radius

Authentification radius sur un router avec SSH

Notre nouvel objectif :
Configurer un accès SSH sur un périphérique Cisco avec authentification radius. Pour suivre et pratiquer en même temps vous avez les maquettes ci-dessous disponibles :

Maquette vierge ici
Maquette complète ici
image

Qu’est ce qu’un serveur Radius ?
C’est un protocole standard qui à pour but de centraliser toutes les authentifications par un login et mot de passe. Un serveur radius peut s’appuyer sur un active directory ou un serveur LDAP pour référencer des comptes déja existants. L’avantage est de se connecter avec un seul compte sur plusieurs périphériques d’administration (ex:router/switch/Serveur/…). Ce qui permet de ne retenir qu’un login mot de passe et non plus des milliers ^^ #tropdemotdepasse

Configuration radius du serveur : 192.168.0.200
image

1 – Nous identifions le routeur R1 avec son IP en 192.168.0.254 pouvant se connecter au serveur radius avec la clé 123456789
2 – Nous créons ensuite un user jerome avec son mot de passe cisco1234
3 – N’oubliez pas d’activer le service AAA en cliquant sur ON

Configuration du protocole SSH :
Pour plus de détails sur la configuration vous pouvez sur cliquer sur cet article.
Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#ip domain-name cisco.com
R1(config)#crypto key generate rsa
Choisissez par exemple une clé de 1024 bits
R1(config)#ip ssh version 2
R1(config)#line vty 0 15
R1(config-line)#transport input ssh

Configuration de l’authentification radius sur le routeur

Commençons par la création d’un nouveau profil
Router(config)#aaa new-model

Spécifions que l’authentification se fera sur l’accès distant via le protocole radius.
Router(config)#aaa authentication login default group radius local

Vous pouvez même configurer une authentification radius sur le compte privilégié lorsque vous tapez enable
Router(config)#aaa authentication enable default group radius local

Ici nous spécifions la liaison entre le routeur et le serveur radius en respectant la clé d’autorisation 123456789 configurée sur le serveur précédemment :
Router(config)#radius-server host 192.168.0.200 auth-port 1645 key 123456789

Enfin nous précisions que sur les line vty 0 à 15 nous checkerons un serveur radius
R1(config)#line vty 0 15
R1(config-line)#login authentication default

Vérification
A partir d’un PC tapez la commande suivante :
ssh –l jerome 192.168.0.254
Le mot de passe sera celui que vous avez configuré sur votre serveur radius pour ma part ce sera cisco1234
image

!!!!! CISCO FOREVER !!!!!

Publicités