Re: [FRnOG] [TECH] Serveur d'authentification

2018-05-16 Par sujet Stephane Branchoux 

Bonjour,

Pour la connexion aux équipements réseau, j'utilise freeradius sous 
Linux ( avec backend openldap) depuis de nombreuses années .


La gestion des mots de passe devrait s'effectuer coté annuaire.

Sinon, il y a Cisco ISE qui doit répondre à beaucoup de ces points . La 
partie Tacacs dans Cisco ISE est payante, je garde donc encore 
Freeradius pour cette fonctionnalité.


Cordialement,

Le 15/05/2018 à 06:55, marcel.durega...@yahoo.fr a écrit :

Bonjour la liste,

Auriez-vous des conseils concernant un serveur d'authentification radius
(si il fait tacacs en plus, c'est un avantage) pour l'authentification
d'utilisateurs sur des devices (typiquement switch, routeurs cisco, cpe
divers, etc), qui puisse:

- g�rer des groupes d'utilisateurs
- g�rer 'simplement' les attributs radius (on n'a pas que du cisco, mais
plusieurs fabricants)
- permettre de forcer une politique de mots de passe (min 12 caract�res,
avec chiffres, caract�res sp�ciaux, etc...)
- permettre de d�finir une dur�e (on veut que les credentials ne durent
que 3mois, et qu'on doive d�finir un nouveau mdp ensuite)
- le must (mais j'ai peur que ce soit propre � tacacs), qui permettre de
changer le mdp � la vol�e en se logguant sur la CLI cisco. p.e on se
connecte � un router cisco avec nos credentials, le serveur radius donne
son ack, mais impose le changement de mdp car il a expir� (le supplicant
est forc� de changer son mdp, via l'interface de l'authenticator)
- si possible pas sous windows, mais si le produit est vraiment bien, ok
pour du windows.
- le module de billing (typique � radius) n'a aucune importance pour nous.


L'ex ACS de cisco �tait bien, mais bien trop complet (et complexe) pour
ce simple besoin, et trop cher.
On ne cherche pas forc�ment du free, une solution payante (mais pas
exorbitante) est possible.

Merci d'avance,


--
Marcel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Stephane BRANCHOUX
Centre de Ressources Informatiques de l'Université de Perpignan.
Systèmes/Réseaux - RSSI
mailto:stephane.branch...@univ-perp.fr
04 68 66 21 24 / 07 60 73 38 42




smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Serveur d'authentification

2018-05-16 Par sujet David Ponzone 
A ma connaissance seul Tacacs+ permet le changement de password depuis le 
client, mais je ne sais pas si ça marche avec un autre que celui de Cisco.
Et la gestion des droits est plus fine.

Il reste principalement:
tacacs.net
celui de shrubbery
Cisco ISE (bling bling)

David Ponzone



Le 16 mai 2018 à 04:30, Michel Py  a écrit :

>> Marcel Duregards a écrit :
>> Auriez-vous des conseils concernant un serveur d'authentification radius (si 
>> il fait tacacs en plus, c'est un avantage)
>> pour l'authentification d'utilisateurs sur des devices (typiquement switch, 
>> routeurs cisco, cpe divers, etc), qui puisse:
> 
> As-tu regardé freeradius ?  https://freeradius.org/  j'ai utilisé dans le 
> passé, çà a marché pour moi.
> 
>> - le must (mais j'ai peur que ce soit propre � tacacs), qui permettre de 
>> changer le mdp � la vol�e en se logguant sur
>> la CLI cisco. p.e on se connecte � un router cisco avec nos credentials, 
>> le serveur radius donne son ack, mais impose le
>> changement de mdp car il a expir� (le supplicant est forc� de changer 
>> son mdp, via l'interface de l'authenticator)
> 
> Euh, c'est quelle page de code que tu utilises, là ? je suis le seul qui à eu 
> les accents pas glop ?
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Serveur d'authentification

2018-05-15 Par sujet Michel Py 
> Marcel Duregards a écrit :
> Auriez-vous des conseils concernant un serveur d'authentification radius (si 
> il fait tacacs en plus, c'est un avantage)
> pour l'authentification d'utilisateurs sur des devices (typiquement switch, 
> routeurs cisco, cpe divers, etc), qui puisse:

As-tu regardé freeradius ?  https://freeradius.org/  j'ai utilisé dans le 
passé, çà a marché pour moi.

> - le must (mais j'ai peur que ce soit propre � tacacs), qui permettre de 
> changer le mdp � la vol�e en se logguant sur
> la CLI cisco. p.e on se connecte � un router cisco avec nos credentials, le 
> serveur radius donne son ack, mais impose le
> changement de mdp car il a expir� (le supplicant est forc� de changer son 
> mdp, via l'interface de l'authenticator)

Euh, c'est quelle page de code que tu utilises, là ? je suis le seul qui à eu 
les accents pas glop ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/