Intégrer l’authentification Active Directory sur les équipements Cisco

I. Présentation

Dans ce présent tutoriel nous allons voir comment effectuer l'authentification des équipements "Cisco" avec les utilisateurs qui sont enregistrées au niveau d'un serveur Active Directory (AD) en passant par le protocole Radius.


Pour réaliser l'ensemble de cette configuration nous aurons besoin d'installer le rôle NPS (Network Policy Server) sur notre serveur et sans doute d'un équipement Cisco pour injecter la configuration de notre serveur radius.

II. Configuration du serveur Radius

Sur notre serveur Windows, nous allons commencer par ajouter un nouveau rôle via le gestionnaire de serveur.

1 - Cliquez sur Ajouter/Supprimer des rôles et passez l'étape "Avant de commencer"

2 - Choisir le type d'installation (par défaut : Installation basée sur un rôle ou une fonctionnalité)

3 - Sélectionnez le rôle "Service de stratégie et d'accès réseau" puis suivant

4 - Valider l'ajout des fonctionnalités requises pour services de stratégie et d'accès réseau

5 - Au niveau des fonctionnalités ne sélectionner aucune

6 - Sélectionnez le service "Serveur NPS" de notre rôle "Service de stratégie et d'accès réseau"

7 - Après avoir validé toutes les étapes, on clique sur le bouton installer

8 - Ensuite, Sur le gestionnaire de serveur, Outils puis Serveur NPS

9 - Sur les paramétrés "Clients et Serveurs RADIUS" on clique sur "Nouveau" - "Client RADIUS"

10 - Remplir les informations qui correspond à votre situation

11 - Créer deux utilisateurs (user1, user2) et les mettre dans un groupe qui s'appelle "IT Cisco"

12 - Revenir sur le serveur NPS, cette fois-ci sur "Stratégie" puis "Stratégies réseau"

13 - Choisir un nom pour la stratégie de votre choix puis "suivant"

14 - Dans les conditions, "Ajouter" après choisir "Groupe Windows" (l'objectif étant de sélectionner le groupe que nous avons déjà créé dans l'étape "11" qui s'appelle "IT Cisco")

15 - Choisir le groupe "IT Cisco" dans l'annuaire

16 - Cliquez sur le bouton "suivant" afin de valider cette étape

17 - Au niveau des autorisations on sélectionne "Accès Accordé"

18 - Méthodes d'authentification cocher seulement la case "Authentification non chiffré (PAP, SPAP)"

19 - Sélectionnez "Non" pour la fenêtre pop-up

20 - Aucune modification n'est nécessaire au niveau contraintes

21 - Au niveau des paramétrés RADIUS supprimer les deux attributs

22 - Ajoutez un nouveau attributs comme ci-dessous

23 - Configurer les informations d'attribut "Service-Type"

24 - Configurez les paramètres d'un attribut spécifique au fournisseur (dans notre cas c'est Cisco)

25 - Après qu'on clique sur le bouton "Ajouter" nous sommes invités à saisir une valeur d'attribut

26 - Après avoir terminer la configuration du fournisseur cliquer sur suivant

27 - Terminer la configuration de la stratégie réseau

28 - Changez l'ordre de traitement de notre stratégie réseau pour devenir "1"

 

III. Configuration du routeur Cisco

Nous allons passer au niveau configuration du routeur :

conf t
aaa new-model
aaa group server radius ITCO
server-private 192.168.0.27 key ITconnect

L'adresse 192.168.0.27 (correspond à l'adresse de notre serveur Radius) et ITconnect (correspond au secret partagé dans l'étape 10).

Activez Authentification & Autorisation à l'aide des commandes suivantes afin de donner l'accès directement au mode "Priviliged Exec mode"

aaa authentication login default group ITCO
aaa authorization exec default group ITCO

Nous allons configurer SSH pour faire un test de connexion sur notre équipement Cisco :

line vty 0 4
transport input ssh
login authentication default

Avec un client SSH tel que Putty, vous pouvez réaliser un test de connexion :

Lorsque la connexion à l'équipement Cisco est établie, on s'authentifie, par exemple, avec le compte "user1" :

IV. Conclusion

Pour finir, je propose de mettre un LAB sur GNS3 ou autres afin de tester la configuration avant de mettre en œuvre cette dernière en production, et prendre des captures Wireshark si vous êtes curieux et que vous souhaitez analyser les flux.

 

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Hassan El Amri

Je suis un geek passionné par l'informatique et les nouvelles technologies depuis mon plus jeune âge, le site IT-Connect pour moi une opportunité immanquable afin de partager mes connaissances en termes de sécurité, réseau et système.N'hésitez pas à revenir vers moi si vous avez des questions concernant mes articles.

    hassan-elamri has 7 posts and counting.See all posts by hassan-elamri

    8 pensées sur “Intégrer l’authentification Active Directory sur les équipements Cisco

    • Bonjour
      J’aurai voulu savoir si la connexion à l’ad est indisponible pour une raison ou une autre, peut-on toujours se connecter en ssh sur les équipements avec un compte local sur le Switch ?
      Merci

      Répondre
      • Bonjour guillaume ,c’est un peu en retard mais ca peu servir aux autres,
        en fait pour se connecter est en local et en ssh ,il faudra ajouter les utilisateurs locaux sur le routeur ,en suite tapper cette commande :
        aaa authentication login default local group ITCO

        commeca il cherchera dans la base local s’il trouve pas l’utilisateur il cherchera ensuite dans le radius

        Répondre
    • Bonjou hassan ,
      je te felicite pour ce magnifique article,un de mes eleves à suivi le tuto mais l’authentification ssh n’a pas abouti ,en fait tu as oublié la commande : crypto key generate rsa
      sur le routeur pour de generer une clé rsa afin que le client puisse établir une connexion ,
      en tout cas tres bon travail ,et bonne continuation ,

      Répondre
      • Merci Mehdi.
        Avant de mettre l’article en ligne, j’ai essayé tout et ça marcherai.
        Mais bref si tu as mis la commande pour générer RSA pour que sa marche, c’est cela l’essentiel.
        Merci pour ton retour.

        Répondre
      • j’ai eu le même problème que votre Etudiant Medhi merci pour l’éclaircissement sur ce détail

        Répondre
    • Bonsoir Hassan très bon cour mais dit moi puisqu’on peut créer sur le routeur des utilisateur ssh pour pouvoir manager nos équipements si je comprends bien l’utilisation d’un serveur d’authentification nous dispense de créer ces utilisateurs ?? merci

      Répondre
    • Merci Hassan pour ce cours bien detaillé et merci a MEHDI pour la rectification .

      EL HAZ

      Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.