Forgot your password?
Configuration AAA type (commutateurs)
Document Actions
Activation d'un modèle d'AAA sur les commutateurs Cisco
Objectifs de la manoeuvre
- De ce logger sur les VTY (telnet/ssh) en utilisant son compte "radius" (donc ldap, sql...)
- D'obtenir directement les privilèges de niveau 15 (équivalent a "enable")
- D'avoir une authentification EAP (802.1x) pour activer un port
- De faire de l'accounting radius (telnet ET 802.1x)
aaa new-model ! ! aaa group server radius radiusEap server x.x.x.x auth-port 1812 acct-port 1813 ! aaa group server radius radiusInfra server x.x.x.x auth-port 1812 acct-port 1813 ! aaa group server radius radiusAccount server z.z.z.z auth-port 1812 acct-port 1813 ! aaa authentication login aaaVty group radiusInfra local-case aaa authentication login aaaCon local-case aaa authentication login aaaEap group radiusEap aaa authorization exec aaaVtyAuthz group radiusInfra local aaa authorization network aaaEapAuthz group radiusEap aaa accounting network aaaAccount start-stop group radiusAccount ! radius-server host x.x.x.x auth-port 1812 acct-port 1813 key xxxxxxx radius-server host y.y.y.y auth-port 1812 acct-port 1813 key xxxxxxx radius-server host z.z.z.z auth-port 1812 acct-port 1813 key xxxxxxx
Note :
- Les 3 serveurs radius peuvent évidement n'être qu'un seul
- Les "group" de serveur peuvent héberger plusieurs entrées (redondance)
Activation dans la console
line con 0 login authentication aaaCon
Nous utiliserons uniquement la base local pour la console.
Activation dans les VTY
line vty 0 4 authorization exec aaaVtyAuthz login authentication aaaVty line vty 5 15 authorization exec aaaVtyAuthz login authentication aaaVty
L'autorisation étant activée sur les VTY, le serveur radius doit retourner des attributs lors des connection "telnet/ssh"
admin User-Password := "xxxxxx"
Service-Type = Login-User,
Cisco-AVPair = "shell:priv-lvl=15"
Configuration d'un port
dot11 ssid UPPAWIFIX authentication open eap aaaEap authentication network-eap aaaEap accounting aaaAccount
