Autenticação RADIUS
O Junos OS Evolved oferece suporte ao RADIUS para autenticação central dos usuários em dispositivos de rede. Para usar a autenticação RADIUS no dispositivo, você (o administrador de rede) deve configurar informações sobre um ou mais servidores RADIUS na rede. Você também pode configurar a contabilidade RADIUS no dispositivo para coletar dados estatísticos sobre os usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade RADIUS.
Configure a autenticação do servidor RADIUS
A autenticação RADIUS é um método de autenticação de usuários que tentam acessar um dispositivo de rede. As seções a seguir descrevem por que você usaria o RADIUS e como configurá-lo.
- Por que usar o RADIUS
- Configure os detalhes do servidor RADIUS
- Configure o RADIUS para usar a instância de gerenciamento
Por que usar o RADIUS
Você (o administrador de rede) pode usar diferentes protocolos para a autenticação central dos usuários em dispositivos de rede, incluindo RADIUS e TACACS+. Recomendamos o RADIUS porque é um padrão IETF de vários fornecedores e seus recursos são mais amplamente aceitos do que os do TACACS+ ou outros sistemas proprietários. Além disso, recomendamos usar um sistema de senha única para aumentar a segurança, e todos os fornecedores desses sistemas oferecem suporte ao RADIUS.
Você deve usar o RADIUS quando suas prioridades são a interoperabilidade e o desempenho:
-
Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Embora o TACACS+ ofereça mais protocolos, o RADIUS tem suporte universal.
-
Desempenho — O RADIUS é muito mais leve em seus roteadores e switches. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS em vez do TACACS+.
Configure os detalhes do servidor RADIUS
Para usar a autenticação RADIUS no dispositivo, configure informações sobre um ou mais servidores RADIUS na rede, incluindo uma radius-server
declaração no nível de [edit system]
hierarquia para cada servidor RADIUS. O dispositivo consulta os servidores RADIUS na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.
O dispositivo de rede pode mapear usuários autenticados pelo RADIUS para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. Por padrão, o Junos OS Evolved atribui usuários autenticados por RADIUS à conta remote
do modelo de usuário, se configurado, quando:
-
O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.
-
O servidor RADIUS não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.
O servidor RADIUS pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e ID de usuário eficaz do modelo atribuído. Se o usuário autenticado pelo RADIUS não mapear para nenhuma conta de usuário ou modelo de usuário definido localmente, e o remote
modelo não estiver configurado, a autenticação falhará.
O remote
nome de usuário é um caso especial no Junos OS Evolved e deve ser sempre minúscula. Ele atua como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. O Junos OS Evolved aplica as permissões do modelo a remote
esses usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote
modelo estão na mesma classe de login.
Como você configura a autenticação remota em vários dispositivos, é comum configurá-la dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global
. Usar um grupo de configuração é opcional.
Para configurar a autenticação por um servidor RADIUS:
Configure o RADIUS para usar a instância de gerenciamento
Por padrão, o Junos OS Evolved roteia pacotes de autenticação, autorização e contabilidade para RADIUS por meio da instância de roteamento padrão. Você também pode rotear pacotes RADIUS por uma interface de gerenciamento em uma instância VRF não padrão.
Para rotear pacotes RADIUS pela mgmt_junos
instância de gerenciamento:
-
Habilite a instância de
mgmt_junos
gerenciamento.[edit system] user@host# set management-instance
-
Configure a
routing-instance mgmt_junos
declaração para o servidor de autenticação RADIUS e o servidor de contabilidade RADIUS, se configurado.[edit system] user@host# set radius-server server-address routing-instance mgmt_junos user@host# set accounting destination radius server server-address routing-instance mgmt_junos
Exemplo: configure um servidor RADIUS para autenticação do sistema
Este exemplo configura a autenticação do sistema por meio de um servidor RADIUS.
Requisitos
Antes de começar:
-
Execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.
-
Configure pelo menos um servidor RADIUS em sua rede.
Visão geral
Neste exemplo, você adiciona um novo servidor RADIUS com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor RADIUS como Radiussecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço fonte que o dispositivo usa em solicitações de servidor RADIUS. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.
Você pode configurar o suporte para vários métodos de autenticação de usuários, como a autenticação local de senhas, RADIUS e TACACS+, no dispositivo de rede, Quando você configura vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação RADIUS primeiro e, em seguida, se isso falhar, para tentar a autenticação de senha local.
Um usuário autenticado pelo RADIUS deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, que determina a autorização. Por padrão, se um usuário autenticado por RADIUS não mapear para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do remote
usuário, se configurado. Este exemplo configura o modelo do remote
usuário.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set system radius-server 172.16.98.1 set system radius-server 172.16.98.1 secret Radiussecret1 set system radius-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [radius password] set system login user remote class operator
Procedimento passo a passo
Para configurar um servidor RADIUS para autenticação do sistema:
-
Adicione um novo servidor RADIUS e defina seu endereço IP.
[edit system] user@host# set radius-server 172.16.98.1
-
Especifique o segredo compartilhado (senha) do servidor RADIUS.
[edit system] user@host# set radius-server 172.16.98.1 secret Radiussecret1
-
Especifique o endereço de loopback do dispositivo como endereço fonte.
[edit system] user@host# set radius-server 172.16.98.1 source-address 10.0.0.1
-
Especifique a ordem de autenticação do dispositivo e inclua a opção
radius
.[edit system] user@host# set authentication-order [radius password]
- Configure o modelo de
remote
usuário e sua classe de login.[edit system] user@host# set login user remote class operator
Resultados
No modo de configuração, confirme sua configuração inserindo o show system
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
A saída a seguir inclui apenas aquelas partes da hierarquia de configuração que são relevantes para este exemplo.
[edit] user@host# show system login { user remote { class operator; } } authentication-order [ radius password ]; radius-server { 172.16.98.1 { secret "$9$ABC123"; ## SECRET-DATA source-address 10.0.0.1; } }
Após a configuração do dispositivo, entre commit
no modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verifique a configuração do servidor RADIUS
Propósito
Verifique se o servidor RADIUS autentica os usuários.
Ação
Faça login no dispositivo de rede e verifique se o login é bem-sucedido. Para verificar se o dispositivo usa o servidor RADIUS para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.
Atributos RADIUS específicos do fornecedor da Juniper Networks
O Junos OS Evolved oferece suporte à configuração de atributos específicos (VSAs) do fornecedor RADIUS da Juniper Networks no servidor RADIUS. Esses VSAs são encapsulados em um atributo específico do fornecedor RADIUS com o conjunto de ID do fornecedor para o número de ID da Juniper Networks, 2636.
A Tabela 1 lista os VSAs da Juniper Networks que você pode configurar.
Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Para obter mais informações, veja:
Nome |
Descrição |
Tipo |
Comprimento |
Corda |
---|---|---|---|---|
Nome do usuário local da Juniper |
Indica o nome do modelo de usuário atribuído a este usuário quando o usuário faz login em um dispositivo. Este atributo é usado apenas em pacotes de aceitação de acesso. |
1 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
Juniper-Allow-Commands |
Contém uma expressão regular estendida que permite ao usuário executar comandos, além desses comandos autorizados pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso. |
2 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
Comandos Juniper-Deny |
Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso. |
3 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
Configuração de permitir a Juniper |
Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso. |
4 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
Configuração da Juniper-Deny |
Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso. |
5 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
Comando interativo da Juniper |
Indica o comando interativo inserido pelo usuário. Este atributo é usado apenas em pacotes de solicitação de contabilidade. |
8 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
Mudança de configuração da Juniper |
Indica o comando interativo que resulta em uma mudança de configuração (banco de dados). Este atributo é usado apenas em pacotes de solicitação de contabilidade. |
9 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
Permissões do usuário da Juniper |
Contém informações que o servidor usa para especificar permissões do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.
Nota:
Quando o servidor RADIUS define o |
10 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. A corda é uma lista de bandeiras de permissão separadas por um espaço. O nome exato de cada bandeira deve ser especificado em sua totalidade. |
Tipo de autenticação da Juniper |
Indica o método de autenticação (banco de dados local ou servidor RADIUS) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostra "local". Se o usuário for autenticado usando um radius ou servidor LDAP, o valor do atributo mostra "remoto". |
11 |
≥5 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
Juniper-Session-Port |
Indica o número de porta de origem da sessão estabelecida. |
12 |
tamanho de inteiro |
Inteiro |
Juniper-Allow-Configuration-Regexps |
Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso. |
13 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
Juniper-Deny-Configuration-Regexps |
Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso. |
14 |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
Para obter mais informações sobre os VSAs, consulte RFC 2138, Remote Authentication Dial In User Service (RADIUS).
Use expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos
O Junos OS Evolved pode mapear usuários autenticados em RADIUS e TACACS+em uma conta de usuário ou conta modelo de usuário definida localmente, que define os privilégios de acesso do usuário. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo os atributos específicos de fornecedor (VSAs) da Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.
A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode visualizar e modificar. Uma aula de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou visualizar e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma aula de login pode incluir as seguintes declarações para definir a autorização do usuário:
-
permissions
-
allow-commands
-
allow-commands-regexps
-
allow-configuration
-
allow-configuration-regexps
-
deny-commands
-
deny-commands-regexps
-
deny-configuration
-
deny-configuration-regexps
Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar os VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para a lista de VSAs RADIUS e TACACS+ suportados, veja o seguinte:
- Atributos RADIUS específicos do fornecedor da Juniper Networks
- Atributos TACACS+ específicos do fornecedor da Juniper Networks
Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.
-
Um servidor RADIUS usa o seguinte atributo e sintaxe:
Juniper-User-Permissions += "flag1 flag2 flag3",
Por exemplo:
Juniper-User-Permissions += "interface interface-control configure",
-
Um servidor TACACS+ usa o seguinte atributo e sintaxe:
user-permissions = "flag1 flag2 flag3"
Por exemplo:
user-permissions = "interface interface-control configure"
Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.
-
Um servidor RADIUS usa os seguintes atributos e sintaxe:
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Por exemplo:
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Um servidor TACACS+ usa os seguintes atributos e sintaxe:
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Por exemplo:
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Os servidores RADIUS e TACACS+ também oferecem suporte à configuração de atributos que correspondem às mesmas *-regexps
declarações que você pode configurar no dispositivo local. Os *-regexps
atributos TACACS+ e os *-Regexps
atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem que você configure expressões regulares com variáveis.
-
Um servidor RADIUS usa os seguintes atributos e sintaxe:
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Um servidor TACACS+ usa os seguintes atributos e sintaxe:
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada onde você especifica cada expressão individual em uma linha separada.
Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n 0 devem ser únicos, mas não precisam ser sequenciais. Por exemplo, a seguinte sintaxe é válida:
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.
-
Quando você emite o
show cli authorization
comando, a saída de comando exibe a expressão regular em uma única linha, mesmo se você especificar cada expressão individual em uma linha separada.
Os usuários podem verificar sua classe, permissões e autorização de comando e configuração emitindo o comando do show cli authorization
modo operacional.
user@host> show cli authorization
Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contém um erro de sintaxe, o resultado geral é uma expressão regular inválida.
Entendendo a contabilidade RADIUS
Os dispositivos de rede oferecem suporte a IETF RFC 2866, Contabilidade RADIUS. Você pode configurar a contabilidade RADIUS em um dispositivo para coletar dados estatísticos sobre usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade RADIUS. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso, ou cobrança de um usuário com base na duração da sessão ou tipo de serviços acessados.
Para configurar a contabilidade RADIUS, especifique:
-
Um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do dispositivo
-
O tipo de dados contábeis a serem coletados
Você pode usar o mesmo servidor para contabilidade e autenticação RADIUS, ou pode usar servidores separados. Você pode especificar uma lista de servidores de contabilidade RADIUS. O dispositivo consulta os servidores na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.
O processo de contabilidade RADIUS entre o dispositivo e um servidor RADIUS funciona assim:
-
Um servidor de contabilidade RADIUS ouve pacotes de protocolo de datagrama de usuário (UDP) em uma porta específica. A porta padrão para contabilidade RADIUS é de 1813.
-
O dispositivo encaminha um pacote de solicitação de contabilidade contendo um registro de evento para o servidor de contabilidade. O registro de eventos associado a este suplicante contém um atributo do tipo Acct-Status cujo valor indica o início do serviço do usuário para este suplicante. Quando a sessão do suplicante termina, a solicitação de contabilidade contém um valor de atributo tipo Acct-Status indicando o fim do serviço do usuário. O servidor de contabilidade RADIUS registra isso como um registro de stop-accounting contendo informações da sessão e a duração da sessão.
-
O servidor de contabilidade RADIUS registra esses eventos em um arquivo como registros de contabilidade inicial ou stop-accounting. No FreeRADIUS, o nome do arquivo é o endereço do servidor, como 192.0.2.0.
-
O servidor de contabilidade envia um pacote de resposta a contabilidade para o dispositivo confirmando que recebeu a solicitação de contabilidade.
-
Se o dispositivo não receber um pacote de resposta contabilidade do servidor, ele continua a enviar solicitações de contabilidade até que o servidor devolva uma resposta.
Você pode ver as estatísticas coletadas por esse processo no servidor RADIUS. Para ver essas estatísticas, acesse o arquivo de log configurado para recebê-las.
Configure a contabilidade do sistema RADIUS
Quando você habilita a contabilidade RADIUS, os dispositivos da Juniper Networks, atuando como clientes RADIUS, podem notificar o servidor RADIUS sobre atividades do usuário, como logins de software, mudanças de configuração e comandos interativos. A estrutura para a contabilidade RADIUS é descrita em RFC 2866, Radius Accounting.
Configure a auditoria dos eventos do usuário em um servidor RADIUS
Para configurar a contabilidade RADIUS:
O exemplo a seguir configura três servidores (10.5.5.5, 10.6.6.6 e 10.7.7.7) para contabilidade RADIUS:
system { accounting { events [ login change-log interactive-commands ]; destination { radius { server { 10.5.5.5 { accounting-port 3333; secret $ABC123; source-address 10.1.1.1; retry 3; timeout 3; } 10.6.6.6 secret $ABC123; 10.7.7.7 secret $ABC123; } } } } }