Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração básica de autenticação e contabilidade RADIUS

Configuração de parâmetros de autenticação e contabilidade para acesso ao assinante

Você usa um perfil de acesso para configurar o suporte de autenticação e contabilidade para o recurso de gerenciamento de acesso ao assinante. O perfil de acesso permite que você especifique o tipo de métodos usados para autenticação e contabilidade. Você também pode configurar como o gerenciamento de acesso ao assinante coleta e usa estatísticas contábeis.

Para configurar a autenticação e a contabilidade para acesso ao assinante:

  1. Especifique os métodos de autenticação e contabilidade a serem usados.
  2. Especifique como as estatísticas contábeis são coletadas.

Especificando os métodos de autenticação e contabilidade para acesso ao assinante

Você pode especificar os métodos de autenticação e contabilidade que o gerenciamento de acesso ao assinante usa.

Você pode configurar vários métodos de autenticação e contabilidade — e as authentication-order accounting order declarações especificam a ordem em que o recurso de gerenciamento de acesso do assinante usa os métodos. Por exemplo, uma entrada de radius password autenticação especifica que a autenticação RADIUS é executada primeiro; se ela se destaca (por exemplo, se o servidor RADIUS é inalcançável), então a autenticação local (password) é tentada. No entanto, se um método rejeitar a tentativa de autenticação, nenhum método subsequente será tentado. Se password for configurado como o primeiro método a ser tentado, a autenticação é sempre aceita ou recusada; em ambos os casos, nenhum outro método é tentado.

Você pode especificar os seguintes métodos de autenticação com a authentication-order declaração:

  • radius— autenticação baseada em RADIUS usando um servidor RADIUS externo.

  • password— Autenticação local usando nomes de usuário e senhas configurados localmente e armazenados.

    O gerenciamento de acesso ao assinante não oferece suporte à opção até o password lançamento do Junos OS 18.2R1. A partir do Junos OS Release 18.2R1, você pode usar a opção password de fornecer autenticação local para assinantes individuais, normalmente quando você não tem servidores externos de autenticação e autorização, ou quando você deseja usar a autenticação local como backup para autenticação externa. Neste caso, você configura a senha real do assinante com a opção password da subscriber username declaração no perfil de acesso. Em versões anteriores, você deve sempre especificar o radius método de autenticação.

Você pode especificar os seguintes métodos de contabilidade:

  • radius— contabilidade baseada em RADIUS usando um servidor RADIUS externo.

Para configurar os métodos de autenticação e contabilidade para o gerenciamento de acesso ao assinante:

  1. Especifique os métodos de autenticação e a ordem em que eles são usados.
  2. Especifique o método de contabilidade.

Especificando servidores de autenticação e contabilidade RADIUS para acesso ao assinante

Você pode especificar um ou mais servidores de autenticação ou contabilidade RADIUS para usar no gerenciamento de acesso ao assinante.

Para configurar o suporte de autenticação e contabilidade RADIUS:

  1. Especifique se deseja configurar o suporte RADIUS.
  2. Especifique o endereço IP do servidor RADIUS usado para autenticação.
  3. Especifique o endereço IP do servidor RADIUS usado para contabilidade.

Para configurar vários servidores de autenticação OU contabilidade RADIUS:

  • Especifique os endereços IP de todos os servidores RADIUS usados para autenticação ou contabilidade.

Configuração da autenticação local e autorização para assinantes

A partir do Junos OS Release 18.2R1, você pode configurar a autenticação local e a autorização local limitada para assinantes. A autenticação local oferece suporte a todos os tipos de assinantes que atualmente são suportados pelo gerenciamento de assinantes e serviços em roteadores da Série MX. A autenticação e a autorização locais são úteis nas seguintes circunstâncias:

  • Quando você não quiser usar servidores externos de autenticação e autorização.

  • Quando você deseja que a autenticação e a autorização locais forneçam um método de backup caso a autenticação RADIUS não seja falha.

  • Quando você está migrando uma rede de roteadores da Série E que executam o software JunosE para roteadores da Série MX que executam o Junos OS.

Habilite a autenticação e a autorização locais para assinantes configurando a opção password a ser configurada como um authentication-order método para o perfil de acesso. Em seguida, configure uma senha para cada assinante que você deseja autenticar localmente. Quando um assinante associado ao perfil de acesso faz login, o nome de usuário de login é comparado com o nome de usuário configurado. Se isso for combinado, a senha de login será comparada com a senha configurada. Falhas de autenticação local resultam de incompatibilidades credenciais; ou seja, o nome de usuário ou a senha do assinante não correspondem.

A autenticação local pode tomar a forma de qualquer um dos seguintes:

  • Autenticação de senha do usuário — A senha configurada é usada para verificar a senha de login do assinante.

  • Desafio de autenticação de desafio (CHAP)— A senha configurada funciona como o segredo do desafio para verificar a senha do desafio do assinante e a credencial de resposta ao desafio.

Você também pode configurar opcionalmente vários atributos, como pool de endereços, sistema lógico ou instância de roteamento, para ser autorizado localmente para o assinante quando a autenticação for bem sucedida. Se você não configurar um endereço ou um pool de endereços para autorização local, a atribuição de endereços será baseada na correspondência da rede ou no primeiro pool de endereços atribuído à instância de roteamento.

Nota:

A autenticação e autorização locais oferecem suporte a um máximo de 100 assinantes em todo o chassi. Se os assinantes estiverem configurados em perfis de acesso onde authentication-order password não estiver configurado, a autenticação local não ocorrerá, mas esses assinantes contarão com o limite do sistema de 100 assinantes para autenticação local.

Para configurar a autenticação e a autorização locais:

  1. Habilite a autenticação local.

    Se você quiser que apenas a autenticação local seja usada, configure password como o único método de autenticação. Se você deseja que a autenticação local faça backup da autenticação RADIUS caso o método seja esgotado, então você deve configurar radius como o primeiro método e password como segundo método, assim:

    Se você configurar password como o primeiro método, a autenticação será sempre aceita ou recusada. Em ambos os casos, um segundo método nunca é tentado.

  2. Configure a senha local para o assinante.
  3. (Opcional) Configure um endereço IPv4 para o assinante.
  4. (Opcional) Configure um pool de endereços para atribuir um endereço IPv4 para o assinante.
  5. (Opcional) Configure um pool de endereços para atribuir um prefixo IPv6 de anúncio de roteador ou um endereço DHCPv6 IA_NA/128 para o assinante.
  6. (Opcional) Configure um pool de endereços para alocar localmente um prefixo IPv6 delegado.
  7. (Opcional) Configure um sistema lógico e, se desejado, uma instância de roteamento atribuída ao assinante.
  8. (Opcional) Configure uma instância de roteamento para o assinante.

Você pode usar os seguintes show comandos para exibir informações sobre autenticação local:

  • show network-access aaa statistics authentication detail— exibe estatísticas de falha para autenticação local.

  • show network-access requests statistics— exibe estatísticas de autenticação local e reauthenticação local, como solicitações recebidas e o número de respostas de sucesso e falhas.

  • show network-access aaa statistics re-authentication— exibe estatísticas de reauthenticação, mas elas são agregadas tanto da autenticação local quanto do RADIUS.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
18.2R1
A partir do Junos OS Release 18.2R1, você pode configurar a autenticação local e a autorização local limitada para assinantes.