Re: [FRnOG] [TECH] Serveur d'authentification
Bonjour, Pour la connexion aux équipements réseau, j'utilise freeradius sous Linux ( avec backend openldap) depuis de nombreuses années . La gestion des mots de passe devrait s'effectuer coté annuaire. Sinon, il y a Cisco ISE qui doit répondre à beaucoup de ces points . La partie Tacacs dans Cisco ISE est payante, je garde donc encore Freeradius pour cette fonctionnalité. Cordialement, Le 15/05/2018 à 06:55, marcel.durega...@yahoo.fr a écrit : Bonjour la liste, Auriez-vous des conseils concernant un serveur d'authentification radius (si il fait tacacs en plus, c'est un avantage) pour l'authentification d'utilisateurs sur des devices (typiquement switch, routeurs cisco, cpe divers, etc), qui puisse: - g�rer des groupes d'utilisateurs - g�rer 'simplement' les attributs radius (on n'a pas que du cisco, mais plusieurs fabricants) - permettre de forcer une politique de mots de passe (min 12 caract�res, avec chiffres, caract�res sp�ciaux, etc...) - permettre de d�finir une dur�e (on veut que les credentials ne durent que 3mois, et qu'on doive d�finir un nouveau mdp ensuite) - le must (mais j'ai peur que ce soit propre � tacacs), qui permettre de changer le mdp � la vol�e en se logguant sur la CLI cisco. p.e on se connecte � un router cisco avec nos credentials, le serveur radius donne son ack, mais impose le changement de mdp car il a expir� (le supplicant est forc� de changer son mdp, via l'interface de l'authenticator) - si possible pas sous windows, mais si le produit est vraiment bien, ok pour du windows. - le module de billing (typique � radius) n'a aucune importance pour nous. L'ex ACS de cisco �tait bien, mais bien trop complet (et complexe) pour ce simple besoin, et trop cher. On ne cherche pas forc�ment du free, une solution payante (mais pas exorbitante) est possible. Merci d'avance, -- Marcel --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Stephane BRANCHOUX Centre de Ressources Informatiques de l'Université de Perpignan. Systèmes/Réseaux - RSSI mailto:stephane.branch...@univ-perp.fr 04 68 66 21 24 / 07 60 73 38 42 smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [TECH] Serveur d'authentification
A ma connaissance seul Tacacs+ permet le changement de password depuis le client, mais je ne sais pas si ça marche avec un autre que celui de Cisco. Et la gestion des droits est plus fine. Il reste principalement: tacacs.net celui de shrubbery Cisco ISE (bling bling) David Ponzone Le 16 mai 2018 à 04:30, Michel Pya écrit : >> Marcel Duregards a écrit : >> Auriez-vous des conseils concernant un serveur d'authentification radius (si >> il fait tacacs en plus, c'est un avantage) >> pour l'authentification d'utilisateurs sur des devices (typiquement switch, >> routeurs cisco, cpe divers, etc), qui puisse: > > As-tu regardé freeradius ? https://freeradius.org/ j'ai utilisé dans le > passé, çà a marché pour moi. > >> - le must (mais j'ai peur que ce soit propre � tacacs), qui permettre de >> changer le mdp � la vol�e en se logguant sur >> la CLI cisco. p.e on se connecte � un router cisco avec nos credentials, >> le serveur radius donne son ack, mais impose le >> changement de mdp car il a expir� (le supplicant est forc� de changer >> son mdp, via l'interface de l'authenticator) > > Euh, c'est quelle page de code que tu utilises, là ? je suis le seul qui à eu > les accents pas glop ? > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Serveur d'authentification
> Marcel Duregards a écrit : > Auriez-vous des conseils concernant un serveur d'authentification radius (si > il fait tacacs en plus, c'est un avantage) > pour l'authentification d'utilisateurs sur des devices (typiquement switch, > routeurs cisco, cpe divers, etc), qui puisse: As-tu regardé freeradius ? https://freeradius.org/ j'ai utilisé dans le passé, çà a marché pour moi. > - le must (mais j'ai peur que ce soit propre � tacacs), qui permettre de > changer le mdp � la vol�e en se logguant sur > la CLI cisco. p.e on se connecte � un router cisco avec nos credentials, le > serveur radius donne son ack, mais impose le > changement de mdp car il a expir� (le supplicant est forc� de changer son > mdp, via l'interface de l'authenticator) Euh, c'est quelle page de code que tu utilises, là ? je suis le seul qui à eu les accents pas glop ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/