Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

authentication-order (Authenticator)

Sintaxe

Nível de hierarquia

Descrição

Configure a ordem preferida de métodos de autenticação que o dispositivo usará ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o dispositivo volta para outro método. Você pode configurar a authentication-order declaração para especificar se a autenticação 802.1X ou a autenticação MAC RADIUS devem ser o primeiro método de autenticação testado.

Por padrão, o dispositivo tenta autenticar um cliente usando a autenticação 802.1X primeiro. Se a autenticação 802.1X falhar porque não há resposta do cliente, e a autenticação MAC RADIUS estiver configurada na interface, o dispositivo volta à autenticação MAC RADIUS. Se o MAC RADIUS falhar e o portal cativo estiver configurado no dispositivo, o dispositivo voltará ao portal cativo.

Configurar a autenticação MAC RADIUS como o primeiro método pode ajudar a evitar o período de tempo limite de recuo que ocorre após uma tentativa de autenticação 802.1X ser feita para um host que não oferece suporte à autenticação 802.1X. Se a autenticação MAC RADIUS for configurada como o primeiro método de autenticação em uma interface e, em seguida, ao receber dados de qualquer cliente nessa interface, o dispositivo tenta autenticar o cliente usando a autenticação MAC RADIUS. Se a autenticação MAC RADIUS falhar, o dispositivo cairá para autenticação 802.1X. Se a autenticação 802.1X falhar, e o portal cativo estiver configurado na interface, o dispositivo voltará ao portal cativo.

A autenticação 802.1X sempre tem a maior prioridade, mesmo que um cliente tenha sido autenticado usando outro método. Se o dispositivo receber um pacote EAP de um cliente que foi autenticado usando a autenticação MAC RADIUS, o dispositivo reconhece o pacote EAP e atualiza a autenticação usando credenciais de autenticação 802.1X. Da mesma forma, se um cliente foi autenticado através do fallback ao portal cativo, e o dispositivo recebe um pacote EAP desse cliente, o dispositivo tenta autenticar o cliente usando a autenticação 802.1X.

O dispositivo tenta autenticação usando apenas métodos configurados na interface. Se um método de autenticação for incluído na ordem de autenticação, mas não estiver configurado na interface, o dispositivo ignora esse método e tenta autenticação usando o próximo método na ordem habilitada. Entretanto, se um método for habilitado na interface, mas não estiver incluído na ordem de autenticação, o dispositivo não tentará usar esse método. Por exemplo, se o portal cativo for habilitado para uma interface, mas a ordem de autenticação estiver configurada como [mac-radius dot1x], o método de autenticação dessa interface não cairá para o portal cativo.

A ordem de autenticação pode ser configurada para todas as interfaces usando a opção interface all . Se a ordem de autenticação estiver configurada para uma interface individual, e também houver uma ordem de autenticação configurada para todas as interfaces, a ordem para a interface individual será seguida. Se não houver nenhuma ordem de autenticação configurada para uma interface individual, e houver uma ordem de autenticação configurada para todas as interfaces, a configuração para todas as interfaces será seguida.

Use as seguintes diretrizes ao configurar a authentication-order declaração:

  • A ordem de autenticação deve incluir pelo menos dois métodos de autenticação.

  • A autenticação 802.1X deve ser um dos métodos incluídos na ordem de autenticação.

  • Se o portal cativo for incluído na ordem de autenticação, ele deve ser o último método na ordem.

  • Se mac-radius-restrict estiver configurada em uma interface, a ordem de autenticação não pode ser configurada.

As combinações válidas para authentication-order são as seguintes:

  • [dot1x mac-radius captive-portal]

  • [dot1x captive-portal]

  • [dot1x mac-radius]

  • [mac-radius dot1x captive-portal]

Padrão

Se authentication-order não estiver configurado, o dispositivo tenta autenticar o cliente usando a autenticação 802.1X primeiro, seguido pela autenticação MAC RADIUS e, em seguida, portal cativo, da seguinte forma:

  1. Autenticação 802.1X — Se o 802.1X estiver configurado na interface, o dispositivo envia solicitações de EAPoL para o dispositivo final e tenta autenticar o dispositivo final através da autenticação 802.1X. Se o dispositivo final não responder às solicitações de EAP, o dispositivo verificará se a autenticação MAC RADIUS está configurada na interface.

  2. Autenticação MAC RADIUS — Se a autenticação MAC RADIUS estiver configurada na interface, o dispositivo envia o endereço MAC RADIUS do dispositivo final para o servidor de autenticação. Se a autenticação MAC RADIUS não estiver configurada, o dispositivo verifica se o portal cativo está configurado na interface.

  3. Autenticação de portal cativo — se o portal cativo estiver configurado na interface, o dispositivo tenta autenticar o dispositivo final usando esse método depois de tentar qualquer outro método de autenticação configurado.

Opções

captive-portal— Configure a autenticação cativa do portal na ordem dos métodos de autenticação na interface.

dot1x— Configure a autenticação 802.1X na ordem dos métodos de autenticação na interface.

mac-radius— Configure a autenticação MAC RADIUS na ordem dos métodos de autenticação na interface.

Nível de privilégio necessário

roteamento — Para ver essa declaração na configuração.controle de roteamento — para adicionar essa declaração à configuração.

Informações de lançamento

Declaração introduzida no Junos OS Release 15.1R3.

Tópicos relacionados