Annexe A : Installation de Services Windows
Cette annexe reprend l’installation de deux composants Windows qui ont été installé durant ce lab.
Internet Services (IIS)
Le premier service qui a été installé est Internet Services, connu sous le nom de IIS. Ce composant est un serveur Web qui permet autant de gérer des pages statiques HTML que des pages dynamiques ASP (.NET). Ce service est notamment utilisé par l’autorité de certification pour son interface web, ce qui rend la création de certificats disponibles à tous les utilisateurs du réseau. Internet Services est également utilisé par Cisco Secure ACS. En effet, l’administration se fait via une page Web située sur le serveur. Il était donc impératif d’installer ce service.
L’installation est très simple. Il faut tout d’abord se rendre dans le Panneau de configuration. Il faut ensuite cliquer sur Ajout/Suppression de programmes. Une fenêtre apparaît ; il faut alors cliquer sur Ajouter ou supprimer des composants Windows dans le menu de gauche. Une nouvelle fenêtre fait son apparition :
Figure A-1 : liste des composants Windows
Il suffit ensuite de sélectionner le composant Serveur d’applications. Ce composant inclut le service IIS. A la fin de l’assistant, le service est installé et démarré. On peut s’en
assurer en se rendant sur la page http://172.19.13.250 (ceci est l’adresse IP du serveur sur lequel le service est installé) :
Figure A-2 : le serveur web fonctionne
Pas de panique, la page affiche est la page par défaut du service IIS. Elle peut être modifiée dans le répertoire C:\Inetpub\wwwroot.
Autorité de Certification Installation
L’autorité de certification est un service disponible sous Windows Server 2003. Il permet de créer, signer ou supprimer des certificats. Il dispose d’une interface Web qui permet aux utilisateurs du réseau de faire une demande de certificat via leur navigateur Web.
L’installation de l’autorité de certification est similaire à celle du service IIS. Pour cela, il faut se rendre dans le Panneau de configuration, Ajout/Suppression de programmes et enfin Ajouter ou supprimer des composants Windows. Le composant à installer est Services de certificats.
Figure A-3 : la liste des composants Windows
L’assistant nous pose ensuite quelques questions. Tout d’abord il nous demande le type d’autorité de certifications que l’on souhaite établir. Dans la plupart des cas, c’est une autorité racine qui est choisie.
Figure A-4 : type d’autorité de certification
Le Common Name (CN) de l’autorité nous est ensuite demandé ; le nom de notre autorité est rogue-ca :
Figure A-5 : nom de l’autorité de certification
L’assistant nous signalement finalement que le service IIS doit être redémarré pour qu’il puisse installer l’interface web du service. L’autorité de certification est installée ! On peut se rendre sur l’interface web du service via l’URL http://172.19.13.250/certsrv (remplacer l’adresse IP par celle du serveur) :
Figure A-6 : interface web du serveur de certificats
Création de Certificats
Pour gérer les certificats de l’autorité, deux possibilités s’offrent à nous : l’interface Web ou la console. La console, qui peut être lancée grâce à la commande mmc, peut se voir greffer des « composants enfichables ». Voici une console où l’on a greffé trois composants :
Figure A-7 : console
Pour la création du certificat du serveur ACS, nous avons créé un nouveau modèle de certificat. Ce modèle peut être créé très facilement via le composant console Modèles de certificats. La console nous affiche alors tous les modèles de certificats disponibles. Nous pouvons partir d’un de ces certificats pour créer le notre. Il faut alors faire un clic droit sur un certificat existant et choisir l’option Modèle dupliqué.
Figure A-8 : duplication d’un modèle
Une fenêtre de propriétés s’ouvre. Elle comporte plusieurs onglets. Parmi ceux-ci, les plus importants :
Général : nous pouvons y changer le nom du modèle et sa période de validité par défaut ;
Traitement de la demande : cet onglet permet de spécifier la taille minimale de la clé et de choisir si la clé privée est exportable ou non ;
Nom du sujet : on peut choisir si le nom du sujet est fourni dans la demande ou s’il est construit à partir des informations de l’Active Directory ;
Figure A-9 : propriétés du modèle
Il faut ensuite indiquer à l’autorité de certification que ce nouveau modèle doit être proposé aux utilisateurs qui font des demandes de certificat. Ceci peut être configuré dans les options de l’autorité de certification :
Figure A-10 : délivrance d’un nouveau modèle
Il faut alors choisir le modèle que nous venons de créer.
Nous allons maintenant créer le certificat du serveur proprement dit. Pour ce faire, nous utiliserons l’interface Web du service. Sur la page d’accueil, il faut choisir Demander un certificat, puis demande de certificat avancée. Un page nous permet de saisir les informations relatives au serveur pour lequel nous demandons le certificat. Nous pouvons également y choisir le modèle de certificat à utiliser. Il ne faut pas oublier de cocher l’option Marquer les clés comme étant exportables ainsi que l’option Stocker le certificat dans le magasin de certificats de l’ordinateur local.
Figure A-11 : demande de certificat
Une fois le certificat généré, le serveur nous propose de l’installer sur la machine :
Figure A-12 : installation du certificat
Annexe B : Installation de Cisco Secure ACS
La version de Cisco Secure ACS que j’ai installée est la version 4.2. Je l’ai installée sur Windows Server 2003 Enterprise Edition. L’installation est très brève :
Premièrement, on commence par l’acceptation de la licence, un grand classique...
L’assistant d’installation nous demande ensuite s’il doit prendre la base de donnée de l’Active Directory pour la gestion des utilisateurs :
Figure B-1 : choix de la base de données
Un mot de passe nécessaire au chiffrement de la base de donnée interne de Secure ACS nous est ensuite demandé. Finalement, l’assistant nous demande si l’on souhaite démarrer le service immédiatement. On peut également lancer la page d’administration en cochant l’option prévue à cet effet :
Figure B-2 : options
L’installation est terminée. La page d’administration de ACS est accessible via l’URL http://<ip_serveur>:2002.
Annexe C : Configurations Finales
rogue-cme (Cisco ISR 2801)
Current configuration : 8041 bytes version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname rogue-cme
!
boot-start-marker boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$hRBE$ykD9j8FwGDElGNWyFxSxa1
!
aaa new-model
!
!
aaa authentication login default local enable
!
!
aaa session-id common clock timezone CET 1
clock summer-time CEST recurring dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 172.19.13.254
!
ip dhcp pool voicePool
network 172.19.13.0 255.255.255.0 default-router 172.19.13.254 option 150 ip 172.19.13.254
!
! ip cef
no ip domain lookup
ip host rogue-ap 172.19.13.253 no ipv6 cef
multilink bundle-name authenticated
!
stcapp ccm-group 1 stcapp
!
!
!
!
voice logout-profile 1 user lp password blah number 1999 type normal
!
voice user-profile 1
user sweeney password miam number 1001 type normal
!
username fred privilege 15 secret 5 $1$51wf$MZMzi4po2g.RhKUoPNH1p.
!
ip ssh version 2 ip scp server enable
!
interface Loopback0
ip address 128.0.0.1 255.255.255.255
!
interface FastEthernet0/0
ip address 10.48.77.184 255.255.255.0 duplex auto
speed auto no cdp enable
!
interface FastEthernet0/1
ip address 172.19.13.254 255.255.255.0 duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.48.77.1
!
ip http server
ip http authentication local no ip http secure-server ip http path flash:gui
!
tftp-server flash:atadefault.cfg tftp-server flash:ata18xr.zup tftp-server flash:APPS-1.3.2.SBN tftp-server flash:TNUX-1.3.2.SBN tftp-server flash:CP7921G-1.3.2.LOADS tftp-server flash:WLAN-1.3.2.SBN tftp-server flash:GUI-1.3.2.SBN tftp-server flash:SYS-1.3.2.SBN tftp-server flash:SCCP41.8-4-4S.loads tftp-server flash:apps41.8-4-3-16.sbn tftp-server flash:cnu41.8-4-3-16.sbn tftp-server flash:cvm41sccp.8-4-3-16.sbn tftp-server flash:dsp41.8-4-3-16.sbn tftp-server flash:jar41sccp.8-4-3-16.sbn tftp-server flash:term41.default.loads tftp-server flash:P00308010100.bin tftp-server flash:P00308010100.loads tftp-server flash:P00308010100.sb2 tftp-server flash:P00308010100.sbn tftp-server flash:RingList.xml
tftp-server flash:DistinctiveRingList.xml tftp-server flash:Jamaica.raw
tftp-server flash:AIR-WLC2100-K9-5-2-178-0.aes
!
control-plane
!
voice-port 0/0/0 ring frequency 50 cptone BE
timeouts ringing infinity caller-id enable
!
voice-port 0/0/1
!
voice-port 0/2/0 cptone BE
timeouts interdigit 0 impedance complex2 caller-id enable
!
voice-port 0/2/1
!
ccm-manager fax protocol cisco
!
mgcp fax t38 ecm
!
sccp local FastEthernet0/1
sccp ccm 172.19.13.254 identifier 1 version 7.0 sccp
!
sccp ccm group 1
associate ccm 1 priority 1
!
dial-peer voice 1 pots service stcapp
port 0/0/0
!
dial-peer voice 911 pots destination-pattern 9T incoming called-number 1001$
direct-inward-dial port 0/2/0
prefix 0
!
telephony-service em keep-history em logout 0:0 0:0 0:0 max-ephones 10
max-dn 10
ip source-address 172.19.13.254 port 2000 auto assign 4 to 5
service phone webAccess 0 timeouts night-service-bell 4
system message /!\ Maintenance reseau /!\
url authentication http://172.19.13.254/CCMCIP/authenticate.asp fred blah user-locale FR
network-locale FR load 7921 CP7921G-1.3.2 load 7960-7940 P00308010100 load 7941GE SCCP41.8-4-4S time-zone 23
time-format 24 date-format dd-mm-yy max-conferences 4 gain -6
web admin system name fadet password hello dn-webedit
time-webedit
transfer-system full-consult after-hours pstn-prefix 4 4 night-service code *1234
night-service everyday 16:00 07:00 night-service date Jan 1 00:00 23:59 fac custom redial **911
create cnf-files version-stamp 7960 May 20 2009 10:35:15
!
ephone-template 1
softkeys idle Newcall Redial Join Mobility Cfwdall Dnd Pickup Gpickup softkeys connected Endcall Trnsfer Hold Mobility Park Acct
speed-dial 1 1999 label "Receptionist"
!
ephone-dn 1 dual-line number 1001
label Sweeney Todd description Sweeney Todd name Sweeney Todd mobility
snr 90478123456 delay 3 timeout 10
!
ephone-dn 2 number 1002
pickup-call any-group label Adolfo Pirelli description Adolfo Pirelli name Adolfo Pirelli
mobility
snr 90478123456 delay 5 timeout 10
!
ephone-dn 3 number 1003
label Benjamin Barker description Benjamin Barker name Benjamin Barker
!
ephone-dn 4 number 1004 label Judge Turpin description Judge Turpin name Judge Turpin night-service bell
!
ephone-dn 5 number 1005
label Johanna Barker description Johanna Barker name Johanna Barker
hold-alert 30 originator
!
ephone-dn 6 number 1006
label Beadle Bamford description Beadle Bamford name Beadle Bamford
mobility
snr 90478579237 delay 3 timeout 5
!
ephone-dn 7 number 1007 label Mrs Lovett description Mrs Lovett name Mrs Lovett
snr 90478123456 delay 10 timeout 15
!
ephone-dn 9 number 1999 label Receptionist description Receptionist
name Receptionist mobility
!
ephone 1
description Sweeney Todd mac-address 0030.94C2.5E19 ephone-template 1
username "stodd" password miam
speed-dial 1 1002 label "Adolfo Pirelli"
type 7960 button 1:1 2s3
!
ephone 2
description Adolfo Pirelli mac-address 0018.19B3.0224 ephone-template 1
speed-dial 1 1004 label "Judge Turpin"
type 7941GE button 1:2 night-service bell
!
ephone 3
description Johanna Barker mac-address 000D.294D.F1B7 max-calls-per-button 2 type ata
button 1:3
!
ephone 4
description Beadle Bamford mac-address 001B.D454.A189 ephone-template 1
max-calls-per-button 4 type 7921
logout-profile 1
!
ephone 5 privacy-button
mac-address AE23.E600.B000 max-calls-per-button 2 type anl
button 1:4
!
ephone 6
mac-address 0021.553E.A709 max-calls-per-button 4 type 7921
logout-profile 1
!
ephone 7
mac-address 001F.E21C.0187 ephone-template 1
type CIPC button 1:7
!
alias exec sibu sh ip int brief | inc up alias exec sir sh ip route
alias exec si sh ip int alias exec sib sh ip int brief
!
line aux 0 line vty 0 4
logging synchronous line vty 5 15 logging synchronous
!
scheduler allocate 20000 1000 ntp master
end
rogue-sw1 (Cisco Catalyst 2960)
Current configuration : 1630 bytes version 12.2
no service pad
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname rogue-sw1
!
boot-start-marker boot-end-marker
!
enable secret 5 $1$flLj$0mvOCOKNFUXlw8f3l4ZQ81
!
username fred privilege 15 secret 5 $1$XlS7$Z3KTzY0B1ZdaH7TA682xe0 aaa new-model
!
aaa authentication login default local enable
!
aaa session-id common system mtu routing 1500 ip subnet-zero
!
spanning-tree mode pvst spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1 switchport mode access
!
interface FastEthernet0/2
! [...]
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1 no ip address no ip route-cache shutdown
!
ip http server
!
control-plane
!
line con 0
logging synchronous line vty 0 4
logging synchronous line vty 5 15 logging synchronous
!
monitor session 1 source interface Fa0/1 monitor session 1 destination interface Fa0/23 end
rogue-ap (Cisco Aironet 1131)
Current configuration : 2638 bytes version 12.4
no service pad
service timestamps debug datetime msec service timestamps log datetime msec service password-encryption
!
hostname rogue-ap
!
enable secret 5 $1$aA1A$2QHo/ZHyYsCvMRP6m4OS50
!
aaa new-model
!
aaa group server radius local_radius
server 172.19.13.253 auth-port 1812 acct-port 1813
!
aaa authentication login default local enable
aaa authentication login fast_login group local_radius
!
aaa session-id common
!
resource policy
!
clock timezone CET 1
clock summer-time CEST recurring ip subnet-zero
!
dot11 ssid cme
authentication open eap fast_login authentication network-eap fast_login authentication key-management wpa guest-mode
!
power inline negotiation prestandard source
!
username fred privilege 15 secret 5 $1$DzyD$Jkb5cvZ6S6Pf1RcH7zT6R.
!
bridge irb
!
interface Dot11Radio0 no ip address no ip route-cache shutdown
!
encryption mode ciphers aes-ccm tkip !
!
station-role root bridge-group 1
bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled
!
interface Dot11Radio1 no ip address no ip route-cache shutdown
dfs band 3 block channel dfs station-role root bridge-group 1
bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled
!
interface FastEthernet0 no ip address
no ip route-cache duplex auto speed auto bridge-group 1
no bridge-group 1 source-learning bridge-group 1 spanning-disabled
!
interface BVI1
ip address 172.19.13.253 255.255.255.0 no ip route-cache
!
ip default-gateway 172.19.13.254 ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag radius-server local
no authentication leap no authentication mac
eapfast authority id 12345678901234567890123456789012 eapfast authority info AP
eapfast server-key primary 7 CDAA62BA123F980ECC28F1E27742179164 nas 172.19.13.253 key 7 06000E325871021C1C
group wireless_cme !
group test ssid cme !
user fred nthash 7 08051D6D2D4D2440455F5C547B7E7D096166014750352656730100030C5B524B32
user fmereu nthash 7 0225517D52545B00156B2F4A5C4233595C567C7F027D6313074A5442265301097C group test
!
radius-server host 172.19.13.253 auth-port 1812 acct-port 1813 key 7 000212151064000316 bridge 1 route ip
!
line con 0
logging synchronous line vty 0 4
logging synchronous line vty 5 15 logging synchronous
! end
Acronymes Utilisés dans ce Livre
ACS : Access Control Server
AES : Advanced Encryption Standard AP : Access Point
CA : Certification Authority
CCKM : Cisco Centralized Key Management CDP : Cisco Discovery Protocol
CN : Common Name
DHCP : Dynamic Host Configuration Protocol DN : Directory Number
DSP : Digital Signal Processing
EAP : Extensible Authentication Protocol
EAP-FAST : EAP-Flexible Authentication via Secure Tunneling EAPOL : EAP over LAN
EAP-TLS : EAP-Transport Layer Security FXO : Foreign eXchange Office FXS : Foreign eXchange Station EPhone : Ethernet Phone
FAC : Feature Access Code IAX : Inter Asterisk eXchange IIS : Internet Services
ILP : InLine Power
IOS : Internetwork Operating System IP : Internet Protocol
ISDN : Integrated Service Digital Network IVR : Interactive Voice Response
LEAP : Lightweight EAP
LWAPP : LightWeight Access Point Protocol MAC : Media Access Control
MGCP : Media Gateway Control Protocol NAS : Network Access Server
PAC : Protected Access Credential PBX : Private Branch eXchange PEAP : Protected EAP
PoE : Power over Ethernet
POTS : Plain Old Telephone System PSK : Pre Shared Key
PSTN : Public Switched Telephone Network QoS : Quality of Service
SPAN : Switched Port ANalyzer
RADIUS : Remote Authentication Dial In User Service RNIS : Réseau Numérique à Intégration de Services RTP : Real Time Protocol
SCCP : Skinny Client Control Protocol SCP : Secure CoPy
SDP : Session Description Protocol SIP : Session Initiation Protocol SSID : Service Set Identifier STC : SCCP Telephony Control
TACACS+ : Terminal Access Controller Access-Control System Plus TCP : Transport Control Protocol
TFTP : Trivial File Transfer Protocol TKIP : Temporal Key Integrity Protocol
UCME : Unified Communications Manager Express UDP : User Datagram Protocol
URL : Uniform Resource Locator VoIP : Voice over IP
WEP : Wired Equivalent Privacy WLAN : Wireless LAN
WPA : Wi-Fi Protected Access
Bibliographie
Building Cisco Multilayer Switched Networks (BCMSN) (Authorized Self-Study Guide), 4th Edition [Livre] / aut. R. Froom B. Sivasubramanian, E. Frahim. - [s.l.] : Cisco Press.
Cisco IOS in a Nutshell, Second Edition [Livre] / aut. Boney James. - [s.l.] : O'Reilly.
Cisco Unified CME 7.1 Supported Firmwares, Platforms, Memory and Voice Products [En ligne]. -
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/cme7 1spc.htm.
Cisco Unified CME and Cisco IOS Software Version Compatibility Matrix [En ligne]. -
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/33ma trix.htm.
Cisco Unified CME System Administrator Guide [En ligne]. -
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guid e/cmeadm.html.
Cisco Unified Wireless IP Phone 7921G Administration Guide [En ligne]. - http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7921g/7_0/english/admi nistration/guide/7921G_AdminGuide.html.
Cisco Wireless LAN Controller Configuration Guide [En ligne]. -
http://www.cisco.com/en/US/docs/wireless/controller/5.2/configuration/guide/Contr oller52CG.html.
Configuring an Access Point as a Local Authenticator [En ligne]. -
http://www.cisco.com/en/US/docs/wireless/access_point/12.3_2_JA/configuration/g uide/s32local.html.
Configuring Analog Voice Ports [En ligne]. -
http://www.cisco.com/en/US/docs/ios/voice/voiceport/configuration/guide/vp_cfg_a nalog_vps_ps6441_TSD_Products_Configuration_Guide_Chapter.html.
Configuring Cisco Unified CallManager Express [En ligne]. - http://uc500.com/CiscoCallManagerExpress.
Configuring FXS Ports for Basic Calls [En ligne]. -
http://www.cisco.com/en/US/docs/ios/voice/fxs/configuration/guide/fxsbasic.html.