Incompréhension serveur radius
Fermé
TheNightFury
-
21 août 2014 à 12:38
knasucre22 Messages postés 104 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 26 août 2014 - 26 août 2014 à 20:12
knasucre22 Messages postés 104 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 26 août 2014 - 26 août 2014 à 20:12
A voir également:
- Incompréhension serveur radius
- Serveur pop - Guide
- Serveur dhcp - Guide
- Le serveur de récupération n'a pas pu être contacté ✓ - Forum MacOS
- Le protocole assure que la communication entre l'ordinateur de chaïma et le serveur de partageimage est car les informations seront avant d'être envoyées. - Forum traduction
- Changer serveur dns - Guide
12 réponses
Metaway
Messages postés
28
Date d'inscription
lundi 18 août 2014
Statut
Membre
Dernière intervention
21 août 2014
2
Modifié par Chris 94 le 23/08/2014 à 17:01
Modifié par Chris 94 le 23/08/2014 à 17:01
Bonjour,
EAP-TLS est effectivement sécurisé car cette méthode d'authentification demande deux choses : un mot de passe, côté serveur et, un "certificat client", côté machine. Donc, personne ne peut s'identifier sur le serveur RADIUS sans ce certificat-client ; la détention du mot de passe ne suffit pas.
Ensuite, via le client (NAS), tu te connectes au serveur RADIUS avec le même protocole d'authentification.
Le système est le même lorsque tu souhaites te connecter à un serveur-client, via un client (NAS) depuis un serveur-radius.
Les liens soont interdits dans la signature et supprimés par la Modération
EAP-TLS est effectivement sécurisé car cette méthode d'authentification demande deux choses : un mot de passe, côté serveur et, un "certificat client", côté machine. Donc, personne ne peut s'identifier sur le serveur RADIUS sans ce certificat-client ; la détention du mot de passe ne suffit pas.
Ensuite, via le client (NAS), tu te connectes au serveur RADIUS avec le même protocole d'authentification.
Le système est le même lorsque tu souhaites te connecter à un serveur-client, via un client (NAS) depuis un serveur-radius.
Les liens soont interdits dans la signature et supprimés par la Modération
Merci beaucoup pour la réponse !
Donc si j'ai bien compris, EAP-TLS est présent à la fois entre le NAS et le PC et le NAS et le serveur radius et l'authentification sur NAS s'effectue de la même manière que l'authentification sur un simple pc.
Il y a une grosse différence entre TLS et TTLS?
Encore une petite chose, je souhaiterais justement mettre en place un serveur freeradius pour l'authentification des administrateurs sur les switchs de mon parc, en gros que je puisse me connecter à mes switchs grâce/via un serveur radius.
Voilà ce que je souhaite faire:
-créer une base de donnée mysql ou seront stockées les utilisateurs
-créer un groupe admin
-Y créer les comptes (de préférence avec l'authentification TLS)
-Y ajouter mes NAS
lorsque je vais ajouter les comptes et les NAS, je devrais le faire sur la BDD ou bien dans les fichiers de configuration du FreeRADIUS?
PS: le secret renseigné lors de l'ajout des NAS permet-il de chiffrer l'authentification?
Merci Encore
Donc si j'ai bien compris, EAP-TLS est présent à la fois entre le NAS et le PC et le NAS et le serveur radius et l'authentification sur NAS s'effectue de la même manière que l'authentification sur un simple pc.
Il y a une grosse différence entre TLS et TTLS?
Encore une petite chose, je souhaiterais justement mettre en place un serveur freeradius pour l'authentification des administrateurs sur les switchs de mon parc, en gros que je puisse me connecter à mes switchs grâce/via un serveur radius.
Voilà ce que je souhaite faire:
-créer une base de donnée mysql ou seront stockées les utilisateurs
-créer un groupe admin
-Y créer les comptes (de préférence avec l'authentification TLS)
-Y ajouter mes NAS
lorsque je vais ajouter les comptes et les NAS, je devrais le faire sur la BDD ou bien dans les fichiers de configuration du FreeRADIUS?
PS: le secret renseigné lors de l'ajout des NAS permet-il de chiffrer l'authentification?
Merci Encore
Metaway
Messages postés
28
Date d'inscription
lundi 18 août 2014
Statut
Membre
Dernière intervention
21 août 2014
2
Modifié par Chris 94 le 23/08/2014 à 17:01
Modifié par Chris 94 le 23/08/2014 à 17:01
1. Oui :)
2. TTLS se passe du système de reconnaissance par machine ; autrement dit, du système de reconnaissance par certficat-client. Ils ont pensé que créer un système uniquement basé sur des données chiffrées dépasserait l'authentification-client. Le système TLS a besoin d'une identification-client et n'est compatible qu'avec certains types d'OS. C'est pour cela que TTLS a été crée. Afin de dépasser ce problème et de pouvoir installer un système réseau plus puissant, axé uniquement sur des reconnaissances TTLS et donc sur des systèmes UNIX. En clair, TTLS se passe aisément de Windows, tandis que le TTL est lié à Windows (car reconnait un seul type de certificat-client, autrement dit, le "nom de ta machine").
Donc, le TTLS est utilisé lorsque de nombreuses machines se connecte à un serveur RADIUS et n'utilise pour cela que des données chiffrées qui se passent d'une licence-client. Donc, les machines UNIX peuvent accéder au serveur RADIUS, grâce à ce système sans que celles-ci aient besoin d'être licenciées WINDOWS. Ce qui coûte beaucoup moins chère, notamment, qui offre certainement plus de sécurité car moins de lisibilité et qui est plus rapide.
3. Si j'étais toi, je les ferais en dehors de l'espace FreeRADIUS, c'est à dire, implanter sur l'OS-Machine, mais c'est complexe. Le danger avec des systèmes comme FreeRadius, est qu'ils facilitent l'usage à l'extrême et réduisent les possibilités.
Pour moi, un serveur RADIUS c'est:
- un os-machine, une passerelle, un NAS, une passerelle, RADIUS
Le secret renseigné est une clé, c'est elle qui chiffre l'authentification. Donc oui.
Le troisième point est très compliqué, je ne suis pas sûr de pouvoir t'ammener plus d'éclairage sur le sujet. Ce que je peux te dire, c'est que le système FreeRADIUS est une simplification, comme Ubuntu est une image de Linux qui est le nom de l'OS UNIX.
2. TTLS se passe du système de reconnaissance par machine ; autrement dit, du système de reconnaissance par certficat-client. Ils ont pensé que créer un système uniquement basé sur des données chiffrées dépasserait l'authentification-client. Le système TLS a besoin d'une identification-client et n'est compatible qu'avec certains types d'OS. C'est pour cela que TTLS a été crée. Afin de dépasser ce problème et de pouvoir installer un système réseau plus puissant, axé uniquement sur des reconnaissances TTLS et donc sur des systèmes UNIX. En clair, TTLS se passe aisément de Windows, tandis que le TTL est lié à Windows (car reconnait un seul type de certificat-client, autrement dit, le "nom de ta machine").
Donc, le TTLS est utilisé lorsque de nombreuses machines se connecte à un serveur RADIUS et n'utilise pour cela que des données chiffrées qui se passent d'une licence-client. Donc, les machines UNIX peuvent accéder au serveur RADIUS, grâce à ce système sans que celles-ci aient besoin d'être licenciées WINDOWS. Ce qui coûte beaucoup moins chère, notamment, qui offre certainement plus de sécurité car moins de lisibilité et qui est plus rapide.
3. Si j'étais toi, je les ferais en dehors de l'espace FreeRADIUS, c'est à dire, implanter sur l'OS-Machine, mais c'est complexe. Le danger avec des systèmes comme FreeRadius, est qu'ils facilitent l'usage à l'extrême et réduisent les possibilités.
Pour moi, un serveur RADIUS c'est:
- un os-machine, une passerelle, un NAS, une passerelle, RADIUS
Le secret renseigné est une clé, c'est elle qui chiffre l'authentification. Donc oui.
Le troisième point est très compliqué, je ne suis pas sûr de pouvoir t'ammener plus d'éclairage sur le sujet. Ce que je peux te dire, c'est que le système FreeRADIUS est une simplification, comme Ubuntu est une image de Linux qui est le nom de l'OS UNIX.
knasucre22
Messages postés
104
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
26 août 2014
30
Modifié par knasucre22 le 21/08/2014 à 18:49
Modifié par knasucre22 le 21/08/2014 à 18:49
Bonjour TheNightFury,
A ma connaissance, il est difficile de se connecter en administration sur un switch via EAP ... mais l'authentification centralisée reste bien sur possible (heureusement ..), à noter que EAP fait parti de la suite de protocole AAA (et c'est ça qui nous intéresse !).
Il est même envisageable si tu le souhaites, que le serveur radius renvois le privilège de la connexion (pour du cisco), les plus connus étant 0 et 15 qui sont par défaut sur les switchs (ex : helpdesk => show seulement, admin réseaux => accès complet)
Pour l'authentification, cela se passe en PAP, protocole non crypté certes mais le mot de passe ne circule tout de même pas en clair, et pour répondre à ta question, la clé partagée est utilisée pour ce chiffrement ( en plus de l'id de connexion radius ).
Pour t'aider, dans ta config tu as besoin :
Sur le switch :
De démarrer le AAA
De déclarer le serveur radius avec la clé partagé
De configurer les protocoles (login, authorization, ...) avec ce serveur Radius.
De configurer les "lignes" d'administration.
Sur le Freeradius :
Configurer l'authentification PAP
Configurer les clients
Configurer SQL
Remplir ta base
A noter qu'il faut absolument que tu prévois une méthode d'authentification locale en cas d'indisponibilité du serveur RADIUS, via un super mot de passe admin. Ce mot de passe ne fonctionne QUE si Radius est HS.
Pour la partie switch, voici un exemple avec du Cisco IOS
! Compte de secours
username admin privilege 15 secret motdepasseadminlocal
! On démarre la suite AAA
aaa new-model
! On configure un groupe de serveur radius nomme RAD_GROUP
aaa group server radius RAD_GROUP
server-private 192.168.X.X auth-port 1812 acct-port 1813 key clepartage
!
! La config AUTH_LOGIN est crée avec le groupe Radius RAD_GROUP et en second cas une authentification locale
! Permet l'authentification
aaa authentication login AUTH_LOGIN group RAD_GROUP local
! Indique d'utiliser l'Autorisation de la suite AAA pour la connexion à la console
aaa authorization console
! La config AUTHOR_EXEC est crée avec le groupe Radius RAD_GROUP et en second cas une authentification locale
! Permet la recupération du privilege
aaa authorization exec AUTHOR_EXEC group RAD_GROUP local
line vty 0 4
authorization exec AUTHOR_EXEC
login authentication AUTH_LOGIN
Pour Radius, je n'utilise pas freeradius mais le serveur NPS de Windows avec une base Active directory... mais ma maquette fonctionnait avec du freeradius sans problème ! Par contre je n'ai plus les confs...
J'espère t'avoir aidé !
Bonne soirée.
Benjamin.
A ma connaissance, il est difficile de se connecter en administration sur un switch via EAP ... mais l'authentification centralisée reste bien sur possible (heureusement ..), à noter que EAP fait parti de la suite de protocole AAA (et c'est ça qui nous intéresse !).
Il est même envisageable si tu le souhaites, que le serveur radius renvois le privilège de la connexion (pour du cisco), les plus connus étant 0 et 15 qui sont par défaut sur les switchs (ex : helpdesk => show seulement, admin réseaux => accès complet)
Pour l'authentification, cela se passe en PAP, protocole non crypté certes mais le mot de passe ne circule tout de même pas en clair, et pour répondre à ta question, la clé partagée est utilisée pour ce chiffrement ( en plus de l'id de connexion radius ).
Pour t'aider, dans ta config tu as besoin :
Sur le switch :
De démarrer le AAA
De déclarer le serveur radius avec la clé partagé
De configurer les protocoles (login, authorization, ...) avec ce serveur Radius.
De configurer les "lignes" d'administration.
Sur le Freeradius :
Configurer l'authentification PAP
Configurer les clients
Configurer SQL
Remplir ta base
A noter qu'il faut absolument que tu prévois une méthode d'authentification locale en cas d'indisponibilité du serveur RADIUS, via un super mot de passe admin. Ce mot de passe ne fonctionne QUE si Radius est HS.
Pour la partie switch, voici un exemple avec du Cisco IOS
! Compte de secours
username admin privilege 15 secret motdepasseadminlocal
! On démarre la suite AAA
aaa new-model
! On configure un groupe de serveur radius nomme RAD_GROUP
aaa group server radius RAD_GROUP
server-private 192.168.X.X auth-port 1812 acct-port 1813 key clepartage
!
! La config AUTH_LOGIN est crée avec le groupe Radius RAD_GROUP et en second cas une authentification locale
! Permet l'authentification
aaa authentication login AUTH_LOGIN group RAD_GROUP local
! Indique d'utiliser l'Autorisation de la suite AAA pour la connexion à la console
aaa authorization console
! La config AUTHOR_EXEC est crée avec le groupe Radius RAD_GROUP et en second cas une authentification locale
! Permet la recupération du privilege
aaa authorization exec AUTHOR_EXEC group RAD_GROUP local
line vty 0 4
authorization exec AUTHOR_EXEC
login authentication AUTH_LOGIN
Pour Radius, je n'utilise pas freeradius mais le serveur NPS de Windows avec une base Active directory... mais ma maquette fonctionnait avec du freeradius sans problème ! Par contre je n'ai plus les confs...
J'espère t'avoir aidé !
Bonne soirée.
Benjamin.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour vos réponses, je commence à y voir un peu plus clair.
Pour ma part j'ai des équipements Avaya 4000 series et 5000 series, la config se résume à sa:
4548GT-PWR(config)# radius-server host 10.10.50.40
4548GT-PWR(config)# radius-server key Dda
4548GT-PWR(config)# radius-server password fallback
4548GT-PWR(config)# cli password switch telnet radius
4548GT-PWR(config)# radius accounting enable
Mon freeradius ne contiendra QUE les comptes administrateur éligible à se connecter pour administrer mes switchs donc je pense pas à avoir à règler les priorités^^.
J'ai suivi ces tutos pour configurer mes switchs.
https://downloads.avaya.com/css/P8/documents/100123717
Maintenant c'est la partie création des clients qui me pose problème, par exemple sur le tuto il crée 5 comptes, ils ont quoi de différents ces comptes? :
bsro Auth-Type == Local,User-Password == "bsro"
Service-Type = NAS-Prompt-User
bsrw Auth-Type == Local,User-Password == "bsrw"
Service-Type = Administrative-User
ro Auth-Type == Local,User-Password == "ro"
Access-Priority = ro
rwa Auth-Type == Local,User-Password == "rwa"
Access-Priority = rwa
eap Auth-Type == EAP,User-Password == "eap"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-private-Group-Id
Si je souhaite ajouter un compte administrateur nommé "TC1234", je devrais faire quoi?
Juste ajouter cette ligne et c'est bon?
TC1234 Auth-Type == Local,User-Password == "test1234"
Service-Type = Administrative-User
Pour la partie sécurisation/chiffrement du mot de passe du compte admin, c'est le "shared secret" qui s'en charge?
Merci d'avance
Pour ma part j'ai des équipements Avaya 4000 series et 5000 series, la config se résume à sa:
4548GT-PWR(config)# radius-server host 10.10.50.40
4548GT-PWR(config)# radius-server key Dda
4548GT-PWR(config)# radius-server password fallback
4548GT-PWR(config)# cli password switch telnet radius
4548GT-PWR(config)# radius accounting enable
Mon freeradius ne contiendra QUE les comptes administrateur éligible à se connecter pour administrer mes switchs donc je pense pas à avoir à règler les priorités^^.
J'ai suivi ces tutos pour configurer mes switchs.
https://downloads.avaya.com/css/P8/documents/100123717
Maintenant c'est la partie création des clients qui me pose problème, par exemple sur le tuto il crée 5 comptes, ils ont quoi de différents ces comptes? :
bsro Auth-Type == Local,User-Password == "bsro"
Service-Type = NAS-Prompt-User
bsrw Auth-Type == Local,User-Password == "bsrw"
Service-Type = Administrative-User
ro Auth-Type == Local,User-Password == "ro"
Access-Priority = ro
rwa Auth-Type == Local,User-Password == "rwa"
Access-Priority = rwa
eap Auth-Type == EAP,User-Password == "eap"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-private-Group-Id
Si je souhaite ajouter un compte administrateur nommé "TC1234", je devrais faire quoi?
Juste ajouter cette ligne et c'est bon?
TC1234 Auth-Type == Local,User-Password == "test1234"
Service-Type = Administrative-User
Pour la partie sécurisation/chiffrement du mot de passe du compte admin, c'est le "shared secret" qui s'en charge?
Merci d'avance
knasucre22
Messages postés
104
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
26 août 2014
30
22 août 2014 à 00:05
22 août 2014 à 00:05
Bah je ne connais pas trop Avaya, du coup je ne connais pas la différence entre NAS-Prompt-User et Administrative-User
Mais c'est vrai que ta conf va au final ressembler à quelque chose du genre oui
Cependant, dans ton exemple, tu n'utilises pas de base de données ? C'est ce que tu veux ?
Ce que tu appelle le compte admin, c'est le compte local en cas de défaillance du Radius ? En ce qui concerne sa sécurisation, bah un équivalent au "enable secret" de chez Cisco devrait suffire.
Je crains que mes compétences Avaya ne s'arrêtes là :-(
Cependant, si tes questions restes de l'ordre du théorique, je reste à l'écoute ;-)
A plus.
Mais c'est vrai que ta conf va au final ressembler à quelque chose du genre oui
Cependant, dans ton exemple, tu n'utilises pas de base de données ? C'est ce que tu veux ?
Ce que tu appelle le compte admin, c'est le compte local en cas de défaillance du Radius ? En ce qui concerne sa sécurisation, bah un équivalent au "enable secret" de chez Cisco devrait suffire.
Je crains que mes compétences Avaya ne s'arrêtes là :-(
Cependant, si tes questions restes de l'ordre du théorique, je reste à l'écoute ;-)
A plus.
Je crois que finalement je vais me rabattre sur un serveur NPS et je pense que tu pourras finalement m'aider un peu plus ;)
Mon serveur NPS ne concernera que les comptes présents dans un OU ou groupe "admins réseaux" (je ne m'en rappelles pas) et donc qu'il puisse s'authentifier sur les switchs grâce à leurs compte AD et donc ce que je dois faire:
-Installer W2008R2
-Ajouter mon serveur au domaine
-Installer le service NPS
-Ajouter mes clients
-je crée une "stratégie de demande de connexion" où je ne sais pas vraiment quoi mettre comme politique de connexion. Je pense mettre que ces 3 comptes puissent ce connecter h24/j7.
-Je crée une "politique réseau" pour la connexion administrative à mes switchs. Pour y ajouter les utilisateurs, je choisis quoi ? groupe windows si ils sont dans un "OU", ou je choisis groupe d'utilisateur si ils sont dans un groupe?
-Je choisis acces autorisé car je veux qu'il se connecte.
-Dans méthode d'authentification je déchoche tout sauf PAP et SPAP.
-Dans "configure settings", je supprime sous les attributs standards (PPP et Service-type)
-Je souhaite que lorsque que mes admins se connectent sur les switchs, ils aient l'accès en lecture/écriture. Comment je peux règler sa? si quelqu'un pourrait me dire si il y a le "vendor" avaya ou nortel ?
Merci d'avance
Mon serveur NPS ne concernera que les comptes présents dans un OU ou groupe "admins réseaux" (je ne m'en rappelles pas) et donc qu'il puisse s'authentifier sur les switchs grâce à leurs compte AD et donc ce que je dois faire:
-Installer W2008R2
-Ajouter mon serveur au domaine
-Installer le service NPS
-Ajouter mes clients
-je crée une "stratégie de demande de connexion" où je ne sais pas vraiment quoi mettre comme politique de connexion. Je pense mettre que ces 3 comptes puissent ce connecter h24/j7.
-Je crée une "politique réseau" pour la connexion administrative à mes switchs. Pour y ajouter les utilisateurs, je choisis quoi ? groupe windows si ils sont dans un "OU", ou je choisis groupe d'utilisateur si ils sont dans un groupe?
-Je choisis acces autorisé car je veux qu'il se connecte.
-Dans méthode d'authentification je déchoche tout sauf PAP et SPAP.
-Dans "configure settings", je supprime sous les attributs standards (PPP et Service-type)
-Je souhaite que lorsque que mes admins se connectent sur les switchs, ils aient l'accès en lecture/écriture. Comment je peux règler sa? si quelqu'un pourrait me dire si il y a le "vendor" avaya ou nortel ?
Merci d'avance
knasucre22
Messages postés
104
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
26 août 2014
30
22 août 2014 à 14:06
22 août 2014 à 14:06
C'est vrai que le NPS est pas mal ( de Win2K8 j'entends, les anciens de W2k3 n'étaient pas mes préférés... )
Donc déjà pour tes 4 premières étapes je suis d'accord.
Ensuite, pour les stratégies, de mon expérience personnelle, une fois que le NPS est en place, il sert très vite à autre chose (Wifi, LAN, Authentification logicielle, ...)
Donc il faut que tu prévois ta stratégie de connexion et ta politique réseau pour n'accepter que les switchs mais laisser d'autres équipements se greffer dessus. Pour ma part, j'envoi un attribut radius en plus dans mes requêtes (l'attribut 4 il me semble) et je met la même valeur partout ( un adresse IP ).
Ensuite pour moi la stratégie de connexion n'est pas la pour identifier tes users, juste pour valider l'équipement, c'est la stratégie réseau qui prends le relais ( en gros l'authentification ).
En gros voici ce que j'ai :
Stratégie de connexion
Conditions : NAS IPv4 Address : X.X.X.X (l'adresse IP dont je parlais précédemment)
Paramètres :
- Authentification : Sur ce serveur
- Le reste est par défaut
Stratégie réseaux
Conditions :
NAS IPv4 Address : X.X.X.X (l'adresse IP dont je parlais
User groups DOMAINE\Groupe_Admins
Contraintes :
Authentication Methods : Unencrypted authentication (PAP, SPAP)
Paramètres :
RADIUS Attributes : Service-Type : NAS Prompt ou Administrative ?
Pour se connecter directement en Admin, je ne sais pas ce qu'il faut mettre pour Avaya (peut être le Administrative suffit). Sinon, cela se passera dans Vendor specific (sous cisco c'est Cisco-AV-Pair : shell:priv-lvl=15 )
Cela devrai déjà t'aider un peu.
Donc déjà pour tes 4 premières étapes je suis d'accord.
Ensuite, pour les stratégies, de mon expérience personnelle, une fois que le NPS est en place, il sert très vite à autre chose (Wifi, LAN, Authentification logicielle, ...)
Donc il faut que tu prévois ta stratégie de connexion et ta politique réseau pour n'accepter que les switchs mais laisser d'autres équipements se greffer dessus. Pour ma part, j'envoi un attribut radius en plus dans mes requêtes (l'attribut 4 il me semble) et je met la même valeur partout ( un adresse IP ).
Ensuite pour moi la stratégie de connexion n'est pas la pour identifier tes users, juste pour valider l'équipement, c'est la stratégie réseau qui prends le relais ( en gros l'authentification ).
En gros voici ce que j'ai :
Stratégie de connexion
Conditions : NAS IPv4 Address : X.X.X.X (l'adresse IP dont je parlais précédemment)
Paramètres :
- Authentification : Sur ce serveur
- Le reste est par défaut
Stratégie réseaux
Conditions :
NAS IPv4 Address : X.X.X.X (l'adresse IP dont je parlais
User groups DOMAINE\Groupe_Admins
Contraintes :
Authentication Methods : Unencrypted authentication (PAP, SPAP)
Paramètres :
RADIUS Attributes : Service-Type : NAS Prompt ou Administrative ?
Pour se connecter directement en Admin, je ne sais pas ce qu'il faut mettre pour Avaya (peut être le Administrative suffit). Sinon, cela se passera dans Vendor specific (sous cisco c'est Cisco-AV-Pair : shell:priv-lvl=15 )
Cela devrai déjà t'aider un peu.
Merci !
Pour le avaya, apparement je choisis Service-type= Administrative pour un switchs "basique" type 4000 series ou 5000 series.
Mais pour un coeur de réseau (passport 8800) vu qu'il y a beaucoup plus de priorités à gérer que sur switch "basique", je doit préciser que mes comptes se connectent en tant read-write (équivalent au privilège 15) mais j'ai rien trouvé comme ligne à taper :s.
Pour le avaya, apparement je choisis Service-type= Administrative pour un switchs "basique" type 4000 series ou 5000 series.
Mais pour un coeur de réseau (passport 8800) vu qu'il y a beaucoup plus de priorités à gérer que sur switch "basique", je doit préciser que mes comptes se connectent en tant read-write (équivalent au privilège 15) mais j'ai rien trouvé comme ligne à taper :s.
knasucre22
Messages postés
104
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
26 août 2014
30
22 août 2014 à 15:03
22 août 2014 à 15:03
Il semblerait que ce soit le Access-Priority qui peux être ro, l1, l2, l3, rw ou rwa
En gros dans les paramètres de ta stratégie de connexion, tu vas dans Radius Attribute -> Vendor-Specific puis tu cliques sur Add.
Ensuite tu sélectionnes le vendeur Custom puis l'attribut Vendor-Specific et tu clique sur Add, puis encore sur Add.
Dans le vendeur tu sélectionnes depuis la liste : Nortel
Puis tu coches: Oui, il est conforme blah blah blah
Puis configure Attribute
Attribute Number : 192 en décimal
Valeurs, une de ces valeurs
- None : 0
- Ro : 1
- L1 : 2
- L2 : 3
- L3 : 4
- RW : 5
- RW-All-Access : 6
Tu valides le tout et voila !
En gros dans les paramètres de ta stratégie de connexion, tu vas dans Radius Attribute -> Vendor-Specific puis tu cliques sur Add.
Ensuite tu sélectionnes le vendeur Custom puis l'attribut Vendor-Specific et tu clique sur Add, puis encore sur Add.
Dans le vendeur tu sélectionnes depuis la liste : Nortel
Puis tu coches: Oui, il est conforme blah blah blah
Puis configure Attribute
Attribute Number : 192 en décimal
Valeurs, une de ces valeurs
- None : 0
- Ro : 1
- L1 : 2
- L2 : 3
- L3 : 4
- RW : 5
- RW-All-Access : 6
Tu valides le tout et voila !
Merci!
donc je résume pour mon cas
je me connecte en telnet/ssh au swich:
telent x.x.x.x
je tape mes identifiants, et derrière il se passe quoi?
-le switch s'identifie au radius (shared secret donc mot de passe protégé)
-une fois sa effectué, il envoie le paquet contenant les identifiants mais de forme et avec PAP.
IL y a un moyen de sécurisé les identifiants?
donc je résume pour mon cas
je me connecte en telnet/ssh au swich:
telent x.x.x.x
je tape mes identifiants, et derrière il se passe quoi?
-le switch s'identifie au radius (shared secret donc mot de passe protégé)
-une fois sa effectué, il envoie le paquet contenant les identifiants mais de forme et avec PAP.
IL y a un moyen de sécurisé les identifiants?
knasucre22
Messages postés
104
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
26 août 2014
30
25 août 2014 à 16:19
25 août 2014 à 16:19
Lorsque tu tape tes identifiants :
1 - Envoie
Le switch construit un paquet Access-Request contenant un id, les paramètres de requête (Attributs radius), le login (en clair) et le mot de passe ( crypte grace à la clé privé entre autre)
2 - A la réception
Le client regarde qu'il est autorisé à ce connecter ( adresse IP source ) puis check le "connection profile" PUIS le "network profile" pour renvoyer une réponse : Access-Accept ou Access-Request
Radius fonctionne en UDP donc il n'y a pas de connexion préalable entre le switch et le Radius.
Pour le perfectionnement, tu trouveras tout ce qu'il te faut dans la RFC (ils expliquent bien mieux que moi ^^ ) : https://tools.ietf.org/html/rfc2865#section-4.1
Quels identifiants veux tu sécuriser ?
1 - Envoie
Le switch construit un paquet Access-Request contenant un id, les paramètres de requête (Attributs radius), le login (en clair) et le mot de passe ( crypte grace à la clé privé entre autre)
2 - A la réception
Le client regarde qu'il est autorisé à ce connecter ( adresse IP source ) puis check le "connection profile" PUIS le "network profile" pour renvoyer une réponse : Access-Accept ou Access-Request
Radius fonctionne en UDP donc il n'y a pas de connexion préalable entre le switch et le Radius.
Pour le perfectionnement, tu trouveras tout ce qu'il te faut dans la RFC (ils expliquent bien mieux que moi ^^ ) : https://tools.ietf.org/html/rfc2865#section-4.1
Quels identifiants veux tu sécuriser ?
knasucre22
Messages postés
104
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
26 août 2014
30
26 août 2014 à 20:12
26 août 2014 à 20:12
Hello TheNightFury, hésites pas à mettre en résolu si c'est bon ^^
