Mapeamento dos comandos AAA de configuração aberta para a operação Junos

Nota:

Veja o tópico da versão do modelo de dados do OpenConfig para entender a versão suportada pelos modelos de dados e o lançamento do Junos OS para a Série ACX, Série EX, Série MX, Série PTX e Série QFX da Juniper Networks.

As tabelas a seguir mostram o mapeamento das configurações AAA do OpenConfig com a configuração relevante no Junos OS.

Tabela 1: Configuração AAA global
Tabela 2: Configuração do servidor RADIUS
Tabela 3: Configuração de eventos contábeis
Tabela 4: Configuração do método de contabilidade
Tabela 5: Configuração de funções de autorização
Tabela 6: Permissões de autorização Configuração: Permissões de autorização Configuração
Tabela 7: Configuração de permissões de autorização
Tabela 8: Políticas de autorização e configuração de solicitação-regex
Tabela 9 Tabela 9: Configuração do servidor TACACS
Tabela 10: Administração AAA e configuração do usuário

Tabela 1: Configuração AAA global
Nome do comando	Caminho de comando openconfig	Configuração do Junos
	Prefixo de caminho de comando: `/system/aaa`
Nome da configuração	`/server-groups/server-group/config/name`	Não suportado Nota: Não há configuração equivalente no Junos OS para este caminho. O nome do grupo de servidor configurado é usado na configuração de atributos RADIUS/TACACS.
Endereço de configuração de servidor	`/server-groups/server-group/servers/server/config/address`	Não suportado Nota: Não há configuração equivalente no Junos OS para este caminho. O endereço de servidor configurado é usado na configuração de atributos RADIUS/TACACS.
Nome da configuração do servidor	`/server-groups/server-group/servers/server/config/name`	Não suportado Nota: Não há configuração equivalente no Junos OS para este caminho. Você pode configurar um nome de servidor para identificar o servidor.
Tempo limite de configuração	`/server-groups/server-group/servers/server/config/timeout`	Não suportado Nota: Não há configuração equivalente no Junos OS para este caminho. No entanto, o tempo limite configurado é derivado do `timeout` parâmetro no sistema operacional `edit radius-server` Junos ou `edit tacplus-server` no nível de hierarquia.

Tabela 2: Configuração do servidor RADIUS
Nome do comando	Caminho de comando openconfig	Configuração do Junos
	Prefixo de caminho de comando: `/system/aaa`
Auth-Port	`/server-groups/server-group/servers/server/radius/config/auth-port`	`set system radius-server address port port` Nota: O `address` valor é derivado do valor configurado após `server`. O `port` valor é o mesmo que `auth-port.`
Tentativas de retransmissão	`/server-groups/server-group/servers/server/radius/config/retransmit-attempts`	`set system radius-server address retryretry` Nota: O `address` valor é derivado do valor configurado após `server`. O `retry` valor é o mesmo que o especificado para `retransmit-attempts`.
Chave secreta	`/server-groups/server-group/servers/server/radius/config/secret-key`	`set system radius-server address secret secret` Nota: O `address` valor é derivado do valor configurado após `server`. O `secret` valor é o mesmo que o especificado para `secret-key`.
Endereço-fonte	`/server-groups/server-group/servers/server/radius/config/source-address`	`set system radius-server address source-address source-address` Nota: O `address` valor é derivado do valor configurado após `server.` o `source-address` valor ser o mesmo que o especificado para `source-address`.

Tabela 3: Configuração de eventos contábeis
Nome do comando	Configuração do OpenConfig	Configuração do Junos
Evento	openconfig-system:system { aaa { accounting { events { event <event-type>{ config { event-type <value> } } } } } }	system { accounting { events [ … ]; } }
A configuração do OpenConfig tem dois valores para `event-type`: AAA_ACCOUNTING_EVENT que mapeia o tipo de evento do Junos OS `interactive-commands` AAA_ACCOUNTING_EVENT_LOGIN que mapeia até mesmo o Junos OS `login`

Tabela 4: Configuração do método de contabilidade
Nome do comando	Configuração do OpenConfig	Configuração do Junos
Método de contabilidade	openconfig-system:system { aaa { accounting { config { accounting-method [ … ]; } } } }	system { accounting { destination { radius / tacplus { server { <name> secret <>; <name> secret <>; } } } } }
Os valores `accounting-method` do OpenConfig são `TACACS_ALL`, `RADIUS_ALL`abd `LOCAL`. A configuração do OpenConfig `accounting-method` em combinação com a `server-groups` configuração gera a hierarquia `/system/accounting/destination`do Junos.

Tabela 5: Configuração de funções de autorização
Nome do comando	Configuração do OpenConfig	Configuração do Junos
Papéis	openconfig-system:system { aaa { authorization { roles { role <rolename> { ……… ………. } } } } }	system { login { class <name> { ….. ….. } } }
Os mapas definidos pelo `role` usuário do OpenConfig para o parâmetro Junos `login classes` .

Tabela 6: Configuração de permissões de autorização
Nome do comando	Configuração do OpenConfig	Configuração do Junos
Permissões	openconfig-system:system { aaa { authorization { roles { role <rolename> { permissions [ … ]; } }	system { login { class <name> { permissions [ … ]; } } }
O OpenConfig definido pelo `permissions` usuário é uma lista leaf e mapas para o parâmetro leaf-list `permissions` do Junos. Possíveis valores de Configuração Aberta e `permissions` os valores correspondentes do Junos são: OpenConfig Junos ADMIN admin ADMIN CONTROL admin-control ALL all MAINTENANCE maintenance VIEW view VIEW_CONFIG view-configuration

Tabela 7: Configuração de permissões de autorização
Nome do comando	Configuração do OpenConfig	Configuração do Junos
Permissões	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy PERMIT REQUEST_RPC { request-regex /gnmi.gNMI/Set; } } } } } } } }	system { login { class foo { allow-grpc-rpc-regexps /gnmi.gNMI/Set; } } }

Tabela 7: Configuração de permissões de autorização

Nome do comando

Configuração do OpenConfig

Configuração do Junos

Permissões

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}

system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}

Tabela 8: Políticas de autorização e configuração de solicitação-regex
Nome do comando	Configuração do OpenConfig	Configuração do Junos
Políticas	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy <action> <request-type> { request-regex [ … ]; } } } } } } }	system { login { class foo { deny-commands-regexps [ … ]; OR allow-commands-regexps [ … ]; OR deny-configuration-regexps [ … ]; OR allow-configuration-regexps [ … ]; OR deny-grpc-rpc-regexps [ … ]; OR allow-grpc-rpc-regexps [ … ]; } } }
A configuração do OpenConfig `policies` é traduzida em diferentes parâmetros de permitir e negar (*regexps). Possíveis valores de Configuração Aberta para `action`, `request-type`e `request-regex` traduza para os seguintes parâmetros de configuração do Junos: action request-type OpenConfig request-regex translates to: PERMIT REQUEST_CONFIG allow-configuration-regexps DENY REQUEST_CONFIG deny-configuration-regexps PERMIT REQUEST_RPC allow-grpc-rpc-regexps DENY REQUEST_RPC deny-grpc-rpc-regexps PERMIT REQUEST_COMMAND allow-commands-regexps DENY REQUEST_COMMAND deny-commands-regexps
Exemplo	openconfig-system:system { aaa { authorization { roles { role foo { config { rolename foo; policies { policy DENY REQUEST_COMMAND { request-regex [ "clear interfaces" "show interfaces" ]; } } } } } } } }	system { login { class foo { deny-commands-regexps [ "clear interfaces" "show interfaces" ]; } } }
Exemplo	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy PERMIT REQUEST_RPC { request-regex /gnmi.gNMI/Set; } } } } } } } }	system { login { class foo { allow-grpc-rpc-regexps /gnmi.gNMI/Set; } } }

Tabela 9: Configuração do servidor TACACS
Nome do comando	Caminho de comando openconfig	Configuração do Junos
	Prefixo de caminho de comando: `/system/aaa`
Porta de configuração	`/server-groups/server-group/servers/server/tacacs/config/port`	`set system tacplus-server address port port` Nota: O `address` valor é derivado do valor configurado após `server.` o `port` valor ser o mesmo que o especificado para `port`.
Chave secreta	`/server-groups/server-group/servers/server/tacacs/config/secret-key`	`set system tacplus-server address secret secret` Nota: O `address` valor é derivado do valor configurado após `server`. O `secret` valor é o mesmo que o especificado para `secret-key`.
Endereço-fonte	`/server-groups/server-group/servers/server/tacacs/config/source-address`	`set system tacplus-server address source-address source-address` Nota: O `address` valor é derivado do valor configurado após `server`. O `source-address` valor é o mesmo que o especificado para `source-address`.

Tabela 10: Administração AAA e configuração do usuário
Nome do comando	Caminho de comando openconfig	Configuração do Junos
	Prefixo de caminho de comando: `/system/aaa`
Senha de administrador	`/authentication/admin-user/config/admin-password`	`set system root-authentication plain-text-password` Nota: O `plain-text-password-authentication` valor é derivado do valor configurado para `admin-password`.
Hashed de senha de administrador	`/authentication/admin-user/config/admin-password-hashed`	`set system root-authentication encrypted-password encrypted-password` Nota: O `encrypted-password` valor é derivado do valor configurado para `admin-password-hashed`.
Método de autenticação	`/authentication/config/authentication-method`	`set system authentication-order` Nota: O `authentication-order` valor é derivado do valor configurado para `authentication-method`.
Senha	`/authentication/users/user/config/password`	`set system login user user-name authentication plain-text-password plain-text-password` Nota: O `user-name` valor é derivado do valor configurado para `user`. O `plain-text-password` valor é derivado do valor configurado para `password`.
Hashed por senha	`/authentication/users/user/config/password-hashed`	`set system login user user-name authentication encrypted-password encrypted-password` Nota: O `user-name` valor é derivado do valor configurado para `user`. O `encrypted-password` valor é derivado do valor configurado para `password-hashed`.
Papel	`/authentication/users/user/config/role`	`set system login user user-name class class` Nota: O `user-name` valor é derivado do valor configurado para `user`. O `class` valor é derivado do valor configurado para `role`.
Username	`/authentication/users/user/config/username`	Não suportado Nota: Não há configuração equivalente no Junos OS.