Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral da autenticação do usuário

O Junos OS Evolved oferece suporte a diferentes métodos de autenticação que você (o administrador de rede) usa para controlar o acesso do usuário à rede. Esses métodos incluem autenticação local de senhas, RADIUS e TACACS+. Você usa um desses métodos de autenticação para validar usuários e dispositivos que tentam acessar o roteador ou switch usando SSH e Telnet. A autenticação impede que dispositivos e usuários não autorizados tenham acesso à sua LAN.

Métodos de autenticação de usuários

O Junos OS Evolved oferece suporte a três métodos de autenticação de usuários: autenticação local de senhas, RADIUS e TACACS+.

Com a autenticação local de senha, você configura uma senha para cada usuário autorizado a fazer login no roteador ou switch.

RADIUS e TACACS+ são métodos de autenticação para validar usuários que tentam acessar o roteador ou switch usando qualquer um dos métodos de login. Eles são sistemas distribuídos de cliente/servidor — os clientes RADIUS e TACACS+ são executados no roteador ou switch, e o servidor é executado em um sistema de rede remoto.

Você pode configurar o roteador ou switch para ser um cliente RADIUS ou TACACS+, ou ambos. Você também pode configurar senhas de autenticação no arquivo de configuração Junos OS Evolved. Você pode priorizar os métodos para configurar a ordem em que o software tenta os diferentes métodos de autenticação ao verificar o acesso do usuário.

Configure contas de modelo de usuário locais para autenticação de usuários

Você usa contas de modelo de usuário locais para atribuir diferentes aulas de login e, assim, conceder diferentes permissões aos usuários que forem autenticados por meio de um servidor de autenticação remota. Cada modelo pode definir um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo. Você define os modelos localmente no roteador ou switch, e os servidores de autenticação TACACS+ e RADIUS fazem referência aos modelos. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, propriedade de arquivos e ID de usuário eficaz da conta modelo.

Quando você configura modelos de usuário locais e um login de usuário, o Junos OS Evolved emite uma solicitação ao servidor de autenticação para autenticar o nome de login do usuário. Se o usuário for autenticado, o servidor retorna o nome de usuário local ao Junos OS Evolved (local-user-name para TACACS+ e Juniper-Local-User-Name para RADIUS). O Junos OS Evolved determina se um nome de usuário local é especificado para esse nome de login e, se sim, o Junos OS Evolved atribui o usuário a esse modelo de usuário local. Se um modelo de usuário local não existir para o usuário autenticado, o roteador ou o switch ficarão inadimplentes com o remote modelo, se configurado.

Para configurar um modelo de usuário local, defina o nome de usuário do modelo no nível de [edit system login] hierarquia. Atribua uma classe para especificar os privilégios que deseja conceder aos usuários locais a quem o modelo se aplica:

Para atribuir um usuário ao modelo de usuário local, configure o servidor de autenticação remota com parâmetro apropriado (local-user-name para TACACS+e Juniper-Local-User-Name para RADIUS) e especifique o nome de usuário definido para o modelo de usuário local. Para configurar diferentes privilégios de acesso para usuários que compartilham a conta modelo de usuário local, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.

Este exemplo configura os modelos e engineering os sales modelos do usuário no dispositivo local. O arquivo de configuração de servidor TACACS+ atribui os usuários a modelos específicos.

Quando os usuários Simon e Rob são autenticados, o roteador ou switch aplica o sales modelo de usuário local. Quando os usuários de login Harold e Jim são autenticados, o roteador ou switch aplica o engineering modelo de usuário local.

Configure contas de modelo de usuário remoto para autenticação de usuários

O dispositivo de rede pode mapear usuários autenticados remotamente para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. A remote conta modelo é um modelo de usuário especial. Por padrão, o Junos OS Evolved atribui usuários autenticados remotamente à remote conta modelo, se configurado, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

Para configurar a remote conta do modelo, inclua a user remote declaração no nível de [edit system login] hierarquia e especifique a classe de login para usuários atribuídos ao remote modelo:

Para configurar diferentes privilégios de acesso para usuários que compartilham a remote conta modelo, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.

Exemplo: crie contas de modelo

Este exemplo mostra como criar contas modelo.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Você pode criar contas modelo que são compartilhadas por um conjunto de usuários ao usar a autenticação RADIUS ou TACACS+. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, propriedade de arquivos e ID de usuário eficaz da conta modelo.

Por padrão, o Junos OS Evolved atribui usuários autenticados remotamente à remote conta modelo quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

Neste exemplo, você cria a remote conta modelo e define o nome de usuário e remote a classe de login para o usuário como operator. O dispositivo atribui o remote modelo a usuários que são autenticados pelo RADIUS ou TACACS+ mas que não têm uma conta de usuário local ou pertencem a uma conta modelo local diferente.

Em seguida, você cria uma conta modelo local e define o nome de usuário como administrador e a classe de login como superusuário. Você usa contas de modelo locais quando precisa atribuir usuários autenticados remotamente a diferentes aulas de login. Assim, cada modelo pode conceder um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo de usuário.

Configuração

Crie uma conta modelo remota

Procedimento passo a passo

Para criar a remote conta modelo:

  • Definir o nome de usuário e a aula de login para o remote usuário.

Resultados

No modo de configuração, confirme sua configuração inserindo o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Crie uma conta de modelo local

Procedimento passo a passo

Para criar uma conta de modelo local:

  1. Definir o nome de usuário e a classe de login para o modelo de usuário.

Resultados

No modo de configuração, confirme sua configuração inserindo o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Nota:

Para configurar completamente a autenticação RADIUS ou TACACS+, você deve configurar pelo menos um servidor RADIUS ou TACACS+ e especificar uma ordem de autenticação do sistema. Para obter mais informações, veja as seguintes tarefas:

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a criação de contas modelo

Propósito

Verifique se as contas modelo foram criadas.

Ação

No modo operacional, entre no show system login comando.

O que são servidores de autenticação remota?

Você provavelmente já usa um servidor de autenticação remota (ou servidores) em sua rede. Usar esses servidores é uma prática recomendada, pois eles permitem que você crie um conjunto consistente de contas de usuário centralmente para todos os dispositivos da sua rede. Gerenciar contas de usuário é muito mais fácil quando você usa servidores de autenticação remota para implementar uma solução de autenticação, autorização e prestação de contas (AAA) em sua rede.

A maioria das empresas usa um ou mais dos três métodos básicos de autenticação remota: LDAPS, RADIUS e TACACS+. O Junos OS Evolved oferece suporte a RADIUS e TACACS+, e você pode configurar o Junos OS Evolved para consultar qualquer tipo de servidor de autenticação remota. A ideia por trás de um servidor RADIUS ou TACACS+ é simples: cada um age como um servidor de autenticação central que roteadores, switches, dispositivos de segurança e servidores podem usar para autenticar os usuários enquanto tentam acessar esses sistemas. Pense nas vantagens que um diretório central de usuários oferece para a auditoria de autenticação e controle de acesso em um modelo cliente/servidor. Os métodos de autenticação RADIUS e TACACS+ oferecem vantagens comparáveis para sua infraestrutura de rede.

Usar um servidor central tem várias vantagens sobre a alternativa de criar usuários locais em cada dispositivo, uma tarefa demorada e propensa a erros. Um sistema central de autenticação também simplifica o uso de sistemas de senha única, como o SecureID, que oferecem proteção contra ataques de sniffing de senha e repetição de senha. Nesses ataques, alguém pode usar uma senha capturada para se passar por administrador de sistema.

  • RADIUS — Você deve usar o RADIUS quando suas prioridades são a interoperabilidade e o desempenho.

    • Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Embora o TACACS+ ofereça mais protocolos, o RADIUS tem suporte universal.

    • Desempenho — O RADIUS é muito mais leve em seus roteadores e switches do que o TACACS+. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS em vez do TACACS+.

  • TACACS+— Você deve usar o TACACS+ quando suas prioridades são segurança e flexibilidade.

    • Segurança — O TACACS+ é mais seguro que o RADIUS. Não só a sessão completa é criptografada, mas a autorização e a autenticação são feitas separadamente para impedir que qualquer pessoa tente forçar sua entrada em sua rede.

    • Flexibilidade — O protocolo de controle de transmissão (TCP) é um protocolo de transporte mais flexível do que o UDP. Você pode fazer mais com o TCP em redes mais avançadas. Além disso, o TACACS+ oferece suporte a mais protocolos empresariais, como o NetBIOS.