Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Autenticação TACACS+

O Junos OS Evolved oferece suporte a TACACS+ para autenticação central de usuários em dispositivos de rede. Para usar a autenticação TACACS+ no dispositivo, você (o administrador da rede) deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários que fazem login ou logout de uma LAN e enviar os dados para um servidor de contabilidade TACACS+.

Configurar autenticação TACACS+

A autenticação TACACS+ é um método de autenticação de usuários que tentam acessar um dispositivo de rede.

Para configurar o TACACS+, execute as seguintes tarefas:

Configurar detalhes do servidor TACACS+

Para usar a autenticação TACACS+ no dispositivo, configure informações sobre um ou mais servidores TACACS+ na rede incluindo uma tacplus-server instrução no nível de [edit system] hierarquia para cada servidor TACACS+. O dispositivo consulta os servidores TACACS+ na ordem em que estão configurados. Se o servidor primário (o primeiro configurado) não estiver disponível, o dispositivo tentará entrar em contato com cada servidor na lista até receber uma resposta.

O dispositivo de rede pode mapear usuários autenticados por TACACS+ para uma conta de usuário definida localmente ou uma conta de modelo de usuário, que determina a autorização. Por padrão, o Junos OS Evolved atribui usuários autenticados por TACACS+ à conta remotede modelo de usuário, se configurada, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor TACACS+ não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

O servidor TACACS+ pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, os privilégios de acesso e o ID de usuário efetivo do modelo atribuído. Se o usuário autenticado por TACACS+ não for mapeado para nenhuma conta de usuário ou modelo de usuário definido localmente e o modelo não estiver configurado, a remote autenticação falhará.

Observação:

O remote nome de usuário é um caso especial no Junos OS Evolved e deve estar sempre em letras minúsculas. Ele atua como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. O Junos OS Evolved aplica as remote permissões do modelo aos usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote modelo estão na mesma classe de logon.

Como a autenticação remota é configurada em vários dispositivos, ela geralmente é configurada dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global. O uso de um grupo de configuração é opcional.

Para configurar a autenticação por um servidor TACACS+:

  1. Configure o endereço IPv4 ou o endereço IPv6 do servidor de autenticação TACACS+.

    Por exemplo:

  2. (Opcional) Configure o endereço de origem do pacote para solicitações enviadas ao servidor TACACS+.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou endereço IPv6 válido configurado em uma das interfaces do roteador ou interfaces do switch. Se o dispositivo de rede tiver várias interfaces que possam acessar o servidor TACACS+, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor TACACS+. Isso define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  3. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor TACACS+.

    A senha configurada deve corresponder à senha configurada no servidor TACACS+. Se a senha contiver espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta na qual entrar em contato com o servidor TACACS+, se diferente da porta padrão (49).

    Por exemplo:

  5. (Opcional) Configure a quantidade de tempo que o dispositivo aguarda para receber uma resposta do servidor TACACS+.

    Por padrão, o dispositivo aguarda 3 segundos. Você pode configurar o timeout valor de 1 a 90 segundos.

    Por exemplo, para aguardar 15 segundos por uma resposta do servidor:

  6. (Opcional) Configure o dispositivo para manter uma conexão TCP aberta com o servidor para várias solicitações, em vez de abrir uma conexão separada para cada tentativa de conexão.
    Observação:

    As versões anteriores do servidor TACACS+ não oferecem suporte à single-connection opção. Se você especificar essa opção e o servidor não oferecer suporte a ela, o dispositivo não poderá se comunicar com esse servidor TACACS+.
  7. (Opcional) Para rotear pacotes TACACS+ por uma instância de roteamento específica, configure a routing-instance declaração e especifique uma instância de roteamento válida.

    Por padrão, o Junos OS Evolved roteia pacotes de autenticação, autorização e contabilidade para TACACS+ por meio da instância de roteamento padrão.

  8. Especifique a ordem de autenticação e inclua a tacplus opção.

    No exemplo a seguir, sempre que um usuário tenta fazer login, o Junos OS Evolved primeiro consulta o servidor TACACS+ para autenticação. Se isso falhar, ele consultará o servidor RADIUS. Se isso falhar, ele tentará a autenticação com contas de usuário configuradas localmente.

  9. Atribua uma classe de login a usuários autenticados por TACACS+ que não têm uma conta de usuário definida localmente.

    Você configura uma conta de modelo de usuário da mesma forma que uma conta de usuário local, exceto que você não configura uma senha de autenticação local porque o servidor TACACS+ autentica o usuário.

    • Para usar as mesmas permissões para todos os usuários autenticados pelo TACACS+, configure o modelo de remote usuário.

      Por exemplo:

    • Para usar diferentes classes de login para diferentes usuários autenticados por TACACS+, concedendo a eles permissões diferentes:

      1. Crie vários modelos de usuário na configuração do Junos OS Evolved . Por exemplo:

      2. Configure o servidor TACACS+ para mapear o usuário autenticado para o modelo de usuário apropriado.

        Por exemplo, defina o atributo específico do local-user-name fornecedor (VSA) da Juniper como o nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou SU. A autenticação falhará se o dispositivo não puder atribuir um usuário a uma conta de usuário local ou modelo de usuário e o remote modelo de usuário não estiver configurado.

Configurar TACACS+ para usar a instância de gerenciamento

Por padrão, o Junos OS Evolved roteia pacotes de autenticação, autorização e contabilidade para TACACS+ por meio da instância de roteamento padrão. Você também pode rotear pacotes TACACS+ por meio de uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear pacotes TACACS+ pela mgmt_junos instância de gerenciamento:

  1. Habilite a mgmt_junos instância de gerenciamento.

  2. Configure a routing-instance mgmt_junos declaração para o servidor de autenticação TACACS+ e o servidor de contabilidade TACACS+, se configurado.

Configurar o mesmo serviço de autenticação para vários servidores TACACS+

Você pode configurar o mesmo serviço de autenticação para vários servidores TACACS+ incluindo declarações nos [edit system tacplus-server] níveis de hierarquia e [edit system tacplus-options] .

Para atribuir o mesmo serviço de autenticação a vários servidores TACACS+:

  1. Configure os servidores TACACS+ conforme descrito em Configurar autenticação TACACS+.
  2. Configure a service-name declaração no nível da [edit system tacplus-options] hierarquia.
    service-name é o nome do serviço de autenticação, que por padrão é junos-exec.

    Por exemplo:

O exemplo a seguir mostra como configurar o mesmo serviço de autenticação para vários servidores TACACS+:

Configurar atributos TACACS+ específicos do fornecedor da Juniper Networks

O Junos OS Evolved pode mapear usuários autenticados por TACACS+ para uma conta de usuário definida localmente ou uma conta de modelo de usuário, que determina a autorização. Opcionalmente, você também pode configurar os privilégios de acesso de um usuário definindo atributos TACACS+ específicos do fornecedor da Juniper Networks no servidor TACACS+. Você define os atributos no arquivo de configuração do servidor TACACS+ por usuário. O dispositivo de rede recupera esses atributos por meio de uma solicitação de autorização do servidor TACACS+ após autenticar um usuário.

Para especificar esses atributos, inclua uma service instrução do seguinte formato no arquivo de configuração do servidor TACACS+:

Você pode definir a service instrução em uma user instrução ou uma group instrução.

Configurar a Atualizar Periódica do Perfil de Autorização TACACS+

Quando você configura um dispositivo que executa o Junos OS Evolved para usar um servidor TACACS+ para autenticação, o dispositivo solicita aos usuários informações de login, que são verificadas pelo servidor TACACS+. Depois que um usuário é autenticado com êxito, o dispositivo de rede envia uma solicitação de autorização ao servidor TACACS+ para obter o perfil de autorização para o usuário. Os perfis de autorização especificam as permissões de acesso para usuários ou dispositivos autenticados.

O servidor TACACS+ envia o perfil de autorização como parte de uma mensagem REPLY de autorização. O usuário remoto configurado no servidor TACACS+ é mapeado para um usuário local ou modelo de usuário configurado no dispositivo que executa o Junos OS Evolved. O Junos OS Evolved combina o perfil de autorização remota do usuário e o perfil de autorização configurado localmente, o último dos quais é configurado noedit system login class nível de [] hierarquia.

Por padrão, a troca de mensagens de solicitação e resposta de autorização ocorre apenas uma vez, após a autenticação bem-sucedida. Você pode configurar os dispositivos para que o Junos OS Evolved busque periodicamente o perfil de autorização remota do servidor TACACS+ e atualize o perfil de autorização armazenado localmente. Essa atualização periódica garante que o dispositivo local reflita qualquer alteração nos parâmetros de autorização sem exigir que o usuário reinicie o processo de autenticação.

Para habilitar a atualização periódica do perfil de autorização, você deve definir o intervalo de tempo no qual o dispositivo local verifica o perfil de autorização configurado remotamente no servidor TACACS+. Se o perfil de autorização remota for alterado, o dispositivo buscará o perfil de autorização do servidor TACACS+ e o perfil de autorização configurado na hierarquia de classes de login. O dispositivo atualiza o perfil de autorização armazenado localmente combinando os perfis de autorização remotos e configurados localmente.

Você pode configurar o intervalo de tempo de atualização localmente no dispositivo que executa o Junos OS Evolved ou diretamente no servidor TACACS+. O intervalo de tempo pode variar de 15 a 1440 minutos.

  • Para configurar a atualização periódica do perfil de autorização no dispositivo local, inclua a authorization-time-interval declaração no nível da [edit system tacplus-options] hierarquia, da seguinte maneira:
  • Para configurar a atualização periódica no servidor TACACS+, adicione o refresh-time-interval parâmetro no perfil de autorização usando a seguinte sintaxe:

Use as seguintes diretrizes para determinar qual configuração de intervalo de tempo tem precedência:

  • Se o intervalo de tempo de atualização estiver configurado apenas no servidor TACACS+ ou apenas no dispositivo que executa o Junos OS Evolved, o valor configurado entrará em vigor.

  • Se o intervalo de tempo de atualização estiver configurado no servidor TACACS+ e no dispositivo que executa o Junos OS Evolved, o valor configurado no servidor TACACS+ terá precedência.

  • Se nenhum intervalo de tempo de atualização estiver configurado no servidor TACACS+ ou no dispositivo que executa o Junos OS Evolved, nenhuma atualização periódica ocorrerá.

  • Se o intervalo de tempo de atualização configurado no servidor TACACS+ estiver fora do intervalo ou for inválido, o intervalo de tempo de atualização configurado localmente entrará em vigor. Se nenhum intervalo de tempo de atualização estiver configurado localmente, nenhuma atualização periódica ocorrerá.

Depois que o intervalo de tempo de atualização periódica for definido, se o usuário alterar o intervalo de atualização antes que a solicitação de autorização seja enviada do dispositivo local, o intervalo de atualização atualizado entrará em vigor após a próxima atualização periódica imediata.

Exemplo: configurar um servidor TACACS+ para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um servidor TACACS+.

Requerimentos

Antes de começar:

  • Execute a configuração inicial do dispositivo. Consulte o Guia de introdução do seu dispositivo.

  • Configure pelo menos um servidor TACACS+ em sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor TACACS+ com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor TACACS+ como Tacacssecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço de origem que o dispositivo usa nas solicitações do servidor TACACS+. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte para vários métodos de autenticação de usuário, como autenticação de senha local, TACACS+ e RADIUS, no dispositivo de rede, Ao configurar vários métodos de autenticação, você pode priorizar a ordem na qual o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação TACACS+ primeiro e, se isso falhar, para tentar a autenticação de senha local.

Um usuário autenticado por TACACS+ deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário autenticado por TACACS+ não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo de remote usuário, se configurado. Este exemplo configura o remote modelo de usuário.

Configuração

Tramitação processual

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.

Procedimento passo a passo

Para configurar um servidor TACACS+ para autenticação do sistema:

  1. Adicione um novo servidor TACACS+ e defina seu endereço IP.

  2. Especifique o segredo compartilhado (senha) do servidor TACACS+.

  3. Especifique o endereço de loopback do dispositivo como o endereço de origem.

  4. Especifique a ordem de autenticação do dispositivo e inclua a tacplus opção.

  5. Configure o modelo de remote usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração digitando o show system comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas as partes da hierarquia de configuração que são relevantes para este exemplo:

Depois de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração do servidor TACACS+

Finalidade

Verifique se o servidor TACACS+ autentica usuários.

Ação

Faça login no dispositivo de rede e verifique se o login foi bem-sucedido. Para verificar se o dispositivo usa o servidor TACACS+ para autenticação, você pode tentar fazer login com uma conta que não defina uma senha de autenticação local na configuração.

Atributos TACACS+ específicos do fornecedor da Juniper Networks

O Junos OS Evolved suporta a configuração de atributos específicos do fornecedor (VSAs) TACACS+ da Juniper Networks no servidor TACACS+. A Tabela 1 lista os VSAs da Juniper Networks suportados.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres curinga, coloque-a entre aspas. Para obter mais informações, consulte:

Tabela 1: Atributos TACACS+ específicos do fornecedor da Juniper Networks

Nome

Descrição

Comprimento

Sequência

local-user-name

Indica o nome do modelo de usuário atribuído a esse usuário quando o usuário faz login em um dispositivo.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

allow-commands

Contém uma expressão regular estendida que permite ao usuário executar comandos além dos comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.
allow-commands-regexps

Contém uma expressão regular estendida que permite ao usuário executar comandos além dos comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-configuration

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar instruções de configuração, além das instruções autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-configuration-regexps

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar instruções de configuração, além das instruções autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-commands

Contém uma expressão regular estendida que nega ao usuário permissão para executar comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.
deny-commands-regexps

Contém uma expressão regular estendida que nega ao usuário permissão para executar comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-configuration

Contém uma expressão regular estendida que nega ao usuário permissão para visualizar ou modificar instruções de configuração autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-configuration-regexps

Contém uma expressão regular estendida que nega ao usuário permissão para visualizar ou modificar instruções de configuração autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

user-permissions

Contém informações que o servidor usa para especificar permissões de usuário.

Observação:

Quando o servidor TACACS+ define o user-permissions atributo para conceder a maintenance permissão ou all permissão a um usuário, a lista de associações de grupo do usuário não inclui automaticamente o grupo wheel do UNIX. Algumas operações, como executar o su root comando de um shell local, exigem permissões de associação de grupo de rodas. No entanto, quando o dispositivo de rede define uma conta de usuário local com as permissões maintenance ou all, o usuário recebe automaticamente a associação ao grupo de rodas do UNIX. Portanto, recomendamos que você crie uma conta de modelo de usuário com as permissões necessárias e associe contas de usuário individuais à conta de modelo de usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Consulte Visão geral dos níveis de privilégio de acesso.

authentication-type

Indica o método de autenticação (banco de dados local ou servidor TACACS+) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostrará 'local'. Se o usuário for autenticado usando um servidor TACACS+, o valor do atributo mostrará 'remote'.

≥5

Um ou mais octetos contendo caracteres ASCII imprimíveis.

session-port

Indica o número da porta de origem da sessão estabelecida.

tamanho do inteiro

Inteiro

Usar expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos

O Junos OS Evolved pode mapear usuários autenticados por RADIUS e TACACS+ para uma conta de usuário definida localmente ou uma conta de modelo de usuário, que define os privilégios de acesso do usuário. Opcionalmente, você também pode configurar os privilégios de acesso de um usuário definindo os atributos específicos do fornecedor (VSAs) RADIUS e TACACS+ da Juniper Networks no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e modo de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode exibir e modificar. Uma classe de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou exibir e modificar certas áreas da configuração, além do que os sinalizadores de permissão autorizam. Uma classe de login pode incluir as seguintes instruções para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar os VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para obter a lista de VSAs RADIUS e TACACS+ suportados, consulte o seguinte:

Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.

  • Um servidor RADIUS usa o seguinte atributo e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa o seguinte atributo e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você coloca vários comandos ou hierarquias de configuração entre parênteses e os separa usando um símbolo de barra vertical. Se a expressão regular contiver espaços, operadores ou caracteres curinga, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Os servidores RADIUS e TACACS+ também oferecem suporte à configuração de atributos que correspondem às mesmas *-regexps declarações que você pode configurar no dispositivo local. Os *-regexps atributos TACACS+ e os *-Regexps atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem que você configure expressões regulares com variáveis.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada em que você especifica cada expressão individual em uma linha separada.

Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:

Observação:

  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n Por exemplo, a seguinte sintaxe é válida:

  • O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regular individuais.

  • Quando você emite o show cli authorization comando, a saída do comando exibe a expressão regular em uma única linha, mesmo que você especifique cada expressão individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração emitindo o comando de show cli authorization modo operacional.

Observação:

Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contiver um erro de sintaxe, o resultado geral será uma expressão regular inválida.

Configurando a contabilidade do sistema TACACS+

Você pode configurar a contabilidade TACACS+ em um dispositivo para coletar dados estatísticos sobre usuários que fazem login ou logout de uma LAN e enviar os dados para um servidor de contabilidade TACACS+. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso ou cobrança de um usuário com base na duração da sessão ou no tipo de serviço acessado.

Para configurar a contabilidade TACACS+, especifique:

  • Um ou mais servidores de contabilidade TACACS+ para receber os dados estatísticos do dispositivo

  • O tipo de dados contábeis a serem coletados

Você pode usar o mesmo servidor para contabilidade e autenticação TACACS+ ou pode usar servidores separados. Você pode especificar uma lista de servidores de contabilidade TACACS+. O dispositivo consulta os servidores na ordem em que estão configurados. Se o servidor primário (o primeiro configurado) não estiver disponível, o dispositivo tentará entrar em contato com cada servidor na lista até receber uma resposta.

Quando você habilita a contabilidade TACACS+, os dispositivos da Juniper Networks, atuando como clientes TACACS+, podem notificar o servidor TACACS+ sobre atividades do usuário, como logins de software, alterações de configuração e comandos interativos.

Configurar a contabilidade do servidor TACACS+

Para configurar a contabilidade do servidor TACACS+:

  1. Configure os eventos a serem auditados.

    Por exemplo:

    events Pode incluir um ou mais dos seguintes:

    • login—Auditar logins

    • change-log— Auditar mudanças na configuração

    • interactive-commands— Comandos interativos de auditoria (qualquer entrada de linha de comando)

  2. Habilite a contabilidade TACACS+.
  3. Configure o endereço para um ou mais servidores de contabilidade TACACS+.

    Por exemplo:

    Observação:

    Se você não configurar nenhum servidor TACACS+ no nível de [edit system accounting destination tacplus] hierarquia, o dispositivo usará os servidores TACACS+ configurados no nível de [edit system tacplus-server] hierarquia.
  4. (Opcional) Configure o endereço de origem para solicitações de contabilidade TACACS+.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou endereço IPv6 válido configurado em uma das interfaces do roteador ou interfaces do switch. Se o dispositivo de rede tiver várias interfaces que possam acessar o servidor TACACS+, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor TACACS+. Isso define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  5. Configure a senha do segredo compartilhado que o dispositivo de rede usa para autenticar com o servidor de contabilidade TACACS+.

    A senha configurada deve corresponder à senha configurada no servidor TACACS+. Se a senha contiver espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique para qual porta do servidor de contabilidade TACACS+ enviar pacotes de contabilidade, se diferente do padrão (49).
  7. (Opcional) Configure a quantidade de tempo que o dispositivo aguarda para receber uma resposta do servidor de contabilidade TACACS+.

    Por padrão, o dispositivo aguarda três segundos. Você pode configurar o timeout valor de 1 a 90 segundos.

    Por exemplo, para aguardar 15 segundos por uma resposta do servidor:

  8. (Opcional) Configure o dispositivo para manter uma conexão TCP aberta com o servidor para várias solicitações, em vez de abrir uma conexão separada para cada tentativa de conexão.
    Observação:

    As versões anteriores do servidor TACACS+ não oferecem suporte à single-connection opção. Se você especificar essa opção e o servidor não oferecer suporte a ela, o dispositivo não poderá se comunicar com esse servidor TACACS+.
  9. (Opcional) Para rotear pacotes de contabilidade TACACS+ por meio da instância de gerenciamento não padrão ou outra instância de roteamento em vez da instância de roteamento padrão, configure a routing-instance declaração e especifique a instância de roteamento.
    Por exemplo:
  10. Para garantir que as solicitações de início e parada para eventos de login sejam registradas corretamente no arquivo de log de contabilidade do servidor TACACS+ em vez do arquivo de log de administração, inclua a no-cmd-attribute-value instrução ou a exclude-cmd-attribute instrução no nível da [edit system tacplus-options] hierarquia.
    Observação:

    Ambas as instruções oferecem suporte ao registro correto de solicitações de contabilidade no arquivo de contabilidade em vez do arquivo de administração. Se você configurar a no-cmd-attribute-value instrução, o cmd valor do atributo será definido como uma string nula nas solicitações start e stop. Se você configurar a exclude-cmd-attribute declaração, o cmd atributo será totalmente excluído das solicitações de início e parada.