Authentification RADUIS sur switch CISCO 2950

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Authentification RADUIS sur switch CISCO 2950

_w0lf_

Bonjour,
J'essaie actuellement de mettre en place une authentification Raduis sur un CISCO 2950.
Par défaut, il ne prend pas le SSH donc je lui est mis un autre IOS qui le prend en compte

Citation :

c2950-i6k2l2q4-mz.121-22.EA5a.bin

Ensuite, j'ai crée des utilisateurs dans l'AD avec un groupe pour la connexion au switch :

Citation :

groupe : adminsw

Citation :

utilisateurs: adminsw1 & adminsw2

.
J'ai pensé à leur cocher "autoriser l'acces à distance dans les propriétés.
Ensuite, j'ai configurer le switch en faisant ceci :

Citation :

Switch2950(config)#aaa new-model ### efface la configuration aaa précédente a faire absolument !
Switch2950 (config)#radius-server host @IP auth-port 1645 acct-port 1646 key azerty ## Important : ici vous devez rentrez ladresse IP du serveur RADIUS mais surtout la key ici azerty doit correspondre au secret partagé que vous avez renter lors de lajout de clients RADIUS sur le serveur W2K.
Switch2950(config)#radius-server timeout 5
Switch2950(config)#radius-server retransmit 5
Switch2950(config)#aaa group server radius radgrp ## Attribue le groupe radgrp au serveur RADIUS
Switch2950(config-sg-radius)#server @IP auth-port 1645 acct-port 1646 ## Le groupe radgrp contient le serveur @IP et utilise le port 1645 pour lauthentification et le 1646 pour « lAccounting », cest à dire la gestion des informations récoltées pendant toute la durée de la session, après identification de l'utilisateur.
Switch2950(config-sg-radius)#exit
Switch2950(config)#aaa authentication login specific group radgrp enable ##Lauthentification doit se dérouler grace à un login qui est spécifique au groupe radgrp sachant que ce groupe et celui du serveur RADIUS.
Switch2950(confgi)#aaa authorization exec default group radgrp local ##Cette commande permet de lui dire de prendre en compte les autorisations en fonction du niveau de privileges accordés.
Switch2950(config)#line vty 0 4
Switch2950(config-line)#login authentication specific ##Linterface line vty 0 4 utilise le principe de lauthentification spécifique au serveur RADIUS.
Switch2950#wr

Pour finir, j'ai configurer le serveur RADUIS:
J'ai crée un client RADUIS avec pour @IP l'@IP du switch. En utilisateur, j'ai pris adminsw (et/ou administrateurs du domaine). Dans Profil, j'ai pris « Authentification non cryptée (PAP, SPAP) » puis j'ai ajouter "Vendor-specific":

Citation :

N° attribut assigné au fournisseur: 1
Valeur d'attribut : shell : priv-lvl=15

J'au ajouter "Service-type" => login.
Ensuite, pour les ports d'authentification j'ai pris 1645 et pour les comptes 1646.
J'ai inscrit tous sa dans l'AD.
Apres toute cette configuration, j'essaie de me loguer via Telnet:
user : adminsw1
pass : azerty

authentification failed!

Et voila, j'ai recommencé plein de fois; toujours la même erreur. Le pire, c'est que je ne peux plus acceder au switch par le port COM car ce dernier refuse du à l'authentification SSH. Je suis obligé de passer en mode Rommon pour effacer la config; la refaire puis refaire les config RADUIS pour arriver au final au même message d'erreur.
Bizarrement, même avec Putty en SSH, la connexion est refusé.
Quelqu'un aurait déjà eu se problème?
Merci et désolé du roman.. mais plus y'a d'explication, plus le problème est "simple" à cerné..

Message édité par _w0lf_ le 13-06-2007 à 00:13:50

Publicité

_w0lf_

un ptit [:ass_kicker57] car j'arrive toujours po :cry:

koskoz

They see me trollin they hatin

Je pense que tu aurais plus de réponses dans la bonne catégorie, Réseaux grand public / SoHo il me semble, ou alors Systèmes & Réseaux Pro :jap:

---------------
Twitter

_w0lf_

a c'est possible. je pensais que sa touché plus la sécurité mais bon. Je peux déplacer le topic ou c'est demande admin?

trictrac

plusieurs choses.
Tout d'abord, tu ne trouveras pas de reponse generique, car a chaque implementation AAA correspond une config différente, et personne ne va s'amuser à essayer vraiment de comprendre la tienne : isole tes problèmes si tu veux des réponses (par ex, mois je le fait avec le serveur tacacs libre tacplus, et ca marche tres bien, alors je ne vais pas me plonger dans ta conf aaa new-model).
Quand tu joue avec le AAA, ne fait jamais de 'wr mem', comme ca, si tu te coupe la patte, un reboot est suffisant, et tu es pas obligé de te retapper toute la conf.
Si tu as accès à la console, la première chose que tu devrais mettre en place c'est un methode d'authentification de fall-back au niveau de la 'line con0', qui utilise une authentification speciale (pas default, donc) qui bypass le radius.
Enfin, quand tu joue avec ca, active le mode debug du AAA, tu verras plus clairement quel point chagrine ton switch, les logs sont assez complets (pense à faire un 'term mon' si connexion line).
Bonne chance

_w0lf_

Merci pour ta réponse !!
Je passe à sa traduction
Si j'ai compris, le protocole tacacs est une solution permettant dassurer la sécurité relative aux accès distants. RADUIS s'appuie donc sur ce protocole, on est d'accord?
Le AAA permet de définir des méthodes/models d'authentification? Il peut donc y avoir plusieurs méthodes apparament?
Bonne idée pour le 'wr'!! Merci!
Je vais me renseigner pour mettre en place une méthode d'authentification de fall-back au niveau de la 'line con0'.
Je suppose que lorsque tu dis "bypass", sa passe avant le RADIUS. Je vais aussi regardé comment activer le debug AAA.
Pour information, j'utilise Tera Term PRO.
Merci pour tous ses nouveaux termes, je vais en avoir appris un peu plus comme sa.
J'y retourne de suite! :bounce:

_w0lf_

Arf, je trouve rien pour le fall-back de la line console/Radius. Je sais pas trop quoi taper dans mon ami google...

Edit:
Ah si, j'ai peut être trouvé ceci : http://www.cisco.com/en/US/product [...] ml#1088508

Message édité par _w0lf_ le 24-04-2007 à 16:28:38

_w0lf_

Bon, j'ai avancé légèrement.
J'arrive à un début d'authentification via Telnet. Je dis début car une fois loggué, j'ai accès au switch en mode de base uniquement :cry: . (le message est "error authentication" ).
Le debug aaa donne ceci :

Citation :

00:44:04: AAA/MEMORY: dup_user (0x80DEDD5C) user='adminsw1' ruser='' port='tty1'
rem_addr='128.0.0.5' authen_type=ASCII service=ENABLE priv=15 source='AAA dup e
nable'
00:44:04: AAA/AUTHEN/START (3903036247): port='tty1' list='' action=LOGIN servic
e=ENABLE
00:44:04: AAA/AUTHEN/START (3903036247): non-console enable - default to enable
password
00:44:04: AAA/AUTHEN/START (3903036247): Method=ENABLE
00:44:04: AAA/AUTHEN (3903036247): can't find any passwords
00:44:04: AAA/AUTHEN (3903036247): status = ERROR
00:44:04: AAA/AUTHEN/START (3903036247): no methods left to try
00:44:04: AAA/AUTHEN (3903036247): status = ERROR
00:44:04: AAA/AUTHEN/START (3903036247): failed to authenticate
00:44:04: AAA/MEMORY: free_user (0x80DEDD5C) user='adminsw1' ruser='' port='tty1
' rem_addr='128.0.0.5' authen_type=ASCII service=

Je sais pas si c'est le fait que le password de base n'est pas défini mais bon. il trouve l'utilisateur + le pass de l'AD; mais après, qu'est-ce qui cloche?
Après un reboot switch, en telnet; il me mets "password required but none set" mais c'est normal. Si j'en mets un, il n'y a plus d'interet à l'authentificaiton Radius. Pourtant, il me semble avoir fait un "wr".. Pas grave sa m'évitera de me retaper la config.
Que puis-je fais pour le (nouveau) problème d'authentification?
Par avance, merci :jap:

_w0lf_

[:alex684]

De plus, j'ai pas réussis a trouver comment faire passer la ligne console en prioritaire donc je dois encore tous effacer et tous refaire :S :cry: [:hypnotic]

trictrac

voila ce que je fais en tacacs pour la console
aaa new-model
aaa authentication login default group tacacs+ line
aaa authentication login LINE line
aaa authentication enable default group tacacs+ enable

line con 0
exec-timeout 5 0
privilege level 15
password 7 xx
login authentication LINE
line vty 0 4
access-class 2 in
exec-timeout 0 0
password 7 xx
length 0

Publicité

_w0lf_

Bonsoir,
Bon, j'ai encore tout recommencer et sa ne fonctionne toujours pas :pt1cable:
Néanmoins, voici les log du aaa :

Citation :

00:10:26: AAA/MEMORY: free_user (0x80DCB73C) user='' ruser='' port='tty2' rem_ad
dr='128.0.0.5' authen_type=ASCII service=LOGIN priv=1
00:10:26: AAA: parse name=tty2 idb type=-1 tty=-1
00:10:26: AAA: name=tty2 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=2 chann
el=0
00:10:26: AAA/MEMORY: create_user (0x80DCB73C) user='' ruser='' port='tty2' rem_
addr='128.0.0.5' authen_type=ASCII service=LOGIN priv=1
00:10:26: AAA/AUTHEN/START (1664241881): port='tty2' list='specific' action=LOGI
N service=LOGIN
00:10:26: AAA/AUTHEN/START (1664241881): found list specific
00:10:26: AAA/AUTHEN/START (1664241881): Method=radgrp (radius)
00:10:26: AAA/AUTHEN (1664241881): status = GETUSER
00:10:42: AAA/AUTHEN/CONT (1664241881): continue_login (user='(undef)')
00:10:42: AAA/AUTHEN (1664241881): status = GETUSER
00:10:42: AAA/AUTHEN (1664241881): Method=radgrp (radius)
00:10:42: AAA/AUTHEN (1664241881): status = GETPASS
00:10:44: AAA/AUTHEN/CONT (1664241881): continue_login (user='adminsw1')
00:10:44: AAA/AUTHEN (1664241881): status = GETPASS
00:10:44: AAA/AUTHEN (1664241881): Method=radgrp (radius)
00:11:14: AAA/AUTHEN (1664241881): status = ERROR
00:11:14: AAA/AUTHEN/START (1688597219): port='tty2' list='' action=LOGIN servic
e=LOGIN
00:11:14: AAA/AUTHEN/START (1688597219): Restart
00:11:14: AAA/AUTHEN/START (1688597219): Method=ENABLE
00:11:14: AAA/AUTHEN (1688597219): can't find any passwords
00:11:14: AAA/AUTHEN (1688597219): status = ERROR
00:11:14: AAA/AUTHEN/START (1688597219): no methods left to try
00:11:14: AAA/AUTHEN (1688597219): status = ERROR
00:11:14: AAA/AUTHEN/START (1688597219): failed to authenticate
00:11:16: AAA/MEMORY: free_user (0x80DCB73C) user='adminsw1' ruser='' port='tty2
' rem_addr='128.0.0.5' authen_type=ASCII service=LOGIN priv=1

Sinon, comme j'ai un doute sur la question, je la pose : le groupe crée sous l'A.D doit etre le même que lorsque l'on tape ses commandes dans le switch cisco :

Citation :

Switch2950(config)#aaa group server radius radgrp

ou "radgrp" est le nom du groupe défini dans l'A.D ???
De tte façon, j'ai essayé avec le même nom et sa n'a pas fonctionner.
Je ne sais plus trop quoi faire...

alltech

Juste pour info : TACACS est un protocol propriétaire Cisco... donc qui marche avec un serveur AAA Cisco ou compatatible...

Message cité 1 fois

trictrac

alltech a écrit :

Juste pour info : TACACS est un protocol propriétaire Cisco... donc qui marche avec un serveur AAA Cisco ou compatatible...

Juste pour info : RADIUS est un protocole standard ietf... donc qui marche avec un serveur AAA Cisco ou compatible Radius...

shreckbull

ton titre presente un soucis. Un 2950 est un switch N2 pas un routeur.

_w0lf_

Merci a tous pour votre mais j'ai résolu mon problème ^^
J'avais oublié quelques commandes super importantes comme "generate key"....
bonne nuit.

tabasc0

Bhe balance ta config ça peut intéresser des gens...

_w0lf_

Salut,

Citation :

Switch (config)#hostname Switch2950 //Pas nécessaire si vous aviez déjà précisé un nom d’hôte.
Switch2950 (config)#ip domain-name nom_du_domaine //Renseignez le nom du Domaine.
Switch2950 (config)#crypto key generate rsa //Permet de générer une clé nécessaire au SSH.
….
How many bits in the modulus [512]: //Rentrez le nombre de bits desirés pour chiffrer la clé. On ne peut pas depasser 2048 !
Switch2950#07:36:10.558: %SSH-5-ENABLED: SSH 1.99 has been enabled //Si l’étape s’est bien déroulée, il y a un message de confirmation
Switch2950#conf t
Switch2950 (config)# aaa new-model ### efface la configuration aaa précédente a faire absolument !
Switch2950 (config)#radius-server host 128.0.0.5 auth-port 1645 acct-port 1646 key azerty ## ici il faut entrez l’adresse IP du serveur RADIUS mais surtout la key (“azerty”) qui correspond au secret partagé renter lors de l’ajout de clients RADIUS sur le serveur W2K.
Switch2950(config)#radius-server timeout 5
Switch2950(config)#radius-server retransmit 5
Switch2950(config)#aaa group server radius radgrp ## Attribue le groupe radgrp au serveur RADIUS
Switch2950(config-sg-radius)#server 128.0.0.5 auth-port 1645 acct-port 1646 ## Le groupe radgrp contient le serveur 128.0.0.5 et utilise le port 1645 pour l’authentification et le 1646 pour la gestion des informations récoltées pendant toute la durée de la session, après identification de l'utilisateur.
Switch2950(config-sg-radius)#exit
Switch2950(config)#aaa authentication login specific group radgrp enable ##L’authentification doit se dérouler grace à un login qui est spécifique au groupe radgrp sachant que ce groupe et celui du serveur RADIUS.
Switch2950(confgi)#aaa authorization exec default group radgrp local ##Cette commande permet de lui dire de prendre en compte les autorisations en fonction du niveau de privilèges accordés et active le SSH
Switch2950(config)#line vty 0 4 // 5 connexion simultanées possible ici
Switch2950(config-line)#login authentication specific ##L’interface line vty 0 4 utilise le principe de l’authentification spécifique au serveur RADIUS.
Switch2950#wr //enregistre les modifications

La voici. Et aussi "bonjour"/"merci"; sa peux aider des gens....
Bye.

Message cité 1 fois

tabasc0

_w0lf_ a écrit :

La voici. Et aussi "bonjour"/"merci"; sa peux aider des gens....
Bye.

Merci :jap:

FORUM HardWare.fr

Systèmes & Réseaux Pro

Sécurité

Authentification RADUIS sur switch CISCO 2950

Sujets relatifs
Plus de sujets relatifs à : Authentification RADUIS sur switch CISCO 2950

Page générée en 0.036 secondes