Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração básica de autenticação e contabilidade RADIUS

Configurando parâmetros de autenticação e contabilidade para acesso do assinante

Você usa um perfil de acesso para configurar o suporte de autenticação e contabilidade para o recurso de gerenciamento de acesso do assinante. O perfil de acesso permite que você especifique o tipo de métodos usados para autenticação e contabilidade. Você também pode configurar como o gerenciamento de acesso do assinante coleta e usa estatísticas contábeis.

Para configurar a autenticação e a contabilização para acesso do assinante:

  1. Especifique os métodos de autenticação e contabilidade a serem usados.

    Consulte Especificando os métodos de autenticação e contabilidade para acesso ao assinante.

  2. Especifique como as estatísticas contábeis são coletadas.

    Consulte Configurando a Contabilidade de Sessão por Assinante.

Especificando os métodos de autenticação e contabilidade para acesso do assinante

Você pode especificar os métodos de autenticação e contabilidade que o gerenciamento de acesso do assinante usa.

Você pode configurar vários métodos de autenticação e contabilidade — as authentication-order instruções and accounting order especificam a ordem na qual o recurso de gerenciamento de acesso do assinante usa os métodos. Por exemplo, uma entrada de autenticação de especifica que a autenticação RADIUS é executada radius password primeiro; se ela atingir o tempo limite (por exemplo, se o servidor RADIUS estiver inacessível), a autenticação local (password) será tentada. No entanto, se um método rejeitar a tentativa de autenticação, nenhum método subsequente será tentado. Se password estiver configurado como o primeiro método a ser tentado, a autenticação será sempre aceita ou rejeitada; em ambos os casos, nenhum outro método será tentado.

Você pode especificar os seguintes métodos de autenticação com a authentication-order instrução:

  • radius— Autenticação baseada em RADIUS usando um servidor RADIUS externo.

  • password— Autenticação local usando nomes de usuário e senhas configurados e armazenados localmente.

    O gerenciamento de acesso do assinante não oferece suporte a essa opção até o password Junos OS Release 18.2R1. A partir do Junos OS Release 18.2R1, você pode usar a opção de fornecer autenticação local para assinantes individuais, normalmente quando você não tem servidores externos de autenticação e autorização, ou quando deseja usar a password autenticação local como backup para autenticação externa. Nesse caso, você configura a senha real do assinante com a password opção da instrução no perfil de subscriber username acesso. Em versões anteriores, você deve sempre especificar o método de radius autenticação.

Você pode especificar os seguintes métodos de contabilidade:

  • radius— Contabilidade baseada em RADIUS usando um servidor RADIUS externo.

Para configurar os métodos de autenticação e contabilidade para gerenciamento de acesso do assinante:

  1. Especifique os métodos de autenticação e a ordem em que eles são usados.
  2. Especifique o método contábil.

Especificando servidores de autenticação e contabilidade RADIUS para acesso do assinante

Você pode especificar um ou mais servidores de autenticação ou contabilidade RADIUS a serem usados para gerenciamento de acesso de assinantes.

Para configurar o suporte à autenticação e à contabilidade RADIUS:

  1. Especifique que você deseja configurar o suporte a RADIUS.
  2. Especifique o endereço IP do servidor RADIUS usado para autenticação.
  3. Especifique o endereço IP do servidor RADIUS usado para contabilidade.

Para configurar vários servidores de autenticação ou contabilidade RADIUS:

  • Especifique os endereços IP de todos os servidores RADIUS usados para autenticação ou contabilidade.

Configurando autenticação e autorização local para assinantes

A partir do Junos OS Release 18.2R1, você pode configurar a autenticação local e a autorização local limitada para assinantes. A autenticação local oferece suporte a todos os tipos de assinantes que atualmente são suportados pelo gerenciamento de assinantes e serviços em roteadores da Série MX. A autenticação e a autorização locais são úteis nas seguintes circunstâncias:

  • Quando você não deseja usar servidores externos de autenticação e autorização.

  • Quando você deseja que a autenticação local e a autorização forneçam um método de backup caso a autenticação RADIUS falhe.

  • Quando você está migrando uma rede de roteadores da Série X que executam o software JunosE para roteadores da Série MX que executam o Junos OS.

Habilite a autenticação e autorização local para assinantes configurando a password opção a ser configurada como um authentication-order método para o perfil de acesso. Em seguida, configure uma senha para cada assinante que deseja autenticar localmente. Quando um assinante associado ao perfil de acesso efetua login, o nome de usuário de login é comparado ao nome de usuário configurado. Se isso corresponder, a senha de login será comparada à senha configurada. As falhas de autenticação local resultam de incompatibilidades de credenciais; ou seja, o nome de usuário ou a senha do assinante não correspondem.

A autenticação local pode assumir a forma de um dos seguintes:

  • Autenticação de senha do usuário — A senha configurada é usada para verificar a senha de login do assinante.

  • Challenge handshake autenticação (CHAP) — a senha configurada atua como o segredo do desafio para verificar a senha de desafio do assinante e a credencial de resposta ao desafio.

Opcionalmente, você também pode configurar vários atributos, como pool de endereços, sistema lógico ou instância de roteamento, para serem autorizados localmente para o assinante quando a autenticação for bem-sucedida. Se você não configurar um endereço ou pool de endereços para autorização local, a atribuição de endereços será baseada na correspondência de rede ou no primeiro pool de endereços atribuído à instância de roteamento.

Observação:

A autenticação e a autorização locais oferecem suporte a um máximo de 100 assinantes em todo o chassi. Se os assinantes estiverem configurados em perfis de acesso em que authentication-order password não estão configurados, a autenticação local não ocorrerá, mas esses assinantes contarão no limite do sistema de 100 assinantes para autenticação local.

Para configurar a autenticação e autorização locais:

  1. Habilite a autenticação local.

    Se você quiser que apenas a autenticação local seja usada, configure password como o único método de autenticação. Se você quiser que a autenticação local faça backup da autenticação RADIUS caso o método atinja o tempo limite, você deverá configurar radius como o primeiro método e password como o segundo método, da seguinte forma:

    Se você configurar password como o primeiro método, a autenticação será sempre aceita ou rejeitada. Em ambos os casos, um segundo método nunca é tentado.

  2. Configure a senha local para o assinante.
  3. (Opcional) Configure um endereço IPv4 para o assinante.
  4. (Opcional) Configure um pool de endereços para atribuir um endereço IPv4 para o assinante.
  5. (Opcional) Configure um pool de endereços para atribuir um prefixo IPv6 de anúncio roteador ou um endereço DHCPv6 IA_NA/128 para o assinante.
  6. (Opcional) Configure um pool de endereços para alocar localmente um prefixo IPv6 delegado.
  7. (Opcional) Configure um sistema lógico e, se desejar, uma instância de roteamento atribuída ao assinante.
  8. (Opcional) Configure uma instância de roteamento para o assinante.

Você pode usar os seguintes show comandos para exibir informações sobre a autenticação local:

  • show network-access aaa statistics authentication detail— Exibe estatísticas de falha para autenticação local.

  • show network-access requests statistics— Exibe estatísticas de autenticação local e reautenticação local, como solicitações recebidas e o número de respostas de sucesso e falha.

  • show network-access aaa statistics re-authentication— Exibe estatísticas de reautenticação, mas elas são agregadas a partir da autenticação local e do RADIUS.

Documentação relacionada

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
18.2R1
A partir do Junos OS Release 18.2R1, você pode configurar a autenticação local e a autorização local limitada para assinantes.