Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação RADIUS

O Junos OS Evolved oferece suporte ao RADIUS para autenticação central dos usuários em dispositivos de rede. Para usar a autenticação RADIUS no dispositivo, você (o administrador de rede) deve configurar informações sobre um ou mais servidores RADIUS na rede. Você também pode configurar a contabilidade RADIUS no dispositivo para coletar dados estatísticos sobre os usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade RADIUS.

Configure a autenticação do servidor RADIUS

A autenticação RADIUS é um método de autenticação de usuários que tentam acessar um dispositivo de rede. As seções a seguir descrevem por que você usaria o RADIUS e como configurá-lo.

Por que usar o RADIUS

Você (o administrador de rede) pode usar diferentes protocolos para a autenticação central dos usuários em dispositivos de rede, incluindo RADIUS e TACACS+. Recomendamos o RADIUS porque é um padrão IETF de vários fornecedores e seus recursos são mais amplamente aceitos do que os do TACACS+ ou outros sistemas proprietários. Além disso, recomendamos usar um sistema de senha única para aumentar a segurança, e todos os fornecedores desses sistemas oferecem suporte ao RADIUS.

Você deve usar o RADIUS quando suas prioridades são a interoperabilidade e o desempenho:

  • Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Embora o TACACS+ ofereça mais protocolos, o RADIUS tem suporte universal.

  • Desempenho — O RADIUS é muito mais leve em seus roteadores e switches. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS em vez do TACACS+.

Configure os detalhes do servidor RADIUS

Para usar a autenticação RADIUS no dispositivo, configure informações sobre um ou mais servidores RADIUS na rede, incluindo uma radius-server declaração no nível de [edit system] hierarquia para cada servidor RADIUS. O dispositivo consulta os servidores RADIUS na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O dispositivo de rede pode mapear usuários autenticados pelo RADIUS para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. Por padrão, o Junos OS Evolved atribui usuários autenticados por RADIUS à conta remotedo modelo de usuário, se configurado, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor RADIUS não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

O servidor RADIUS pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e ID de usuário eficaz do modelo atribuído. Se o usuário autenticado pelo RADIUS não mapear para nenhuma conta de usuário ou modelo de usuário definido localmente, e o remote modelo não estiver configurado, a autenticação falhará.

Nota:

O remote nome de usuário é um caso especial no Junos OS Evolved e deve ser sempre minúscula. Ele atua como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. O Junos OS Evolved aplica as permissões do modelo a remote esses usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote modelo estão na mesma classe de login.

Como você configura a autenticação remota em vários dispositivos, é comum configurá-la dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global. Usar um grupo de configuração é opcional.

Para configurar a autenticação por um servidor RADIUS:

  1. Configure o endereço IPv4 ou o endereço IPv6 do servidor de autenticação RADIUS.

    Por exemplo:

  2. (Opcional) Configure o endereço fonte do pacote para solicitações enviadas ao servidor RADIUS.

    Por exemplo:

    O endereço de origem é um endereço IPv4 válido ou endereço IPv6 configurado em uma das interfaces de roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor RADIUS, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor RADIUS. Fazer isso define um endereço fixo como o endereço fonte para pacotes de IP gerados localmente.

  3. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor RADIUS.

    A senha configurada deve combinar com a senha configurada no servidor RADIUS. Se a senha contém espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta em que entrar em contato com o servidor RADIUS, se diferente do padrão.

    A porta padrão é 1812 (conforme especificado na RFC 2865).

    Por exemplo:

    Nota:

    Você também pode configurar a accounting-port declaração para especificar em qual porta de servidor RADIUS enviar pacotes de contabilidade. O padrão é 1813 (conforme especificado no RFC 2866).

  5. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com o servidor RADIUS e o tempo que o dispositivo espera para receber uma resposta do servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e espera três segundos. Você pode configurar o retry valor de 1 a 100 vezes e o timeout valor de 1 a 1000 segundos.

    Por exemplo, entre em contato com um servidor RADIUS 2 vezes e aguarde 10 segundos por uma resposta:

  6. Especifique a ordem de autenticação e inclua a opção radius .

    No exemplo a seguir, sempre que um usuário tenta fazer login, o Junos OS Evolved consulta primeiro o servidor RADIUS para autenticação. Se isso falhar, ele consulta o servidor TACACS+. Se isso falhar, ele tenta autenticação com contas de usuário configuradas localmente.

  7. Atribua uma aula de login a usuários autenticados pelo RADIUS que não têm uma conta de usuário definida localmente.

    Você configura uma conta modelo de usuário da mesma forma que uma conta de usuário local, exceto que você não configura uma senha de autenticação local porque o servidor RADIUS autentica o usuário.

    • Para usar as mesmas permissões para todos os usuários autenticados pelo RADIUS, configure o modelo do remote usuário.

      Por exemplo:

    • Para usar diferentes aulas de login para diferentes usuários autenticados por RADIUS, concedendo-lhes diferentes permissões:

      1. Crie vários modelos de usuário na configuração do Junos OS Evolved . Por exemplo:

      2. Configure o servidor RADIUS para mapear o usuário autenticado para o modelo de usuário apropriado.

        Defina o nome do usuário local juniper Juniper VSA (atributo específico do fornecedor) (Fornecedor 2636, tipo 1, string) para o nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou SU. O servidor RADIUS inclui o atributo na mensagem RADIUS Access-Accept. A autenticação falha se o dispositivo não puder atribuir um usuário a uma conta de usuário local ou modelo de usuário, e o remote modelo de usuário não estiver configurado.

Configure o RADIUS para usar a instância de gerenciamento

Por padrão, o Junos OS Evolved roteia pacotes de autenticação, autorização e contabilidade para RADIUS por meio da instância de roteamento padrão. Você também pode rotear pacotes RADIUS por uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear pacotes RADIUS pela mgmt_junos instância de gerenciamento:

  1. Habilite a instância de mgmt_junos gerenciamento.

  2. Configure a routing-instance mgmt_junos declaração para o servidor de autenticação RADIUS e o servidor de contabilidade RADIUS, se configurado.

Exemplo: configure um servidor RADIUS para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um servidor RADIUS.

Requisitos

Antes de começar:

  • Execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.

  • Configure pelo menos um servidor RADIUS em sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor RADIUS com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor RADIUS como Radiussecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço fonte que o dispositivo usa em solicitações de servidor RADIUS. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte para vários métodos de autenticação de usuários, como a autenticação local de senhas, RADIUS e TACACS+, no dispositivo de rede, Quando você configura vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação RADIUS primeiro e, em seguida, se isso falhar, para tentar a autenticação de senha local.

Um usuário autenticado pelo RADIUS deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, que determina a autorização. Por padrão, se um usuário autenticado por RADIUS não mapear para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do remote usuário, se configurado. Este exemplo configura o modelo do remote usuário.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

Para configurar um servidor RADIUS para autenticação do sistema:

  1. Adicione um novo servidor RADIUS e defina seu endereço IP.

  2. Especifique o segredo compartilhado (senha) do servidor RADIUS.

  3. Especifique o endereço de loopback do dispositivo como endereço fonte.

  4. Especifique a ordem de autenticação do dispositivo e inclua a opção radius .

  5. Configure o modelo de remote usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração inserindo o show system comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas aquelas partes da hierarquia de configuração que são relevantes para este exemplo.

Após a configuração do dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração do servidor RADIUS

Propósito

Verifique se o servidor RADIUS autentica os usuários.

Ação

Faça login no dispositivo de rede e verifique se o login é bem-sucedido. Para verificar se o dispositivo usa o servidor RADIUS para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.

Atributos RADIUS específicos do fornecedor da Juniper Networks

O Junos OS Evolved oferece suporte à configuração de atributos específicos (VSAs) do fornecedor RADIUS da Juniper Networks no servidor RADIUS. Esses VSAs são encapsulados em um atributo específico do fornecedor RADIUS com o conjunto de ID do fornecedor para o número de ID da Juniper Networks, 2636.

A Tabela 1 lista os VSAs da Juniper Networks que você pode configurar.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Para obter mais informações, veja:

Tabela 1: Atributos RADIUS específicos do fornecedor da Juniper Networks

Nome

Descrição

Tipo

Comprimento

Corda

Nome do usuário local da Juniper

Indica o nome do modelo de usuário atribuído a este usuário quando o usuário faz login em um dispositivo. Este atributo é usado apenas em pacotes de aceitação de acesso.

1

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Juniper-Allow-Commands

Contém uma expressão regular estendida que permite ao usuário executar comandos, além desses comandos autorizados pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

2

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Comandos Juniper-Deny

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

3

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Configuração de permitir a Juniper

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

4

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Configuração da Juniper-Deny

Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

5

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Comando interativo da Juniper

Indica o comando interativo inserido pelo usuário. Este atributo é usado apenas em pacotes de solicitação de contabilidade.

8

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Mudança de configuração da Juniper

Indica o comando interativo que resulta em uma mudança de configuração (banco de dados). Este atributo é usado apenas em pacotes de solicitação de contabilidade.

9

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Permissões do usuário da Juniper

Contém informações que o servidor usa para especificar permissões do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

Nota:

Quando o servidor RADIUS define o Juniper-User-Permissions atributo para conceder a maintenance permissão ou all permissão a um usuário, a lista de membros do grupo do usuário não inclui automaticamente o grupo de rodas UNIX. Algumas operações, como executar o su root comando de uma concha local, exigem permissões de associação de grupos de rodas. No entanto, quando o dispositivo de rede define uma conta de usuário local com as permissões maintenance ou all, o usuário é automaticamente concedido a associação ao grupo de rodas UNIX. Por isso, recomendamos que você crie uma conta modelo de usuário com as permissões necessárias e associe contas de usuário individuais com a conta modelo do usuário.

10

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

A corda é uma lista de bandeiras de permissão separadas por um espaço. O nome exato de cada bandeira deve ser especificado em sua totalidade.

Veja a visão geral dos níveis de privilégio de acesso.

Tipo de autenticação da Juniper

Indica o método de autenticação (banco de dados local ou servidor RADIUS) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostra "local". Se o usuário for autenticado usando um radius ou servidor LDAP, o valor do atributo mostra "remoto".

11

≥5

Um ou mais octets contendo caracteres ASCII imprimíveis.

Juniper-Session-Port

Indica o número de porta de origem da sessão estabelecida.

12

tamanho de inteiro

Inteiro

Juniper-Allow-Configuration-Regexps
(SOMENTE RADIUS)

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

13

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Deny-Configuration-Regexps
(SOMENTE RADIUS)

Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

14

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Para obter mais informações sobre os VSAs, consulte RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Use expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos

O Junos OS Evolved pode mapear usuários autenticados em RADIUS e TACACS+em uma conta de usuário ou conta modelo de usuário definida localmente, que define os privilégios de acesso do usuário. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo os atributos específicos de fornecedor (VSAs) da Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode visualizar e modificar. Uma aula de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou visualizar e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma aula de login pode incluir as seguintes declarações para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar os VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para a lista de VSAs RADIUS e TACACS+ suportados, veja o seguinte:

Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.

  • Um servidor RADIUS usa o seguinte atributo e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa o seguinte atributo e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Os servidores RADIUS e TACACS+ também oferecem suporte à configuração de atributos que correspondem às mesmas *-regexps declarações que você pode configurar no dispositivo local. Os *-regexps atributos TACACS+ e os *-Regexps atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem que você configure expressões regulares com variáveis.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada onde você especifica cada expressão individual em uma linha separada.

Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:

Nota:
  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n 0 devem ser únicos, mas não precisam ser sequenciais. Por exemplo, a seguinte sintaxe é válida:

  • O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.

  • Quando você emite o show cli authorization comando, a saída de comando exibe a expressão regular em uma única linha, mesmo se você especificar cada expressão individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração emitindo o comando do show cli authorization modo operacional.

Nota:

Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contém um erro de sintaxe, o resultado geral é uma expressão regular inválida.

Entendendo a contabilidade RADIUS

Os dispositivos de rede oferecem suporte a IETF RFC 2866, Contabilidade RADIUS. Você pode configurar a contabilidade RADIUS em um dispositivo para coletar dados estatísticos sobre usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade RADIUS. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso, ou cobrança de um usuário com base na duração da sessão ou tipo de serviços acessados.

Para configurar a contabilidade RADIUS, especifique:

  • Um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do dispositivo

  • O tipo de dados contábeis a serem coletados

Você pode usar o mesmo servidor para contabilidade e autenticação RADIUS, ou pode usar servidores separados. Você pode especificar uma lista de servidores de contabilidade RADIUS. O dispositivo consulta os servidores na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O processo de contabilidade RADIUS entre o dispositivo e um servidor RADIUS funciona assim:

  1. Um servidor de contabilidade RADIUS ouve pacotes de protocolo de datagrama de usuário (UDP) em uma porta específica. A porta padrão para contabilidade RADIUS é de 1813.

  2. O dispositivo encaminha um pacote de solicitação de contabilidade contendo um registro de evento para o servidor de contabilidade. O registro de eventos associado a este suplicante contém um atributo do tipo Acct-Status cujo valor indica o início do serviço do usuário para este suplicante. Quando a sessão do suplicante termina, a solicitação de contabilidade contém um valor de atributo tipo Acct-Status indicando o fim do serviço do usuário. O servidor de contabilidade RADIUS registra isso como um registro de stop-accounting contendo informações da sessão e a duração da sessão.

  3. O servidor de contabilidade RADIUS registra esses eventos em um arquivo como registros de contabilidade inicial ou stop-accounting. No FreeRADIUS, o nome do arquivo é o endereço do servidor, como 192.0.2.0.

  4. O servidor de contabilidade envia um pacote de resposta a contabilidade para o dispositivo confirmando que recebeu a solicitação de contabilidade.

  5. Se o dispositivo não receber um pacote de resposta contabilidade do servidor, ele continua a enviar solicitações de contabilidade até que o servidor devolva uma resposta.

Você pode ver as estatísticas coletadas por esse processo no servidor RADIUS. Para ver essas estatísticas, acesse o arquivo de log configurado para recebê-las.

Configure a contabilidade do sistema RADIUS

Quando você habilita a contabilidade RADIUS, os dispositivos da Juniper Networks, atuando como clientes RADIUS, podem notificar o servidor RADIUS sobre atividades do usuário, como logins de software, mudanças de configuração e comandos interativos. A estrutura para a contabilidade RADIUS é descrita em RFC 2866, Radius Accounting.

Configure a auditoria dos eventos do usuário em um servidor RADIUS

Para configurar a contabilidade RADIUS:

  1. Configure os eventos para auditoria.

    Por exemplo:

    events pode incluir um ou mais dos seguintes:

    • login— Logins de auditoria

    • change-log— Mudanças na configuração da auditoria

    • interactive-commands— Audite comandos interativos (qualquer entrada de linha de comando)

  2. Habilite a contabilidade RADIUS.
  3. Configure o endereço para um ou mais servidores de contabilidade RADIUS.

    Por exemplo:

    Nota:

    Se você não configurar nenhum servidor RADIUS no nível de [edit system accounting destination radius] hierarquia, o dispositivo usará os servidores RADIUS configurados no nível de [edit system radius-server] hierarquia.

  4. (Opcional) Configure o endereço fonte para solicitações de contabilidade RADIUS.

    Por exemplo:

    O endereço de origem é um endereço IPv4 válido ou endereço IPv6 configurado em uma das interfaces de roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor RADIUS, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor RADIUS. Fazer isso define um endereço fixo como o endereço fonte para pacotes de IP gerados localmente.

  5. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor de contabilidade RADIUS.

    A senha configurada deve combinar com a senha configurada no servidor RADIUS. Se a senha contém espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique a porta do servidor de contabilidade RADIUS para enviar pacotes de contabilidade, se diferente do padrão (1813).
    Nota:

    Se você habilitar a contabilidade RADIUS no nível de [edit access profile profile-name accounting-order] hierarquia, a contabilidade é acionada na porta padrão de 1813, mesmo que você não especifique um valor para a accounting-port declaração.

  7. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com um servidor de contabilidade RADIUS e o tempo que o dispositivo espera para receber uma resposta de um servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e espera três segundos. Você pode configurar o retry valor de 1 a 100 vezes e o timeout valor de 1 a 1000 segundos.

    Por exemplo, entrar em contato com um servidor 2 vezes e esperar 10 segundos por uma resposta:

  8. (Opcional) Rotear pacotes de contabilidade RADIUS pela instância de gerenciamento não padrão em vez da instância de roteamento padrão, configure a routing-instance mgmt_junos declaração.
  9. (Opcional) Configure a enhanced-accounting declaração no nível de [edit system radius-options] hierarquia para incluir atributos de contabilidade adicionais, incluindo método de acesso, porta remota e privilégios de acesso, para eventos de login do usuário.
    Nota:

    Para limitar o número de valores de atributo para auditoria, configure a enhanced-avs-max <number> declaração no nível hierárquica [edit system accounting] .

O exemplo a seguir configura três servidores (10.5.5.5, 10.6.6.6 e 10.7.7.7) para contabilidade RADIUS: