Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral da autenticação de usuário

O Junos OS Evolved oferece suporte a diferentes métodos de autenticação que você (o administrador da rede) usa para controlar o acesso do usuário à rede. Esses métodos incluem autenticação de senha local, RADIUS e TACACS+. Você usa um desses métodos de autenticação para validar usuários e dispositivos que tentam acessar o roteador ou switch usando SSH e Telnet. A autenticação impede que dispositivos e usuários não autorizados obtenham acesso à sua LAN.

Métodos de autenticação de usuário

O Junos OS Evolved oferece suporte a três métodos de autenticação do usuário: autenticação de senha local, RADIUS e TACACS+.

Com a autenticação de senha local, você configura uma senha para cada usuário autorizado a fazer login no roteador ou switch.

RADIUS e TACACS+ são métodos de autenticação para validar usuários que tentam acessar o roteador ou switch usando qualquer um dos métodos de login. Eles são sistemas cliente/servidor distribuídos — os clientes RADIUS e TACACS+ são executados no roteador ou switch, e o servidor é executado em um sistema de rede remoto.

Você pode configurar o roteador ou switch para ser um cliente RADIUS ou TACACS+, ou ambos. Você também pode configurar senhas de autenticação no arquivo de configuração do Junos OS Evolved. Você pode priorizar os métodos para configurar a ordem na qual o software tenta os diferentes métodos de autenticação ao verificar o acesso do usuário.

Configurar Contas modelo de usuário local para autenticação de usuário

Você usa contas de modelo de usuário local para atribuir diferentes classes de logon e, assim, conceder permissões diferentes a usuários autenticados por meio de um servidor de autenticação remoto. Cada modelo pode definir um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo. Você define os modelos localmente no roteador ou switch, e os servidores de autenticação TACACS+ e RADIUS fazem referência aos modelos. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, a propriedade do arquivo e o ID de usuário efetivo da conta modelo.

Quando você configura modelos de usuário local e um usuário faz login, o Junos OS Evolved emite uma solicitação ao servidor de autenticação para autenticar o nome de login do usuário. Se o usuário estiver autenticado, o servidor retornará o nome de usuário local para o Junos OS Evolved (local-user-name para TACACS+ e Juniper-Local-User-Name para RADIUS). O Junos OS Evolved determina se um nome de usuário local é especificado para esse nome de login e, em caso afirmativo, o Junos OS Evolved atribui o usuário a esse modelo de usuário local. Se não existir um modelo de usuário local para o usuário autenticado, o dispositivo atribuirá o usuário ao remote modelo, se configurado.

Para configurar um modelo de usuário local, defina o nome de usuário do modelo no nível da [edit system login] hierarquia. Atribua uma classe para especificar os privilégios que você deseja conceder aos usuários locais aos quais o modelo se aplica:

Para atribuir um usuário ao modelo de usuário local, configure o servidor de autenticação remota com o parâmetro apropriado (local-user-name para TACACS+ e Juniper-Local-User-Name para RADIUS) e especifique o nome de usuário definido para o modelo de usuário local. Para configurar diferentes privilégios de acesso para usuários que compartilham a conta de modelo de usuário local, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.

Este exemplo configura os sales modelos e engineering de usuário no dispositivo local. O arquivo de configuração do servidor TACACS+ atribui usuários a modelos específicos.

Quando os usuários Simon e Rob são autenticados, o roteador ou switch aplica o modelo de sales usuário local. Quando os usuários de login Harold e Jim são autenticados, o roteador ou switch aplica o modelo de engineering usuário local.

Configurar Contas modelo de usuário remoto para autenticação de usuário

O dispositivo de rede pode mapear usuários autenticados remotamente para uma conta de usuário definida localmente ou uma conta de modelo de usuário, que determina a autorização. A remote conta de modelo é um modelo de usuário especial. Por padrão, o remote Junos OS Evolved atribui usuários autenticados remotamente à conta de modelo, se configurada, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

Para configurar a conta de remote modelo, inclua a user remote instrução no nível de [edit system login] hierarquia e especifique a classe de login para os usuários atribuídos ao remote modelo:

Para configurar diferentes privilégios de acesso para usuários que compartilham a remote conta de modelo, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.

Exemplo: Criar Contas modelo

Este exemplo mostra como criar contas modelo.

Requerimentos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Você pode criar contas de modelo que são compartilhadas por um conjunto de usuários quando estiver usando a autenticação RADIUS ou TACACS+. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, a propriedade do arquivo e o ID de usuário efetivo da conta modelo.

Por padrão, o Junos OS Evolved atribui usuários autenticados remotamente à remote conta modelo quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

Neste exemplo, você cria a remote conta modelo e define o nome de usuário e remote a classe de logon para o usuário como operator. O dispositivo atribui o remote modelo a usuários autenticados por RADIUS ou TACACS+, mas que não têm uma conta de usuário local ou pertencem a uma conta de modelo local diferente.

Em seguida, você cria uma conta de modelo local e define o nome de usuário como admin e a classe de login como superusuário. Você usa contas de modelo locais quando precisa atribuir usuários autenticados remotamente a diferentes classes de logon. Assim, cada modelo pode conceder um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo de usuário.

Configuração

Criar uma conta de modelo remota

Procedimento passo a passo

Para criar a remote conta modelo:

  • Defina o nome de usuário e a classe de login para o remote usuário.

Resultados

No modo de configuração, confirme sua configuração digitando o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Criar uma conta modelo local

Procedimento passo a passo

Para criar uma conta de modelo local:

  1. Defina o nome de usuário e a classe de login para o modelo de usuário.

Resultados

No modo de configuração, confirme sua configuração digitando o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Observação:

Para configurar completamente a autenticação RADIUS ou TACACS+, você deve configurar pelo menos um servidor RADIUS ou TACACS+ e especificar uma ordem de autenticação do sistema. Para obter mais informações, consulte as seguintes tarefas:

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar a criação de Contas modelo

Finalidade

Verifique se as contas modelo foram criadas.

Ação

No modo operacional, insira o show system login comando.

O que são servidores de autenticação remota?

Você provavelmente já usa um servidor (ou servidores) de autenticação remota em sua rede. Usar esses servidores é uma prática recomendada, pois eles permitem que você crie um conjunto consistente de contas de usuário centralmente para todos os dispositivos em sua rede. O gerenciamento de contas de usuário é muito mais fácil quando você usa servidores de autenticação remotos para implementar uma solução de autenticação, autorização e responsabilidade (AAA) em sua rede.

A maioria das empresas usa um ou mais dos três métodos básicos de autenticação remota: LDAPS, RADIUS e TACACS+. O Junos OS Evolved oferece suporte a RADIUS e TACACS+, e você pode configurar o Junos OS Evolved para consultar qualquer tipo de servidor de autenticação remota. A ideia por trás de um servidor RADIUS ou TACACS+ é simples: cada um atua como um servidor de autenticação central que roteadores, switches, dispositivos de segurança e servidores podem usar para autenticar usuários enquanto eles tentam acessar esses sistemas. Pense nas vantagens que um diretório central de usuários oferece para auditorias de autenticação e controle de acesso em um modelo cliente/servidor. Os métodos de autenticação RADIUS e TACACS+ oferecem vantagens comparáveis para sua infraestrutura de rede.

O uso de um servidor central tem várias vantagens sobre a alternativa de criar usuários locais em cada dispositivo, uma tarefa demorada e sujeita a erros. Um sistema de autenticação central também simplifica o uso de sistemas de senha de uso único, como o SecureID, que oferecem proteção contra ataques de detecção e reprodução de senha. Nesses ataques, alguém pode usar uma senha capturada para se passar por administrador do sistema.

  • RADIUS — Você deve usar RADIUS quando suas prioridades são interoperabilidade e desempenho.

    • Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Enquanto o TACACS+ oferece suporte a mais protocolos, o RADIUS é universalmente suportado.

    • Desempenho — o RADIUS é muito mais leve em seus roteadores e switches do que o TACACS+. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS ao TACACS+.

  • TACACS+— Você deve usar o TACACS+ quando suas prioridades forem segurança e flexibilidade.

    • Segurança — TACACS+ é mais seguro que RADIUS. Não apenas a sessão completa é criptografada, mas a autorização e a autenticação são feitas separadamente para evitar que alguém tente forçar a entrada em sua rede.

    • Flexibilidade — o TCP (Transmission Control Protocol) é um protocolo de transporte mais flexível do que o UDP. Você pode fazer mais com o TCP em redes mais avançadas. Além disso, o TACACS+ oferece suporte a mais protocolos corporativos, como o NetBIOS.