IMHO, la vrai solution en tacacs+/radius c'est de gérer l'authentification via une base centralisé AD/LDAP.
Ca permet de remonter la responsabilité du changement de mot de passe à l'OS, ça évite biens de mots de tête. Si l'user a pas changer son mot de passe, le compte est locké et pas possible de se connecter à son équipement. Là ou le bas blesse c'est pour la conf du seul serveur libre tacacs+ ! Manque de bol on en dépend pour faire du filtrage sur commande qui n'est généralement pas possible en radius. Je trouve l'implem inadapté au monde de l'entreprise. Il est nécessaire de définir dans la conf chaque utilisateur ; il n'est pas possible de synchroniser un groupe LDAP auprès d'un groupe d'équipement/commande autorisée et je parle même pas d'une notion d'héritage de template. Il y a sur le segment de quoi faire pour un geek barbus en manque de projet libre. Alexis Le 16 mai 2018 à 08:58, David Ponzone <david.ponz...@gmail.com> a écrit : > A ma connaissance seul Tacacs+ permet le changement de password depuis le > client, mais je ne sais pas si ça marche avec un autre que celui de Cisco. > Et la gestion des droits est plus fine. > > Il reste principalement: > tacacs.net > celui de shrubbery > Cisco ISE (bling bling) > > David Ponzone > > > > Le 16 mai 2018 à 04:30, Michel Py <mic...@arneill-py.sacramento.ca.us> a > écrit : > > >> Marcel Duregards a écrit : > >> Auriez-vous des conseils concernant un serveur d'authentification > radius (si il fait tacacs en plus, c'est un avantage) > >> pour l'authentification d'utilisateurs sur des devices (typiquement > switch, routeurs cisco, cpe divers, etc), qui puisse: > > > > As-tu regardé freeradius ? https://freeradius.org/ j'ai utilisé dans > le passé, çà a marché pour moi. > > > >> - le must (mais j'ai peur que ce soit propre � tacacs), qui permettre > de changer le mdp � la vol�e en se logguant sur > >> la CLI cisco. p.e on se connecte � un router cisco avec nos > credentials, le serveur radius donne son ack, mais impose le > >> changement de mdp car il a expir� (le supplicant est forc� de > changer son mdp, via l'interface de l'authenticator) > > > > Euh, c'est quelle page de code que tu utilises, là ? je suis le seul qui > à eu les accents pas glop ? > > > > Michel. > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
