Configuration
du commutateur
Configuration d une adresse IP sur
notre switch, on utilise ici le Vlan 1
ip interface "Radius"
address 10.10.0.1 mask 255.255.255.0 vlan 1
Configuration du RADIUS-server
aaa radius-server Radius
host 10.10.0.10 key test
Radius est le nom de l interface que
nous allons utiliser un peu plus loin
Attention à la clef, elle doit bien évidemment être configurée de la même manière sur le commutateur et
sur le serveur.
Configuration des access :
aaa authentication console
"Radius" "local"
aaa authentication telnet
"Radius" "local"
aaa authentication http "Radius"
"local"
.....
Attention aux utilisateurs SNMP. Ils
doivent impérativement être crées en local.
N oubliez pas de specifier local, en
cas de panne de votre serveur vous aurez toujours la possibilité d
acces au commutateur.
Configuration des logs de connection :
aaa accounting session Radius
local
Exemple :
ip interface "Radius" address
10.10.0.1 mask 255.255.255.0 vlan 1 mtu 1500 ifind
ex 1
! IPX :
! IPMS :
! AAA :
aaa radius-server "Radius"
host 10.10.0.10 key f609bb5843275896c7b77293f4fdb597
retransmit 3 timeout 2 auth-port 1812
acct-port 1813
aaa authentication console "Radius"
"local"
aaa authentication telnet "Radius"
"local"
aaa authentication http "Radius"
"local"
Configuration du
serveur
Ma version de 2008 est en anglais, ....
ne soyez pas surpris par les print screens.
De plus, ce topic vise a configurer NPS
de la manière la plus simple mais avec une sécurité suffisante. Si
certains peuvent donner de plus amples informations sur les
protocoles d authentification par exemple, ils sont les bienvenus.
Installation de 2008, promulgation
du serveur en tant que Domain Controller
Installation de NPS
Groupe et utilisateurs
Tout est a présent prêt. Nous devons
maintenant créer les comptes utilisateurs qui seront autorisés à se
loguer sur nos commutateurs. Il faut de plus créer un groupe de sécurité contenant ces dits utilisateurs.
Configuration de NPS
Radius clients
Tous les commutateurs doivent être
clients RADIUS.
Clic droit, Nouveau client RADIUS.
Friendly name : nom de l élément actif
de réseau
IP @ :@ IP de l élément actif de réseau
Shared Secret : clef partagée avec l élément actif de réseau
On décoche "Access Request
messages must contain ..... "
et on continue pour tous nos
commutateurs.
Connection Request Policie
Je choisis ici de faire un check sur l adresse IP du commutateur. Forcément pour plusieurs commutateurs on aura plusieurs entrées ou alors on fera une évaluation sur un autre paramètre.
Connection Request Policie
Je choisis ici de faire un check sur l adresse IP du commutateur. Forcément pour plusieurs commutateurs on aura plusieurs entrées ou alors on fera une évaluation sur un autre paramètre.
Network Policies
New Rule :
The condition
The Acess Pemission
On check granted
Authentication Methods
On utilise la méthode "PAP,
SPAP". Ce n est pas et de loin la méthode la plus sécurisée. Néanmoins la connection au commutateur ne se fait que via SSH ou
HTTPS (en tous cas j espère pour vous).
Constraints
Rien de bien obligatoire ici. A
configurer selon vos envies, vos habitudes de travail, ...
t Alcatel demande plus de paramètres de connexion pour autoriser l utilisateur à s authentifier.
On clique sur Vendor Spencific puis
Add.
On sélectionne ensuite Custom etAdd.
Vender Code : 800
On check"Yes, it conforms" et
on clic sur Configure Attribute.
On configure alors les VSAs.
VSA 39=Alcatel-Acce-Priv-F-R1
VSA 40=Alcatel-Acce-Priv-F-R2
VSA 41=Alcatel-Acce-Priv-F-W1
VSA 42=Alcatel-Acce-Priv-F-W2
Radius Alcatel Attributes:
[800\009] Alcatel-Asa-Access all
[800\039] Alcatel-Acce-Priv-F-R1 0xFFFFFFFF
[800\040] Alcatel-Acce-Priv-F-R2 0xFFFFFFFF
[800\041] Alcatel-Acce-Priv-F-W1 0xFFFFFFFF
[800\042] Alcatel-Acce-Priv-F-W2 0xFFFFFFFF
A l heure ou je tape ces lignes, je n arrive pas a obtenir les droits administrateurs sur le commutateur. Impossible par exemple de créer un nouvel utilisateur ou de modifier les aaa. Si qqn a une idée, je suis preneur.
Voici un petite capture des paquets qui transitent :
Punaise c'était truffé de fautes !!!
RépondreSupprimer