Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Autenticação RADIUS

O Junos OS Evolved oferece suporte a RADIUS para autenticação central de usuários em dispositivos de rede. Para usar a autenticação RADIUS no dispositivo, você (o administrador da rede) deve configurar informações sobre um ou mais servidores RADIUS na rede. Você também pode configurar a contabilidade RADIUS no dispositivo para coletar dados estatísticos sobre os usuários que fazem login ou logout de uma LAN e enviar os dados para um servidor de contabilidade RADIUS.

Configurar a autenticação do servidor RADIUS

A autenticação RADIUS é um método de autenticação de usuários que tentam acessar um dispositivo de rede. As seções a seguir descrevem por que você usaria o RADIUS e como configurá-lo.

Por que usar o RADIUS

Você (o administrador da rede) pode usar diferentes protocolos para a autenticação central de usuários em dispositivos de rede, incluindo RADIUS e TACACS+. Recomendamos o RADIUS porque é um padrão IETF de vários fornecedores e seus recursos são mais amplamente aceitos do que os do TACACS+ ou outros sistemas proprietários. Além disso, recomendamos o uso de um sistema de senha de uso único para aumentar a segurança, e todos os fornecedores desses sistemas oferecem suporte ao RADIUS.

Você deve usar o RADIUS quando suas prioridades são interoperabilidade e desempenho:

  • Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Enquanto o TACACS+ oferece suporte a mais protocolos, o RADIUS é universalmente suportado.

  • Desempenho — o RADIUS é muito mais leve em seus roteadores e switches. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS ao TACACS+.

Configurar detalhes do servidor RADIUS

Para usar a autenticação RADIUS no dispositivo, configure informações sobre um ou mais servidores RADIUS na rede incluindo uma radius-server instrução no nível de [edit system] hierarquia para cada servidor RADIUS. O dispositivo consulta os servidores RADIUS na ordem em que estão configurados. Se o servidor primário (o primeiro configurado) não estiver disponível, o dispositivo tentará entrar em contato com cada servidor na lista até receber uma resposta.

O dispositivo de rede pode mapear usuários autenticados por RADIUS para uma conta de usuário definida localmente ou uma conta de modelo de usuário, que determina a autorização. Por padrão, o Junos OS Evolved atribui usuários autenticados por RADIUS à conta remotede modelo de usuário, se configurada, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor RADIUS não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

O servidor RADIUS pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, os privilégios de acesso e o ID de usuário efetivo do modelo atribuído. Se o usuário autenticado por RADIUS não for mapeado para nenhuma conta de usuário ou modelo de usuário definido localmente e o modelo não estiver configurado, a remote autenticação falhará.

Observação:

O remote nome de usuário é um caso especial no Junos OS Evolved e deve estar sempre em letras minúsculas. Ele atua como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. O Junos OS Evolved aplica as remote permissões do modelo aos usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote modelo estão na mesma classe de logon.

Como você configura a autenticação remota em vários dispositivos, é comum configurá-la dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global. O uso de um grupo de configuração é opcional.

Para configurar a autenticação por um servidor RADIUS:

  1. Configure o endereço IPv4 ou o endereço IPv6 do servidor de autenticação RADIUS.

    Por exemplo:

  2. (Opcional) Configure o endereço de origem do pacote para solicitações enviadas ao servidor RADIUS.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou endereço IPv6 válido configurado em uma das interfaces do roteador ou interfaces do switch. Se o dispositivo de rede tiver várias interfaces que podem acessar o servidor RADIUS, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor RADIUS. Isso define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  3. Configure a senha de segredo compartilhado que o dispositivo de rede usa para autenticar com o servidor RADIUS.

    A senha configurada deve corresponder à senha configurada no servidor RADIUS. Se a senha contiver espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta na qual entrar em contato com o servidor RADIUS, se diferente do padrão.

    A porta padrão é 1812 (conforme especificado no RFC 2865).

    Por exemplo:

    Observação:

    Você também pode configurar a accounting-port declaração para especificar para qual porta do servidor RADIUS enviar pacotes de contabilidade. O padrão é 1813 (conforme especificado no RFC 2866).
  5. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com o servidor RADIUS e a quantidade de tempo que o dispositivo aguarda para receber uma resposta do servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e aguarda três segundos. Você pode configurar o valor de 1 a retry 100 vezes e o timeout valor de 1 a 1000 segundos.

    Por exemplo, para entrar em contato com um servidor RADIUS 2 vezes e aguardar 10 segundos por uma resposta:

  6. Especifique a ordem de autenticação e inclua a radius opção.

    No exemplo a seguir, sempre que um usuário tenta fazer login, o Junos OS Evolved primeiro consulta o servidor RADIUS para autenticação. Se isso falhar, ele consulta o servidor TACACS+. Se isso falhar, ele tentará a autenticação com contas de usuário configuradas localmente.

  7. Configure se você deseja que o servidor RADIUS inclua o atributo Autenticador de Mensagem nas respostas às mensagens de Solicitação de Acesso.

    • O atributo Autenticador de Mensagem fornece proteção adicional contra ataques man-in-the-middle. Recomendamos que você habilite esse recurso. Para ativar esse recurso:

    • Para compatibilidade com versões anteriores com servidores RADIUS que não dão suporte a esse atributo, desabilite esse recurso da seguinte maneira:

    Observação:

    Essas configurações são mutuamente exclusivas. Recomendamos que você defina explicitamente um ou outro. Não confie nos padrões.
  8. Atribua uma classe de login a usuários autenticados por RADIUS que não tenham uma conta de usuário definida localmente.

    Você configura uma conta de modelo de usuário da mesma forma que uma conta de usuário local, exceto que você não configura uma senha de autenticação local porque o servidor RADIUS autentica o usuário.

    • Para usar as mesmas permissões para todos os usuários autenticados pelo RADIUS, configure o modelo de remote usuário.

      Por exemplo:

    • Para usar diferentes classes de login para diferentes usuários autenticados pelo RADIUS, concedendo a eles permissões diferentes:

      1. Crie vários modelos de usuário na configuração do Junos OS Evolved . Por exemplo:

      2. Configure o servidor RADIUS para mapear o usuário autenticado para o modelo de usuário apropriado.

        Defina o Juniper-Local-User-Name Juniper VSA (atributo específico do fornecedor) (Fornecedor 2636, tipo 1, cadeia de caracteres) como o nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou SU. O servidor RADIUS inclui o atributo na mensagem RADIUS Access-Accept. A autenticação falhará se o dispositivo não puder atribuir um usuário a uma conta de usuário local ou modelo de usuário e o remote modelo de usuário não estiver configurado.

Configurar RADIUS sobre TLS (RADSEC) para autenticação do sistema

O RADIUS over TLS (RADSEC) fornece comunicação segura e criptografada entre o dispositivo Junos e os servidores RADIUS para autenticação e contabilidade do sistema. O sistema usa APIs OpenSSL para estabelecer sessões SSL/TLS e realizar a validação de certificados.

Importante: Essa configuração se aplica à autenticação no nível do system sistema (acesso administrativo) na hierarquia. Para configuração de RADSEC para controle de acesso de rede, configure RADSEC access na hierarquia.

O RADSEC protege o tráfego de autenticação administrativa usando criptografia TLS na porta TCP 2083 (em vez das portas UDP 1812/1813). O RADSEC oferece suporte a dois modos de autenticação:

  • TLS unidirecional: O cliente verifica o certificado do servidor usando certificados de CA confiáveis.
  • TLS mútuo (mTLS): O cliente e o servidor se autenticam usando certificados.

Antes de começar:

Certifique-se do seguinte:

  • Certificados de CA estão disponíveis para validação do servidor
  • Os certificados de cliente estão disponíveis (necessários apenas para autenticação mútua)

Configurar certificados de CA:

Você pode copiar o arquivo e renomeá-lo para o assunto <hash>.0 em /var/tmp/certs/<trusted-ca-group>/. Como alternativa, você também pode criar um link simbólico com o assunto <hash>.0 abaixo /var/tmp/certs/<trusted-ca-group> e vinculá-lo ao arquivo de certificado real.

  1. Gere o hash do nome do assunto:
  2. Crie um link simbólico:
Observação:

Se houver mais de um arquivo CA com o mesmo valor de hash de nome de assunto, suas extensões deverão ser diferentes; Por exemplo, 'e5d93f80.1' e assim por diante. A pesquisa é realizada para saber como os números de ramal são ordenados de acordo.

Exemplo:

Configure certificados de cliente (somente autenticação mútua):

Para autenticação mútua, coloque o certificado do cliente e a chave privada em /var/tmp/certs/<certificate-id>/.

A pasta deve conter:

  • client.crt - Arquivo de certificado do cliente
  • client.key - Arquivo de chave privada do cliente

Exemplo:

Para configurar o RADSEC para autenticação do sistema:

  1. Configure o servidor de autenticação RADIUS com suporte a TLS.

    Para TLS unidirecional (autenticação somente servidor):

    Para TLS mútuo (autenticação bidirecional):

    Exemplo:

  2. (Opcional) Configure o servidor de contabilidade RADIUS com suporte a TLS.

    Para TLS unidirecional:

    Para TLS mútuo:

    Exemplo:

  3. Configure a ordem de autenticação.
  4. Configure o modelo de usuário remoto.
  5. Verifique a configuração.
  6. Comprometa a configuração.

O exemplo a seguir mostra uma configuração RADSEC completa com autenticação mútua:

Verificação:

Faça login no dispositivo de rede e verifique a autenticação bem-sucedida. Para confirmar se o RADSEC está funcionando, tente fazer login com uma conta que não tenha uma senha local configurada.

Parâmetros de configuração:

  • trusted-ca-group— Nome do grupo de CA confiável correspondente à pasta que contém certificados de CA em /var/tmp/certs/. O OpenSSL usa esses certificados de CA para validar o certificado do servidor RADIUS.
  • certificate-id— Identificador de certificado correspondente à pasta que contém o certificado do cliente e a chave privada em /var/tmp/certs/. Necessário para autenticação mútua.

Configurar o RADIUS para usar a instância de gerenciamento

Por padrão, o Junos OS Evolved roteia pacotes de autenticação, autorização e contabilidade para o RADIUS por meio da instância de roteamento padrão. Você também pode rotear pacotes RADIUS por meio de uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear pacotes RADIUS pela mgmt_junos instância de gerenciamento:

  1. Habilite a mgmt_junos instância de gerenciamento.

  2. Configure a routing-instance mgmt_junos declaração para o servidor de autenticação RADIUS e o servidor de contabilidade RADIUS, se configurado.

Exemplo: configurar um servidor RADIUS para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um servidor RADIUS.

Requerimentos

Antes de começar:

  • Execute a configuração inicial do dispositivo. Consulte o Guia de introdução do seu dispositivo.

  • Configure pelo menos um servidor RADIUS em sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor RADIUS com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor RADIUS como Radiussecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço de origem que o dispositivo usa nas solicitações do servidor RADIUS. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte para vários métodos de autenticação de usuário, como autenticação de senha local, RADIUS e TACACS+, no dispositivo de rede, Ao configurar vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação RADIUS primeiro e, em seguida, se isso falhar, para tentar a autenticação de senha local.

Um usuário autenticado por RADIUS deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário autenticado por RADIUS não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo de remote usuário, se configurado. Este exemplo configura o remote modelo de usuário.

Configuração

Tramitação processual

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.

Procedimento passo a passo

Para configurar um servidor RADIUS para autenticação do sistema:

  1. Adicione um novo servidor RADIUS e defina seu endereço IP.

  2. Especifique o segredo compartilhado (senha) do servidor RADIUS.

  3. Especifique o endereço de loopback do dispositivo como o endereço de origem.

  4. Especifique a ordem de autenticação do dispositivo e inclua a radius opção.

  5. Configure o modelo de remote usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração digitando o show system comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas as partes da hierarquia de configuração que são relevantes para este exemplo.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração do servidor RADIUS

Finalidade

Verifique se o servidor RADIUS autentica usuários.

Ação

Faça login no dispositivo de rede e verifique se o login foi bem-sucedido. Para verificar se o dispositivo usa o servidor RADIUS para autenticação, você pode tentar fazer login com uma conta que não defina uma senha de autenticação local na configuração.

Atributos RADIUS específicos do fornecedor da Juniper Networks

O Junos OS Evolved suporta a configuração de atributos específicos do fornecedor (VSAs) RADIUS da Juniper Networks no servidor RADIUS. Esses VSAs são encapsulados em um atributo específico do fornecedor RADIUS com o ID do fornecedor definido como o número de ID da Juniper Networks, 2636.

A Tabela 1 lista os VSAs da Juniper Networks que você pode configurar.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres curinga, coloque-a entre aspas. Para obter mais informações, consulte:

Tabela 1: Atributos RADIUS específicos do fornecedor da Juniper Networks

Nome

Descrição

Digite

Comprimento

Sequência

Nome de usuário local da Juniper

Indica o nome do modelo de usuário atribuído a esse usuário quando o usuário faz login em um dispositivo. Esse atributo é usado somente em pacotes de aceitação de acesso.

1

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-Permitir-Comandos

Contém uma expressão regular estendida que permite ao usuário executar comandos além dos comandos autorizados pelos bits de permissão da classe de login do usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

2

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-deny-commands

Contém uma expressão regular estendida que nega ao usuário permissão para executar comandos autorizados pelos bits de permissão da classe de login do usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

3

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Configuração de permissão da Juniper

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar instruções de configuração, além das instruções autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

4

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Configuração de negação da Juniper

Contém uma expressão regular estendida que nega ao usuário permissão para visualizar ou modificar instruções de configuração autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

5

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Interactive-Command

Indica o comando interativo inserido pelo usuário. Esse atributo é usado somente em pacotes de solicitação de contabilidade.

8

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-Configuração-Change

Indica o comando interativo que resulta em uma alteração de configuração (banco de dados). Esse atributo é usado somente em pacotes de solicitação de contabilidade.

9

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-User-Permissions

Contém informações que o servidor usa para especificar permissões de usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

Observação:

Quando o servidor RADIUS define o Juniper-User-Permissions atributo para conceder a maintenance permissão ou all permissão a um usuário, a lista de associações de grupo do usuário não inclui automaticamente o grupo wheel UNIX. Algumas operações, como executar o su root comando de um shell local, exigem permissões de associação de grupo de rodas. No entanto, quando o dispositivo de rede define uma conta de usuário local com as permissões maintenance ou all, o usuário recebe automaticamente a associação ao grupo de rodas do UNIX. Portanto, recomendamos que você crie uma conta de modelo de usuário com as permissões necessárias e associe contas de usuário individuais à conta de modelo de usuário.

10

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

A cadeia de caracteres é uma lista de sinalizadores de permissão separados por um espaço. O nome exato de cada bandeira deve ser especificado em sua totalidade.

Veja .. /conceito/.. /topic-map/junos-os-access-privileges.html#id-understanding-junos-os-access-privilege-levels.

Juniper-Authentication-Type

Indica o método de autenticação (banco de dados local ou servidor RADIUS) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostrará 'local'. Se o usuário for autenticado usando um servidor RADIUS ou LDAP, o valor do atributo mostrará 'remoto'.

11

≥5

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-Session-Port

Indica o número da porta de origem da sessão estabelecida.

12

tamanho do inteiro

Inteiro

Juniper-Allow-Configuration-Regexps
(apenas RADIUS)

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar instruções de configuração, além das instruções autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

13

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-deny-configuration-regexps
(apenas RADIUS)

Contém uma expressão regular estendida que nega ao usuário permissão para visualizar ou modificar instruções de configuração autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado somente em pacotes de aceitação de acesso.

14

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Para obter mais informações sobre os VSAs, consulte RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Usar expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos

O Junos OS Evolved pode mapear usuários autenticados por RADIUS e TACACS+ para uma conta de usuário definida localmente ou uma conta de modelo de usuário, que define os privilégios de acesso do usuário. Opcionalmente, você também pode configurar os privilégios de acesso de um usuário definindo os atributos específicos do fornecedor (VSAs) RADIUS e TACACS+ da Juniper Networks no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e modo de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode exibir e modificar. Uma classe de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou exibir e modificar certas áreas da configuração, além do que os sinalizadores de permissão autorizam. Uma classe de login pode incluir as seguintes instruções para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar os VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para obter a lista de VSAs RADIUS e TACACS+ suportados, consulte o seguinte:

Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.

  • Um servidor RADIUS usa o seguinte atributo e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa o seguinte atributo e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você coloca vários comandos ou hierarquias de configuração entre parênteses e os separa usando um símbolo de barra vertical. Se a expressão regular contiver espaços, operadores ou caracteres curinga, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Os servidores RADIUS e TACACS+ também oferecem suporte à configuração de atributos que correspondem às mesmas *-regexps declarações que você pode configurar no dispositivo local. Os *-regexps atributos TACACS+ e os *-Regexps atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem que você configure expressões regulares com variáveis.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada em que você especifica cada expressão individual em uma linha separada.

Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:

Observação:

  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n Por exemplo, a seguinte sintaxe é válida:

  • O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regular individuais.

  • Quando você emite o show cli authorization comando, a saída do comando exibe a expressão regular em uma única linha, mesmo que você especifique cada expressão individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração emitindo o comando de show cli authorization modo operacional.

Observação:

Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contiver um erro de sintaxe, o resultado geral será uma expressão regular inválida.

Entendendo a contabilidade RADIUS

Os dispositivos de rede oferecem suporte a IETF RFC 2866, RADIUS Accounting. Você pode configurar a contabilidade RADIUS em um dispositivo para coletar dados estatísticos sobre usuários que fazem login ou logout de uma LAN e enviar os dados para um servidor de contabilidade RADIUS. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso ou cobrança de um usuário com base na duração da sessão ou no tipo de serviço acessado.

Para configurar a contabilidade RADIUS, especifique:

  • Um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do dispositivo

  • O tipo de dados contábeis a serem coletados

Você pode usar o mesmo servidor para contabilidade e autenticação RADIUS ou pode usar servidores separados. Você pode especificar uma lista de servidores de contabilidade RADIUS. O dispositivo consulta os servidores na ordem em que estão configurados. Se o servidor primário (o primeiro configurado) não estiver disponível, o dispositivo tentará entrar em contato com cada servidor na lista até receber uma resposta.

O processo de contabilidade RADIUS entre o dispositivo e um servidor RADIUS funciona assim:

  1. Um servidor de contabilidade RADIUS escuta pacotes do Protocolo de datagrama de usuário (UDP) em uma porta específica. A porta padrão para contabilidade RADIUS é 1813.

  2. O dispositivo encaminha um pacote de solicitação de contabilidade contendo um registro de evento para o servidor de contabilidade. O registro de evento associado a esse suplicante contém um atributo Acct-Status-Type cujo valor indica o início do serviço do usuário para esse suplicante. Quando a sessão do suplicante termina, a solicitação de contabilidade contém um valor de atributo Acct-Status-Type indicando o fim do serviço do usuário. O servidor de contabilidade RADIUS registra isso como um registro de interrupção de contabilidade contendo informações da sessão e a duração da sessão.

  3. O servidor de contabilidade RADIUS registra esses eventos em um arquivo como registros de contabilidade inicial ou de encerramento. No FreeRADIUS, o nome do arquivo é o endereço do servidor, como 192.0.2.0.

  4. O servidor de contabilidade envia um pacote de resposta de contabilidade ao dispositivo confirmando que ele recebeu a solicitação de contabilidade.

  5. Se o dispositivo não receber um pacote de resposta de contabilidade do servidor, ele continuará a enviar solicitações de contabilidade até que o servidor retorne uma resposta.

Você pode visualizar as estatísticas coletadas por meio desse processo no servidor RADIUS. Para ver essas estatísticas, acesse o arquivo de log configurado para recebê-las.

Configurar a contabilidade do sistema RADIUS

Quando você habilita a contabilidade RADIUS, os dispositivos da Juniper Networks, atuando como clientes RADIUS, podem notificar o servidor RADIUS sobre atividades do usuário, como logins de software, alterações de configuração e comandos interativos. A estrutura para contabilidade RADIUS é descrita em RFC 2866, RADIUS Accounting.

Configurar a auditoria de eventos de usuário em um servidor RADIUS

Para configurar a contabilidade RADIUS:

  1. Configure os eventos a serem auditados.

    Por exemplo:

    events Pode incluir um ou mais dos seguintes:

    • login—Auditar logins

    • change-log— Auditar mudanças na configuração

    • interactive-commands— Comandos interativos de auditoria (qualquer entrada de linha de comando)

  2. Habilite a contabilidade RADIUS.
  3. Configure o endereço para um ou mais servidores de contabilidade RADIUS.

    Por exemplo:

    Observação:

    Se você não configurar nenhum servidor RADIUS no nível da [edit system accounting destination radius] hierarquia, o dispositivo usará os servidores RADIUS configurados no nível da [edit system radius-server] hierarquia.
  4. (Opcional) Configure o endereço de origem para solicitações de contabilidade RADIUS.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou endereço IPv6 válido configurado em uma das interfaces do roteador ou interfaces do switch. Se o dispositivo de rede tiver várias interfaces que podem acessar o servidor RADIUS, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor RADIUS. Isso define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  5. Configure a senha de segredo compartilhado que o dispositivo de rede usa para autenticar com o servidor de contabilidade RADIUS.

    A senha configurada deve corresponder à senha configurada no servidor RADIUS. Se a senha contiver espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique para qual porta do servidor de contabilidade RADIUS enviar pacotes de contabilidade, se diferente do padrão (1813).
    Observação:

    Se você habilitar a contabilidade RADIUS no nível de hierarquia, a [edit access profile profile-name accounting-order] contabilidade será acionada na porta padrão de 1813, mesmo que você não especifique um valor para a accounting-port instrução.
  7. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com um servidor de contabilidade RADIUS e a quantidade de tempo que o dispositivo aguarda para receber uma resposta de um servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e aguarda três segundos. Você pode configurar o valor de 1 a retry 100 vezes e o timeout valor de 1 a 1000 segundos.

    Por exemplo, para entrar em contato com um servidor 2 vezes e aguardar 10 segundos por uma resposta:

  8. (Opcional) Para rotear pacotes de contabilidade RADIUS por meio da instância de gerenciamento não padrão em vez da instância de roteamento padrão, configure a routing-instance mgmt_junos declaração.
  9. (Opcional) Configure a enhanced-accounting instrução no nível de [edit system radius-options] hierarquia para incluir atributos de contabilidade adicionais, incluindo método de acesso, porta remota e privilégios de acesso, para eventos de login do usuário.
    Observação:

    Para limitar o número de valores de atributo a serem auditados, configure a enhanced-avs-max <number> declaração no nível da [edit system accounting] hierarquia.

O exemplo a seguir configura três servidores (10.5.5.5, 10.6.6.6 e 10.7.7.7) para contabilidade RADIUS: