Ce document présente la mise en place d'un serveur AAA (RADIUS et TACACS+) pour la gestion de l'accès aux réseaux. Il décrit les principes d'authentification, d'autorisation et de traçabilité, ainsi que les configurations nécessaires pour établir ces protocoles sur des équipements de réseau. Les avantages de l'utilisation de systèmes centralisés comme RADIUS et TACACS+ pour gérer les identifiants et améliorer la sécurité des utilisateurs sont également discutés.

1. MISE EN PLACE D’UN SERVEUR
AAA [RADIUS ET TACACS]
UE : ITE 315 ADMINISTRATION RESEAUX
TRAVAIL PERSONNEL DE L’ETUDIANT
GROUPE 2
Nom de l’enseignant : M. AWE SAMALNA DENIS
Année académique 2022-2023
REPUBLIC OF CAMEROON
Peace -Work -Fatherland
*********
MINISTRY OF HIGHER EDUCATION
**********
THE UNIVERSITY OF MAROUA
**********
NATIONAL ADVANCED SCHOOL OF
ENGINEERING OF MAROUA
**********
DEPARTMENT OF COMPUTER SCIENCE AND
TELECOMMUNICATIONS
REPUBLIQUE DU CAMEROUN
Paix -Travail – Patrie
*********
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR
**********
UNIVERSITE DE MAROUA
**********
ECOLE NATIONALE SUPERIEURE
POLYTECHNIQUE DE MAROUA
**********
DEPARTEMENT D’INFORMATIQUE ET DE
TELECOMMUNICATIONS
BP 46 Maroua
Tél : (237) 242 62 30 76 / (237)242 62 08 90
Fax : (237) 242 29 15 41 / (237)242 29 31 12
Site : www.uni-maroua.citi.cm
E-mail : institutsupsahel.uma@gmail.com
1

2. Listes des membres du groupes
Noms et prénoms Matricules Parcours
ATO MVOGO MARC AURELCEDRIC 22E0496EP ING
BAHIT ALKALI 22E0523EP LSI
BAKOWE BAMO 22E0498EP ING
BASSIROU HAMADJODA TANKO 22E0499EP ING
DONGMO NOUMEDEM GORAN PERSON 18A0187P ING
GWETH GWETH DENIS RUFIN 20C0218EP ING
MOHAMADOU ISSA 19A0360P ING
VANA ZOKOM ELIE 20C0244EP ING
2

3. Introduction
Pour des raisons très variées, on peut avoir besoin de liste d’accès particulières. Par
exemple, pour définir les personnes ayant le droit d’utiliser un réseau, un proxy, le
Wifi, mais de manière réglementée : en passant par un login et un mot de passe
Beaucoup de systèmes proposent leurs propres ACls ( Access Lists ). Parfois cette
solution n’est pas pratique ou l’on peut vouloir utiliser ces listes dans plusieurs cas
( messagerie, Active Directory, accès… ).
Les solutions RADIUS et TACACS répondent a ce besoin en fournissant des listes
de login/Mot de passe sur demande d’un système « client ».
3

4. Protocole AAA (1/2)
• AAA désigne en anglais Authentification Authorization Accounting/Auditing ou encore
Authentification Autorisation et traçabilité
• AAA est un modèle de sécurité implémenté dans certains routeurs Cisco mais que l'on peut
également utiliser sur toute machine qui peut servir de NAS (Network Access Server), ou
certains switches Alcatel.
• AAA est la base des protocoles de télécommunication Radius et Diameter qui sont
notamment utilisés dans les réseaux mobiles UMTS et LTE pour authentifier et autoriser
l'accès des terminaux mobiles au réseau.
• Il est ainsi possible de contrôler qui se connecte au réseau et de définir ce que les
utilisateurs sont autorisés à faire. Ceci permet en outre de conserver une piste d’audit de
l’activité des utilisateurs.
4

5. Protocole AAA (2/2)
• Les protocoles AAA tels que RADIUS (RFC 2865) et TACACS+, qui a été
développé par Cisco, ont été créés pour faire face aux défis d’authentification
réseau et d’administration. L’architecture AAA permet aux utilisateurs
d’accéder aux périphériques en réseau qui leur ont été attribués et protège le
réseau contre les accès non autorisés..
• Le protocole AAA fonctionne en (03) étapes chronologiques dépendantes,
c’est-à-dire que le résultat de l’exécution d’une étape est important pour la
prochaine étape.
5

6. Nécessité du Protocole AAA
• Les systèmes de type ID utilisateur/mot de passe d’un périphérique réseau apportent
uniquement un niveau primitif de sécurité. Un nombre limité d’identifiants de
compte sont configurés et doivent être gérés sur chaque dispositif matériel. A chaque
fois qu'un compte est ajouté, supprimé ou modifié, chaque système doit être traité
individuellement, ce qui est coûteux et source d’erreurs. En outre, les utilisateurs
doivent mémoriser leur identifiant et leur mot de passe pour accéder à ces
périphériques. Etant donné le nombre sans cesse croissant d’informations de ce genre
à mémoriser, retrouver les identifiants corrects peut devenir un problème
• L’application du système AAA permet d'éliminer ces problèmes. Les identifiants et
les mots de passe sont centralisés, et les comptes existants peuvent être utilisés pour
accéder à de nouveaux équipements au fur et à mesure que le réseau change ou
grandit. Les processus de mise à jour des comptes existants évitent les erreurs et les
sources de frustration des utilisateurs. Les identifiants et les mots de passe sont
chiffrés au moyen d’un algorithme de hachage qui a fait ses preuves. Par conséquent,
Nos comptes sont protégés contre les accès malveillants. 6

7. Fonctionnement du protocole AAA
• Le protocole AAA se résume a trois fonctions
principales : l’authentification, l’autorisation et
l’audit
• Pour utiliser les ressources du réseau, l’utilisateur
émet une requête de demande destiné au serveur
AAA qui va transiter par le NAS. Il sera question
d’identifier l’utilisateur via son login et mot de
passe pour l’accorder ou non l’accès au réseau
(authentification, autorisation)
• L’audit va permettre de tracer les évènements qui
se déroulent lors des demandes d’accès au réseau.
Ceci permet aux administrateurs d’analyser les
violations de sécurité et les problèmes d’accès
opérationnels
7

8. Authentification
• L'authentification est le processus qui consiste à identifier un utilisateur et à
lui accorder l'accès au réseau. La plupart du temps, cela se fait à l'aide
d'identifiants traditionnels comme le nom d'utilisateur et le mot de passe.
Cependant, les utilisateurs peuvent également utiliser des méthodes
d'authentification sans mot de passe, y compris la biométrie comme les
scanners oculaires ou les empreintes digitales, et du matériel tel que des jetons
matériels ou des cartes à puce.
• Afin de garantir un accès ininterrompu, il est possible de mettre en place des
serveurs d’authentification redondants, primaires et secondaires. Nous
pouvons pour ce faire utiliser différents types de serveurs (RADIUS,
Diameter et TACACS).
8

9. Authorization
• Une fois l’utilisateur authentifié, les règles d’autorisation désignent les ressources
accessibles et les opérations possibles pour l'utilisateur. Des profils avec un niveau
lecture/écriture de type « Administration » et un niveau lecture seule peuvent être
configurés et contrôlés à partir du serveur d’authentification. Comme il s’agit d’un
processus centralisé, la nécessité d'intervenir indépendamment sur chaque
équipement est éliminée.
• Par exemple, une fois que le système a accordé l'accès au réseau, un utilisateur qui
travaille dans les ventes peut uniquement être en mesure d'utiliser le logiciel de
gestion de la relation client et non les ressources humaines. De plus, dans ce
logiciel, ils peuvent être uniquement autorisé à afficher et à modifier des données
et à ne pas gérer d'autres utilisateurs. C'est le processus d'autorisation qui
appliquerait toutes ces règles de réseau. 9

10. Accounting(Traçabilité )
• L’aspect traçabilité des serveurs AAA fournit une piste d’audit indiquant le mode de
connexion de chaque utilisateur, leur adresse IP de provenance et la durée de leur
connexion. Ceci permet aux administrateurs d’analyser les violations de sécurité et
les problèmes d’accès opérationnels, le cas échéant.
• La traçabilité aide à la fois aux évaluations de sécurité et aux évaluations
opérationnelles. Par exemple, les administrateurs réseau peuvent consulter les
privilèges d'accès des utilisateurs à des ressources spécifiques pour voir tout
changement. Ils pourraient également ajuster la capacité en fonction des ressources
les plus fréquemment utilisées et des tendances d'activité courantes.
10

11. Schéma récapitulatif
11

12. Exemple pratique
12

13. Serveur RADIUS
• RADIUS (Remote Authentication Dial-In User Service) est un protocole client-
serveur permettant de centraliser des données d'authentification
• Le protocole RADIUS est actuellement utilisé pour faire du AAA avec des
utilisateurs se connectant via des modems téléphoniques à Internet. L’utilisateur
utilise PPP pour accéder à un FAI via un serveur d’accès. Il envoie des informations
permettant de l’authentifier (typiquement login/password) au serveur d’accès.
Celui-ci les envoie alors à un serveur RADIUS qui se charge de l’authentifier. Si
l’utilisateur est correctement authentifié, le serveur RADIUS lui permet l’accès à
Internet.
• Le client RADIUS génère selon le protocole une requête Access-Request contenant
les informations d'authentification. le serveur RADIUS valide ou refuse
l'identification en renvoyant un paquet de type : Access-Accept ou Access-Reject.
13

14. Mise en place du Serveur RADIUS sous Cisco
PackettTracer 8.2
CAHIER DE CHARGE
• On va mettre en place une configuration à petite échelle, du serveur
RADIUS de notre groupe deTPE selon le protocole AAA.
• Chacun des 08 membres du groupe aura son nom comme login et son
matricule comme mot de passe
• Nous aurons besoin d’un RouteurWifi qui fera office de point d’accès, d’un
serveur RADIUS et d’un Switch Cisco pour acheminer les paquets vers les
bonnes destinations
14

15. Adressage du
Routeur Wifi
15

16. Adressage du
Serveur RADIUS
16

17. Configuration du
service AAA du
Serveur RADIUS
17
Client Name : nom du routeur
Client IP : adresse IP du routeur
Secret : un mot de passe en
commun entre le serveur et le
routeur

18. Configuration du routeur WIFI au serveur AAA avec la clé
secrète
18

19. Configuration d’un
utilisateur du
Serveur RADIUS
Ici, on authentifie l’utilisateur ATO avec
son login et mot de passe pour établir la
connexion avec le Routeur et donc le
serveur RADIUS. Ainsi de suite, pour les
autres membres du groupe.
19

20. Vue d’ensemble
20

21. Test de Ping
21

22. ServeurTACACS/TACACS+
• TACACS (Terminal Access Controller Access Control System) est un protocole
d’authentification distante créé en 1984, utilisé pour communiquer avec un serveur
d’authentification
• TACACS permet à un serveur d’accès distant de communiquer avec un serveur
d’authentification dans l'objectif de déterminer si l’utilisateur a le droit d'accéder au
réseau.
• TACACS+ également développé par Cisco, publié comme standard ouvert qui
ajoute le chiffrement et une option de défi-réponse et supporte les protocoles
AAA.TACACS+ est un serveur d’authentification permettant de centraliser les
autorisations d’accès (Les mots de passe utilisés sont gérés dans une base de
données centrale).TACACS+ permet de vérifier l’identité des utilisateurs distants
mais aussi, grâce au modèle AAA, d’autoriser et de contrôler leurs actions au sein
du réseau local
22

23. Les acteurs d’une sessionTACACS+
• Généralement, il existe trois acteurs lors des sessionsTACACS+ :
 L’utilisateur : émetteur de la requête d’authentification
 Le client TACACS+ : le point d’accès réseau
 Le serveur TACACS+ : relié a une base d’authentification (Base de données, annuaire
LDAP)
23

24. Mise en place du ServeurTACACS+ sous Cisco
PackettTracer
• Ici, on va configurer un réseau composé de deux machines et d’un
commutateur directement connecté au serveurTACACS+
• On va procéder autrement, en utilisant les commandes sur le terminal pour
configure le serveur selon le protocole AAA
24

25. Configuration du
protocole AAA et
du serveur
TACACS+ sur le
switch
25
On crée la sessionTACACS+
avec la commande
aaa new-model
Puis on configure les login et
MDP avec username login
password MDP

26. Configuration du
serveur TACACS+
26

27. Vue d’ensemble
27

28. Test de Ping sur
une machine
28

29. Demande
d’authentification
au serveur
TACACS+ via des
identifiants
29
On fournit le login et le MDP
au serveur AAA dans une
Access-Request. Si
l’authentification est réussi, il
nous accorde l’accès par un
Access-Accept

30. Affichage de
l’historique et des
paramètres avec
l’audit
30

31. RADIUS vsTACACS+ : Comparaison
Critères Serveur RADIUS Serveur TACACS+
Propriété IETF sous licence libre Cisco
Cryptage Mot de passe crypté Tout le paquet est crypté
Protocole UDP TCP
Port UDP Port 1812,1645 (
Authentification),
1813,1646(Accounting)
TCP Port 49
Sens de communication Unidirectionnel CHAP Bidirectionnel CHAP
Consommation des ressources Nécessite moins de ressources Nécessite plus de ressources
Usage Les accès réseaux L’administration réseau
Fonctions L’authentification et
l’autorisation sont combinées
L’authentification et l’autorisation
sont séparées
Audit Audit limité Audit étendu et plus fourni
31

32. TACACS vsTACACS+ : Comparaison
Critères Serveur TACACS Serveur TACACS+
Abréviation Terminal Access Control Access
Control System
Terminal Access Control Access
Control System Plus
Propriété Open source Cisco
Mot de passe TACACS ne prend pas en
charge l’invite de commande
pour changer de mot de passe
ou pour utiliser jetons de mot
de passe dynamiques
Pour les mot de passe dynamique,
TACACS+ fournit une
authentification a double facteurs et
améliore les outils d’audit
Protocole TCP et UDP TCP
Port 49 49
Date de création 1984 1993
Clé secrète d’authentification
KERBEROS
NON OUI
32

33. Bibliographie & Webographie
• Cours d’administration réseaux, AWE SAMALNA DENIS, Université de Maroua, ENSPM,
Département d’informatique et des télécommunications, IC3, Novembre 2022
• https://www.perlesystems.fr/supportfiles/aaa-security.shtml
• https://www.ipcisco.com
• https://www.ipwithease.com
• https://www.youtube.com/watch?v=H5_MpoL5PuM&t=30s
• https://www.youtube.com/watch?v=eWypCjoiFbk&t=227s
33

34. MERCI POUR VOTRE
ATTENTION !
C’était le groupe 2
Des questions ?
34