Intégrer l’authentification Active Directory sur les équipements Cisco

I. Présentation

Dans ce présent tutoriel nous allons voir comment effectuer l'authentification des équipements "Cisco" avec les utilisateurs qui sont enregistrées au niveau d'un serveur Active Directory (AD) en passant par le protocole Radius.

Pour réaliser l'ensemble de cette configuration nous aurons besoin d'installer le rôle NPS (Network Policy Server) sur notre serveur et sans doute d'un équipement Cisco pour injecter la configuration de notre serveur radius.

II. Configuration du serveur Radius

Sur notre serveur Windows, nous allons commencer par ajouter un nouveau rôle via le gestionnaire de serveur.

1 - Cliquez sur Ajouter/Supprimer des rôles et passez l'étape "Avant de commencer"

2 - Choisir le type d'installation (par défaut : Installation basée sur un rôle ou une fonctionnalité)

3 - Sélectionnez le rôle "Service de stratégie et d'accès réseau" puis suivant

4 - Valider l'ajout des fonctionnalités requises pour services de stratégie et d'accès réseau

5 - Au niveau des fonctionnalités ne sélectionner aucune

6 - Sélectionnez le service "Serveur NPS" de notre rôle "Service de stratégie et d'accès réseau"

7 - Après avoir validé toutes les étapes, on clique sur le bouton installer

8 - Ensuite, Sur le gestionnaire de serveur, Outils puis Serveur NPS

9 - Sur les paramétrés "Clients et Serveurs RADIUS" on clique sur "Nouveau" - "Client RADIUS"

10 - Remplir les informations qui correspond à votre situation

11 - Créer deux utilisateurs (user1, user2) et les mettre dans un groupe qui s'appelle "IT Cisco"

12 - Revenir sur le serveur NPS, cette fois-ci sur "Stratégie" puis "Stratégies réseau"

13 - Choisir un nom pour la stratégie de votre choix puis "suivant"

14 - Dans les conditions, "Ajouter" après choisir "Groupe Windows" (l'objectif étant de sélectionner le groupe que nous avons déjà créé dans l'étape "11" qui s'appelle "IT Cisco")

15 - Choisir le groupe "IT Cisco" dans l'annuaire

16 - Cliquez sur le bouton "suivant" afin de valider cette étape

17 - Au niveau des autorisations on sélectionne "Accès Accordé"

18 - Méthodes d'authentification cocher seulement la case "Authentification non chiffré (PAP, SPAP)"

19 - Sélectionnez "Non" pour la fenêtre pop-up

20 - Aucune modification n'est nécessaire au niveau contraintes

21 - Au niveau des paramétrés RADIUS supprimer les deux attributs

22 - Ajoutez un nouveau attributs comme ci-dessous

23 - Configurer les informations d'attribut "Service-Type"

24 - Configurez les paramètres d'un attribut spécifique au fournisseur (dans notre cas c'est Cisco)

25 - Après qu'on clique sur le bouton "Ajouter" nous sommes invités à saisir une valeur d'attribut

26 - Après avoir terminer la configuration du fournisseur cliquer sur suivant

27 - Terminer la configuration de la stratégie réseau

28 - Changez l'ordre de traitement de notre stratégie réseau pour devenir "1"

 

III. Configuration du routeur Cisco

Nous allons passer au niveau configuration du routeur :

conf t
aaa new-model
aaa group server radius ITCO
server-private 192.168.0.27 key ITconnect

L'adresse 192.168.0.27 (correspond à l'adresse de notre serveur Radius) et ITconnect (correspond au secret partagé dans l'étape 10).

Activez Authentification & Autorisation à l'aide des commandes suivantes afin de donner l'accès directement au mode "Priviliged Exec mode"

aaa authentication login default group ITCO
aaa authorization exec default group ITCO

Nous allons configurer SSH pour faire un test de connexion sur notre équipement Cisco :

line vty 0 4
transport input ssh
login authentication default

Avec un client SSH tel que Putty, vous pouvez réaliser un test de connexion :

Lorsque la connexion à l'équipement Cisco est établie, on s'authentifie, par exemple, avec le compte "user1" :

IV. Conclusion

Pour finir, je propose de mettre un LAB sur GNS3 ou autres afin de tester la configuration avant de mettre en œuvre cette dernière en production, et prendre des captures Wireshark si vous êtes curieux et que vous souhaitez analyser les flux.

 

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Hassan El Amri

Je suis un geek passionné par l'informatique et les nouvelles technologies depuis mon plus jeune âge, le site IT-Connect pour moi une opportunité immanquable afin de partager mes connaissances en termes de sécurité, réseau et système.N'hésitez pas à revenir vers moi si vous avez des questions concernant mes articles.

    hassan-elamri a publié 5 articles sur IT-Connect.See all posts by hassan-elamri

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *