J'ai lié l'authentification d'un de mes siwtch de marque Nortel BayStack à mon Cisco ACS, via Radius IETF.
Ca marche plutôt bien quand on ne se trompe pas de mot de passe.
Le problème est le suivant:
J'ai configuré dans mon ACS, pour un groupe d'utilisateur, l'attribut [006] Service-Type en Administrative.
Mon utilisateur se connecte avec le bon login et le bon mot de passe. Pas de soucis.
Mon utilisateur, se gourre dans le mot de passe, le BayStack lui retourne le message comme quoi il y a un problème.
Seulement voilà... Ce fichu BayStack, une fois qu'il a eu la réponse de l'ACS lui disant qu'il y a un prob, réessaye par lui-même de se connecter avec les même credentials, à deux reprises. Pas bien grave me direz-vous, sauf si j'ai un groupe AD mappé sur mon groupe ACS et que la politique de sécurité au niveau du mot de passe est réglé sur 5 essais avant blocage.
Ouais mais... premier essais infructueux, + deux essais par après, çà ne fait pas 5... Juste... Seulement voilà, j'ai un deuxième serveur ACS, configuré en slave... lui aussi avec le même groupe AD. Et étrangement, vu que le BayStack n'arrive pas à me donner accès à ses informations, il se dit... tiens, je vais aller demander à l'autre serveur... lui il me laissera passer... bardaffe, de nouveau 3 essais... Résultat mon compte AD est bloqué.
Vous allez me dire... bah augmente à 10 ou 15 essais pour le blocage de mot de passe... Tout cela devient pas très secure... :(
Bref, j'ai été me balader dans les paquets entre mon BayStack et l'ACS...
J'en retire plusieurs choses.
Cas d'un utilisateur qui se connecte sans se tromper de mot de passe :
Citation :
No. Time Source Destination Protocol Info
1 0.000000 10.64.49.246 10.64.49.103 RADIUS Access-Request(1) (id=15, l=63)
Frame 1 (105 bytes on wire, 105 bytes captured)
Ethernet II, Src: Nortel_30:01:00 (00:14:0d:30:01:00), Dst: Vmware_7c:37:ff (00:0c:29:7c:37:ff)
Internet Protocol, Src: 10.64.49.246 (10.64.49.246), Dst: 10.64.49.103 (10.64.49.103)
User Datagram Protocol, Src Port: 1024 (1024), Dst Port: 1645 (1645)
Radius Protocol
Code: Access-Request (1)
Packet identifier: 0xf (15)
Length: 63
Authenticator: 000000190002E04800140D300100000F
[The response to this request is in frame 2]
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 10.64.49.246
AVP: l=18 t=User-Password(2): Encrypted
AVP: l=6 t=Service-Type(6): Administrative-User(6)
AVP: l=13 t=User-Name(1): mon-user
No. Time Source Destination Protocol Info
2 0.219249 10.64.49.103 10.64.49.246 RADIUS Access-Accept(2) (id=15, l=60)
Frame 2 (102 bytes on wire, 102 bytes captured)
Ethernet II, Src: Vmware_7c:37:ff (00:0c:29:7c:37:ff), Dst: Nortel_30:01:00 (00:14:0d:30:01:00)
Internet Protocol, Src: 10.64.49.103 (10.64.49.103), Dst: 10.64.49.246 (10.64.49.246)
User Datagram Protocol, Src Port: 1645 (1645), Dst Port: 1024 (1024)
Radius Protocol
Code: Access-Accept (2)
Packet identifier: 0xf (15)
Length: 60
Authenticator: C82C4213E721533C45C309BE68CC66BB
[This is a response to a request in frame 1]
[Time from request: 0.219249000 seconds]
Attribute Value Pairs
AVP: l=6 t=Service-Type(6): Administrative-User(6)
AVP: l=34 t=Class(25): 434143533A302F31613933652F613430333166362F667365...
Cas d'un utilisateur qui se trompe dans son mot de passe :
Citation :
No. Time Source Destination Protocol Info
3 55.077263 10.64.49.246 10.64.49.103 RADIUS Access-Request(1) (id=16, l=63)
Frame 3 (105 bytes on wire, 105 bytes captured)
Ethernet II, Src: Nortel_30:01:00 (00:14:0d:30:01:00), Dst: Vmware_7c:37:ff (00:0c:29:7c:37:ff)
Internet Protocol, Src: 10.64.49.246 (10.64.49.246), Dst: 10.64.49.103 (10.64.49.103)
User Datagram Protocol, Src Port: 1024 (1024), Dst Port: 1645 (1645)
Radius Protocol
Code: Access-Request (1)
Packet identifier: 0x10 (16)
Length: 63
Authenticator: 000000190002F5CE00140D3001000010
[The response to this request is in frame 4]
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 10.64.49.246
AVP: l=18 t=User-Password(2): Encrypted
AVP: l=6 t=Service-Type(6): Administrative-User(6)
AVP: l=13 t=User-Name(1): mon-user
No. Time Source Destination Protocol Info
4 55.189561 10.64.49.103 10.64.49.246 RADIUS Access-Reject(3) (id=16, l=32)
Frame 4 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: Vmware_7c:37:ff (00:0c:29:7c:37:ff), Dst: Nortel_30:01:00 (00:14:0d:30:01:00)
Internet Protocol, Src: 10.64.49.103 (10.64.49.103), Dst: 10.64.49.246 (10.64.49.246)
User Datagram Protocol, Src Port: 1645 (1645), Dst Port: 1024 (1024)
Radius Protocol
Code: Access-Reject (3)
Packet identifier: 0x10 (16)
Length: 32
Authenticator: 8B730E9373CA311719DDB4D17B5CD405
[This is a response to a request in frame 3]
[Time from request: 0.112298000 seconds]
Attribute Value Pairs
AVP: l=12 t=Reply-Message(18): Rejected\n\r
No. Time Source Destination Protocol Info
5 55.191725 10.64.49.246 10.64.49.103 RADIUS Access-Request(1) (id=16, l=63), Duplicate Request ID:16
Frame 5 (105 bytes on wire, 105 bytes captured)
Ethernet II, Src: Nortel_30:01:00 (00:14:0d:30:01:00), Dst: Vmware_7c:37:ff (00:0c:29:7c:37:ff)
Internet Protocol, Src: 10.64.49.246 (10.64.49.246), Dst: 10.64.49.103 (10.64.49.103)
User Datagram Protocol, Src Port: 1024 (1024), Dst Port: 1645 (1645)
Radius Protocol
Code: Access-Request (1)
Packet identifier: 0x10 (16)
Length: 63
Authenticator: 000000190002F5CE00140D3001000010
[Duplicate Request: 16]
[The response to this request is in frame 4]
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 10.64.49.246
AVP: l=18 t=User-Password(2): Encrypted
AVP: l=6 t=Service-Type(6): NAS-Prompt-User(7)
AVP: l=13 t=User-Name(1): mon-user
No. Time Source Destination Protocol Info
6 57.162825 10.64.49.246 10.64.49.103 RADIUS Access-Request(1) (id=16, l=63), Duplicate Request ID:16
Frame 6 (105 bytes on wire, 105 bytes captured)
Ethernet II, Src: Nortel_30:01:00 (00:14:0d:30:01:00), Dst: Vmware_7c:37:ff (00:0c:29:7c:37:ff)
Internet Protocol, Src: 10.64.49.246 (10.64.49.246), Dst: 10.64.49.103 (10.64.49.103)
User Datagram Protocol, Src Port: 1024 (1024), Dst Port: 1645 (1645)
Radius Protocol
Code: Access-Request (1)
Packet identifier: 0x10 (16)
Length: 63
Authenticator: 000000190002F5CE00140D3001000010
[Duplicate Request: 16]
[The response to this request is in frame 4]
Attribute Value Pairs
AVP: l=6 t=NAS-IP-Address(4): 10.64.49.246
AVP: l=18 t=User-Password(2): Encrypted
AVP: l=6 t=Service-Type(6): NAS-Prompt-User(7)
AVP: l=13 t=User-Name(1): mon-user
No. Time Source Destination Protocol Info
7 57.443879 10.64.49.103 10.64.49.246 RADIUS Access-Reject(3) (id=16, l=32), Duplicate Response ID:16
Frame 7 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: Vmware_7c:37:ff (00:0c:29:7c:37:ff), Dst: Nortel_30:01:00 (00:14:0d:30:01:00)
Internet Protocol, Src: 10.64.49.103 (10.64.49.103), Dst: 10.64.49.246 (10.64.49.246)
User Datagram Protocol, Src Port: 1645 (1645), Dst Port: 1024 (1024)
Radius Protocol
Code: Access-Reject (3)
Packet identifier: 0x10 (16)
Length: 32
Authenticator: 8B730E9373CA311719DDB4D17B5CD405
[This is a response to a request in frame 3]
[Time from request: 2.366616000 seconds]
[Duplicate Response: 16]
Attribute Value Pairs
AVP: l=12 t=Reply-Message(18): Rejected\n\r
On peut voir qu'aux paquets 3 et 4, la demande de mon switch et la réponse de l'ACS. Premier essais d'authentification.
Ensuite, on voit que le switch requestionne à deux reprises (paquets 5 et 6) l'ACS avec comme attribut Radius : Service-Type(6): NAS-Prompt-User(7)
Enfin, l'ACS (paquet 7) refuse l'authentification. Ca correspond à deux autres essais de connection pour l'ACS.
Auriez-vous une idée du problème ? Est-ce le BayStack qui interroge bizarrement l'ACS ? Dois-je paramètrer l'ACS d'une manière différentes pour empêche que le BayStack réinterroge l'ACS ?
Merci d'avance pour l'attention que vous m'accorderez.
