Cisco – Implémenter TACACS sur un Firewall PIX/ASA

Ce billet a pour but de présenter l’implémentation du service tacacs sur un pare-feu de type ASA, pour information la version de l’OS est la version 8.04. Ce dernier détail n’a pas d’incidence si vous utilisez la version 7.2 ou 8.X.

Dans cet exemple nous utilisons tacacs pour authentifier les utilisateurs Telnet et Serial (console).

Mise en œuvre du service TACACS :

L’ensemble des commandes décrites ci-dessous devrons être réalisées en mode de configuration global.

Les étapes:

  1. Activation du processus
  2. Déclaration du ou des serveur(s)
  3. Indiquer la psk entre le client tacacs (le pare-feu ASA) et le serveur (serveur TACACS)
  4. Indiquer le mode d’authentification préféré, ce sera TACACS puis la base de compte local en cas de panne des serveurs TACACS.

La configuration :

!— > création de l’objet TACACS “tacacs-test1”
aaa-server tacacs-test1 protocol tacacs+
!
!— > On spécifie le serveur TACACS et l’interface d’écoute du service.
aaa-server tacacs-test1 (management) host 10.10.20.20
!
!— > On spécifie la durée d’inactivité avant la clôture de session.
timeout 3
!
!— > On spécifie la clé échangée.
key tacacs_test1
!
! Idem pour le second serveur ci-dessous, celui ci sera utile au cas ou le premier serveur serait injoignable (tolérance de panne).
aaa-server tacacs-test1 (management) host 10.10.20.30
timeout 3
key tacacs_test2
!
! On indique que pour les modes d’authentifications Telnet et serie (console) le Tacacs sera utilisé en premier puis en cas de panne du Tacacs la base de compte LOCAL.
aaa authentication telnet console tacacs-test1 LOCAL
aaa authentication serial console tacacs-test1 LOCAL

Voilà le tour est joué, vous pouvez vous authentifier par le biais du service tacacs.

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *