Configuração de um servidor TACACS+ para autenticação e autorização
A Junos Space Network Management Platform oferece suporte à autenticação e autorização de usuários de um ou mais servidores TACACS+. (Uma combinação de servidores TACACS+ e RADIUS também é suportada.) Se você configurar vários servidores, eles serão testados durante a autenticação na ordem listada na interface do usuário. Se o primeiro servidor acessado não for acessível ou houver uma incompatibilidade de segredo compartilhado, o próximo será julgado. Para entender o comportamento de login com a autenticação remota habilitada, consulte o Junos Space Login Behavior com tópico habilitado para autenticação remota .
Antes de autenticar e autorizar os usuários a fazer login na Junos Space Platform usando o servidor TACACS+, você deve ter certeza de que:
Você cria e configura o servidor de autenticação remota TACACS+ na Junos Space Platform (veja Criação de um servidor de autenticação remota).
Você cria os perfis remotos necessários para autorizar os usuários na Junos Space Platform (ver Criação de um perfil remoto).
Você cria contas de usuário usando o espaço de trabalho controle de acesso baseado em função na Junos Space Platform se quiser permitir a autenticação remota e autorização local (veja Criação de usuários na Junos Space Network Management Platform).
Os dados de autorização no servidor TACACS+ são armazenados como pares de valor de atributo (AVPs). O AVP contém o nome do perfil remoto. Portanto, você deve configurar usuários no servidor TACACS+ com os AVPs correspondentes aos perfis remotos criados no servidor Junos Space para representar as funções do usuário.
Quando a Junos Space Network Management Platform consulta o servidor TACACS+ para obter autorização do usuário, o serviço junosspace-exec do servidor TACACS+ devolve o nome de perfil remoto para esse usuário. A Junos Space Network Management Platform determina o papel ou as funções do usuário a partir dessa resposta.
Para atribuir funções ao usuário usando o nome do perfil remoto, você pode configurar a AVP de perfis de gerenciamento de rede para o serviço executivo junosspace no servidor TACACS+.
O exemplo a seguir mostra como as informações de configuração podem ser adicionadas ao servidor TACACS+ para atribuir um perfil remoto a um usuário:
user = guestuser
{
pap = cleartext "<password>"
service = junosspace-exec
{
network-management-profiles = guest_profile
}
}
Para obter mais informações sobre como configurar o AVP e atribuir um perfil remoto do Junos Space a um usuário no servidor TACACS+, consulte a documentação do servidor TACACS+.