Freeradius - SSH - Routeur CISCO

Publié le par BORY DIALLO

Dans l'optique de garantir l'aspect sécuritaire et bénéficier d'une utilisation optimale des ressources d'un réseau, la centralisation des informations est d'une importance cruciale.

 

Le but de ce TP est de se connecter à distance par SSH à un routeur en utilisant des comptes stockés sur un serveur RADIUS.

Installation et configuration de freeradius

 

 1 - Configuration du serveur (ubuntu 18)

 

# apt install freeradius freeradius-utils -y

  • On précise l'adresse réseau et le mot de passe dans le fichier /etc/freeradius/3.0/clients.conf   pour y mettre ceci :

client 192.168.0.0/24 {

     secret  = test123

}

 

  • On crée les comptes utilisateurs dans le fichier /etc/freeradius/3.0/users

Nous allons créer deux comptes (amadou et diallo)

 

amadou  Cleartext-Password := "test123"

                    Reply-Message = "Hello, %{User-Name},bienvenu sur le routeur ! "

 

diallo    Cleartext-Password := "test123"

                    Reply-Message = "Hello, %{User-Name},bienvenu sur le routeur ! "

 

2 - Configuration du routeur 
  • On met tout d'abord l'interface concernée du routeur dans le même réseau que le serveur

Nous avons opté pour la méthode DHCP, voici donc le procédé :

# conf t

# int f0/0

# ip add dhcp

# no sh

L'interface f0/0 de notre routeur vient d'obtenir l'adresse 192.168.0.109 /24

  • Activation de la connexion SSH 

 

  • Autorisation d'ouverture de sessions à distance

R1(config)# line vty 0 5

R1(config-line)# login

R1(config-line)# password test123

R1(config-line)# transport input ssh

  • Activation de la méthode d'authentification AAA sur le routeur

R1(config)#enable secret test123                          
R1(config)#aaa authentication dot1x default group radius  
R1(config)#aaa authentication login default group radius  
R1(config)#aaa authorization network default group radius
R1(config)#aaa authorization exec default group radius   
R1(config)#radius-server host 192.168.0.108 auth-port 1812 key test123
R1(config)#

 

 

Avant qu'on aille plus loin, faisons un test en local sur le routeur 

L'utilisateur diallo est authentifié avec succès !

 

3 - Configuration de la machine cliente (docker)

 

# apt update

# apt install nano openssh-server -y

 

  • Editer le fichier /etc/ssh/ssh_config pour dé commenter la ligne suivante :

 

  • Ajouter la ligne suivante à la fin du fichier

kexAlgorithms diffie-hellman-group1-sha1

Redémarrer le service :

# /etc/init.d/ssh restart

 

4 - Test de connectivité 

depuis la machine cliente :

 

Le second compte devrait aussi pouvoir se connecter ! 

Publié dans Services

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article