Le protocole TACACS+ fournit l'authentification entre le point d'accès et le
démon TACACS+. Il maintient la confidentialité car tous les échanges de
protocole entre le point d'accès et le démon TACACS+ sont chiffrés.
Vous avez besoin d'un système exécutant le logiciel de démon TACACS+ pour
utiliser TACACS+ sur votre point d'accès.
Fonctionnement de TACACS+
Quand un administrateur tente une simple connexion ASCII en s'authentifiant
auprès d'un point d'accès à l'aide de TACACS+, ce processus se produit :
1. Lorsque la connexion est établie, le point d'accès contacte le démon
TACACS+ pour obtenir une invite de nom d'utilisateur qui est ensuite
affichée à l'intention de l'administrateur.
2. L'administrateur entre un nom d'utilisateur, ensuite le point d'accès
contacte le démon TACACS+ pour obtenir une invite de mot de passe.
3. L'invite de mot de passe pour l'administrateur apparaît, il entre un mot de
passe qui est envoyé au démon TACACS+.
TACACS + facilite une conversation qui se tiend entre le démon et
l'administrateur jusqu'à ce que le démon reçoive suffisamment
d'informations pour authentifier l'administrateur. Le démon réclame une
combinaison de nom d'utilisateur et de mot de passe mais peut inclure
d'autres éléments, tels que le nom de jeune fille de la mère.
4. Eventuellement le point d'accès peut recevoir une des ces réponses du
démon TACACS+.
Réponse
Description
ACCEPT
L'administrateur est authentifié et le service peut commencer. Si le point d'accès est
configuré pour demander l'autorisation, l'autorisation débute à ce moment.
REJECT
L'administrateur n' e st pas authentifié. Selon le démon TACACS+, l'accès de
l'administrateur peut être refusé ou il est invité à recommencer la séquence d' o uverture
de session.
ERROR
A un certain moment une erreur s' e st produite pendant l'authentification avec le démon
ou dans la connexion réseau entre démon et le point d'accès. Si une réponse ERROR est
reçue, habituellement le point d'accès essaye d'utiliser une méthode alternative pour
authentifier l'administrateur.
CONTINUE
L'administrateur est invité à fournir des informations d'authentification supplémentaires.
Après l'authentification, l'administrateur subit une phase d'autorisation
supplémentaire si l'autorisation a été activée sur le point d'accès. Les
administrateurs doivent d'abord réussir l'authentification TACACS +
avant de procéder à l'autorisation TACACS +.
5. Si l'autorisation TACACS+ est requise, le démon TACACS+ est de
nouveau contacté, et il renvoie une réponse d'acceptation ou de rejet
(ACCEPT ou REJECT) de l'autorisation. Si une réponse ACCEPT est
retournée, la réponse contient des données sous la forme d'attributs qui
régissent la session EXEC ou NETWORK pour cet administrateur, en
déterminant les services auxquels l'administrateur peut accéder :
• Telnet, rlogin ou services EXEC privilégiés
• Paramètres de connexion, incluant l'adresse IP de l'hôte ou du client, la
liste d'accès et les timeouts d'administrateur.
Publication Rockwell Automation 1783-UM006B-FR-P– Janvier 2015
Configuration des serveurs RADIUS et TACACS+
Chapitre 15
397