[RESOLU]Authentification IAS + Cisco - Problème de stratégie IAS RESOLU !

epok · Avril 10, 2007, 3:50

Bonjour à tous et toutes,

Je suis actuellement en stage (réseau & télécommunication) et je dois déployer un réseau wlan comprennant :

Une borne d’accès Cisco Aironet 1130 AG[Dernier IOS]
Une authorité de certification,
Windows Serveur 2003 avec Service IAS (Active directory,dns etc…)
Serveur Radius (Sur le serveur 2003)

J’ai donc réussi la première étape:

Elle consistait à authentifier un utilisateur,présent dans l’active directory,avec certficat au réseau wlan,en rendant invisible le point d’accès sans rentrer de clef wep/wpa,uniquement en utilisant le mode cipher TKIP + WEP 128 Bits.Cela est bien fonctionnel…

La deuxième étape consiste à authentifier l’administrateur sur les interfaces différentes (Telnet/SSH/http) en utilisant le serveur radius,(L’utilisateur admin est défini dans la base active directory).

En bref, lors de la connection en mode console(ou autre) sur le Cisco, au lieu de rentrer un compte local, la borne contact le serveur Radius et s’authentifie près de lui.

Seul hic, lors de la configuration du service IAS, et la mise en place de la stratégie de sécurité distante, je rentre bien les informations demandé,la configuration cisco me parait bonne j’ai activé le modèle sécurisé AAA…
Mais,lorsque je m’authentifie sur l’interface console,il m’indique
-> “% Authentication failed”
Alors je regarde dans l’observateur d’évènements j’obtiens le message suivant :

" Reason-Code = 66
Reason = L’utilisateur a essayé d’utiliser une méthode d’authentification qui n’est pas activée sur la stratégie d’accès à distance correspondante. Le nom de la stratégie d’accès à distance correspondante."

L’accès a été refusé à l’utilisateur AdminConf.
Nom-Complet-Utilisateur = auth.serv.certi.com/Cisco/AdminConf
Adresse-IP-NAS = 10.250.0.1
Identificateur-NAS = CONG01
Identificateur-Station-Appelée = <Absente>
Identificateur-Station-Appelante = async
Nom-Convivial-Client = Cisco Aironet
Adresse-IP-Client = 10.250.0.1
Type-Port-NAS = Async
Port-NAS = 0
Proxy-Policy-Name = Utiliser l’authentification Windows pour tous les utilisateurs
Authentication-Provider = Windows
Authentication-Server = <non déterminé>
Policy-Name = Connexions à d’autres serveurs d’accès
Authentication-Type = PAP
EAP-Type = <non déterminé>

Je ne sais pu quoi faire, j’ai créer une stratégie personnalisé en essayant tous les protocoles par défaut présent(PEAP,EAP,etc…) mais rien y fait…

Avez vous une idée…???

Je vous en remercie d’avance,

3p0k

epok · Avril 11, 2007, 10:43

C’est bon j’ai trouvé

Je dévoile la solution au cas quelqu’un aurait une de ces faiblesses

Alors c’est très simple (enfin il m’a fallu du temps pour trouver) :
Dans la stratégie d’accès distant, que vous avez au préalable créer
-> il faut allez dans modifier le profil
-> Paramètres avancés
-> Ajouter; Cisco-AV-Pair
-> Définir l’attribut shell: priv-lvl=15 (sans espace)

Une fois fait, l’authentification est opérationnel, pour le bas niveau
Par la suite, au niveau “enable” il faut définir un utilisateur $enab15$ dans l’active directory et bien sur autoriser l’accès à distance

Voilà merci à ceux qui ont vu mon topic,au moins vous vous y êtes interressés
A bientôt :hello: :hello:

lesof · Avril 11, 2007, 10:53

c’est quoi cisco av pair ? et pri-lvl=15

epok · Mai 21, 2007, 9:25

Salut Marcalt !

Comme je t’ai dis via le MP je préfère passer par le forum ce sera plus simple et pourra faire profiter d’autre gens. :jap:

Bonjour,

J’ai à peu près le même projet que toi sur la mise en place d’une authentification sur mes équipements Cisco.
Mais je n’ai pas tout saisi. Et du coup ça ne fonctionne pas du tout.
J’ai un Serveur 2003 avec Active Directory et IAS, plus tout un tas d’équipements Cisco.

Ce que je souhaite mettre en place, c’est :
Authentifier tous mes utilisateurs qui se loggent sur mes équipement en fonction de leurs comptent dans AD. Puis je veux les logger sous un “priv-lvl” différent selon leur groupe.

Je n’ai pas tout compris.
IAS est bien un serveur RADIUS ?
Ensuite, je dois déclarer une stratégie d’accès à distance pour chaque groupe utilisateurs. Ensuite je dois mettre le priv-lvl qui convient. Mais je ne vois quels type d’attribut je dois mettre. J’ai essayé Windows-Groups mais ça ne fonctionne pas.

Merci d’avance
marcalt

As tu bien défini les AAA dans tes Cisco, indiqué l’adresse IP de ton serveur Radius et port d’account/accès?
Je vois ce que tu veux faire, définir chaque utilisateur selon son niveaux, malheureusement, j’ai essayé avec IAS (qui est pourtant bien un Radius) ne m’a donné aucun résultat j’ai donc poursuivi(en test) avec Tacacs+

Pour l’attribut, essaie d’ajouter Cisco-Av-pair avec le shell:priv-lvl=15 (et l’utilsateur $enab15$ dans ton AD) et aussi l’attribut Service Type il faut le modifier en NAS PROMPT

J’éspère que cela pourra t’aider n’hésite pas à me demander bon courage :bounce:

marcalt · Mai 21, 2007, 7:18

Merci pour ta réponse.
Mon problème comme tu l’as dit doit venir d’IAS.

yassine1nl · Mars 10, 2010, 5:00

bonjour
enfaite jtravaill dans un projet similaire a vous
bon jai un ap 1130, radius sur 2003server “vmware”
bah j’ai paramétré le radius comme il est explik sur microsoft …
du cote AP je sais pas les adresses ke jdoi configurer pour activer mon client radius, est ske ladresse ip du serveur radius c est ladresse du carte reseau sur mon vmware??

je vous en remercie davance