-avpair = "shell:priv-lvl=15" three Password = "three" Service-Type = Login-User Quatre Password= "quatre" Service-Type = Login-User cisco-avpair = "shell:priv-lvl=7" Configuration de Secure ACS pour un Serveur UNIX # ./ViewProfile -p u Un User Profile Information user = Un{ profile_id = 31 set server current-failed-login = 0 profile_cycle = 3 radius=Cisco{ check_items= { 2="un" } reply_attributes= { 6=6 # ./ViewProfile -p u Trois user = Trois{ profile_id = 32 2="trois" 6=1 ccnp_cch

12 Résolution de problèmes
# ./ViewProfile -p u Quatre User Profile Information user = Quatre{ profile_id = 33 profile_cycle = 1 radius=Cisco{ check_items= { 2="quatre" } reply_attributes= { 6=1 9,1="shell:piv-lvl=7" Configuration de Secure ACS pour un Serveur Windows • User = Un, service type (attribute 6) = administrative • User = Trois, service type (attribute 6) = login • User = Quatre, service type (attribute 6) = login, vérifier la boite de dialogue Cisco AV-pairs et entrer shell:priv-lvl=7 Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration. Commandes utilisables pour la résolution de problèmes Les commandes suivantes sont très utiles pour résoudre les problèmes d'authentifica- tion HTTP. Elles sont exécutées sur le routeur. • terminal monitor -- Affiche la sortie des commandes debug et les messages d'erreur système pour le terminal courant et la session courante. • debug aaa authentication -- Affiche les informations d'authentification sur AAA/ TACACS+/RADIUS. • debug aaa authorization -- Affiche les informations d'autorisation sur AAA/ TACACS+/RADIUS. • debug radius -- Affiche les informations détaillées associées à RADIUS. • debug tacacs -- Affiche les informations détaillées associées à TACACS • debug ip http authentication -- Utilisez cette commande pour résoudre les problèmes d'authentification HTTP. Affiche la méthode d'authentification adoptée par le routeur et les messages d'état spécifiques à l'authentification. ccnp_cch


Télécharger ppt "Sécurité - Configuration de -"

Présentations similaires


Annonces Google