Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Ordem de autenticação para RADIUS TACACS+, e senha local

O Junos OS oferece suporte a diferentes métodos de autenticação, incluindo autenticação local de senhas, RADIUS e TACACS+, para controlar o acesso à rede.

Quando você configura um dispositivo para oferecer suporte a vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Este tópico discute como a ordem de autenticação funciona e como configurá-la em um dispositivo.

Visão geral da ordem de autenticação

Você (o administrador de rede) pode configurar a declaração para priorizar a ordem na qual authentication-order tenta diferentes métodos de autenticação para verificar o acesso do usuário a um roteador ou switch.Junos OS Se você não definir uma ordem de autenticação, por padrão, verifique os usuários com base em suas senhas locais configuradas.Junos OS

Se a ordem de autenticação incluir servidores RADIUS ou TACACS+, mas os servidores não responderem a uma solicitação, sempre será padrão tentar a autenticação de senha local como último recurso.Junos OS

Se a ordem de autenticação incluir servidores RADIUS ou TACACS+, mas os servidores rejeitarem a solicitação, o manuseio da solicitação é mais complicado.

  • Se (a autenticação de senha local) for incluída no final da ordem de autenticação e os servidores de autenticação remota rejeitarem a solicitação de autenticação, o dispositivo tenta autenticação de senha local.password

  • Se (autenticação de senha local) não estiver incluída na ordem de autenticação e os servidores de autenticação remota rejeitarem a solicitação de autenticação, a solicitação termina com a rejeição.password

Assim, o dispositivo deve incluir como uma opção final de ordem de autenticação para o dispositivo tentar a autenticação de senha local no caso de os servidores de autenticação remota rejeitarem a solicitação.password

Se a ordem de autenticação estiver definida, o dispositivo usará apenas a autenticação local de senha.authentication-order password

Usando autenticação remota

Você pode configurar o Junos OS para ser um cliente de autenticação RADIUS ou TACACS+ (ou uma combinação).

Se um método de autenticação incluído na declaração não estiver disponível ou se o método de autenticação estiver disponível, mas o servidor de autenticação correspondente retornar uma resposta de rejeição, tente o próximo método de autenticação incluído na declaração.authentication-orderJunos OSauthentication-order

A autenticação do servidor RADIUS ou TACACS+ pode falhar por um ou mais dos seguintes motivos:

  • O método de autenticação está configurado, mas os servidores de autenticação correspondentes não estão configurados. Por exemplo, os métodos de autenticação RADIUS e TACACS+ estão incluídos na declaração, mas os servidores RADIUS ou TACACS+ correspondentes não estão configurados nos respectivos níveis de hierarquia.authentication-order[edit system radius-server][edit system tacplus-server]

  • O servidor de autenticação não responde antes do valor de tempo limite configurado para esse servidor ou antes do tempo limite padrão, se nenhum tempo limite estiver configurado.

  • O servidor de autenticação não é acessível devido a um problema de rede.

O servidor de autenticação pode retornar uma resposta de rejeição por um ou ambos os seguintes motivos:

  • O perfil de usuário de um usuário que acessa um roteador ou switch não está configurado no servidor de autenticação.

  • O usuário insira credenciais de logotipo incorretas.

Como usar a autenticação de senha local

Você pode configurar explicitamente o método de autenticação na declaração ou usar este método como um mecanismo de recuo quando os servidores de autenticação remota falharem.passwordauthentication-order O método de autenticação consulta os perfis de usuários locais configurados no nível de hierarquia.password[edit system login] Os usuários podem fazer login em um roteador ou switch usando seu nome de usuário local e senha nos seguintes cenários:

  • O método de autenticação de senha () está explicitamente configurado como um dos métodos de autenticação na declaração.passwordauthentication-order

    Neste caso, o dispositivo tenta a autenticação de senha local se nenhum método de autenticação anterior aceitar as credenciais do logotipo. Isso é verdade se os métodos de autenticação anteriores não respondem ou eles retornam uma resposta de rejeição por causa de um nome de usuário ou senha incorretos.

  • O método de autenticação de senha não está explicitamente configurado como um dos métodos de autenticação na declaração.authentication-order

    Neste caso, o sistema operacional só tenta a autenticação de senha local se todos os métodos de autenticação configurados não responderem. O sistema operacional não usa autenticação local de senha se algum método de autenticação configurado devolver uma resposta de rejeição por causa de um nome de usuário ou senha incorretos.

Tentativas de ordem de autenticação

descreve como a declaração no nível de hierarquia determina o procedimento que o Junos OS usa para autenticar os usuários para acesso a um dispositivo.Tabela 1authentication-order[edit system]

Tabela 1: Tentativas de ordem de autenticação

Sintaxe

Tentativas de ordem de autenticação

authentication-order radius;

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se um servidor RADIUS estiver disponível, mas a autenticação for recusada, negue o acesso.

  4. Se não houver servidores RADIUS disponíveis, experimente a autenticação local de senha.

authentication-order [ radius password ];

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores RADIUS não responderem ou os servidores retornarem uma resposta de rejeição, experimente a autenticação de senha local, porque ela está explicitamente configurada na ordem de autenticação.

authentication-order [ radius tacplus ];

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores RADIUS não responderem ou os servidores retornarem uma resposta de rejeição, experimente servidores TACACS+ configurados.

  4. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  5. Se um servidor TACACS+ estiver disponível, mas a autenticação for recusada, negue o acesso.

authentication-order [ radius tacplus password ];

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores RADIUS não responderem ou os servidores retornarem uma resposta de rejeição, experimente servidores TACACS+ configurados.

  4. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  5. Se os servidores TACACS+ não responderem ou os servidores retornarem uma resposta de rejeição, experimente a autenticação local de senha, porque ela está explicitamente configurada na ordem de autenticação.

authentication-order tacplus;

  1. Experimente servidores de autenticação TACACS+ configurados.

  2. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se um servidor TACACS+ estiver disponível, mas a autenticação for recusada, negue o acesso.

  4. Se nenhum servidor TACACS+ estiver disponível, experimente a autenticação local de senha.

authentication-order [ tacplus password ];

  1. Experimente servidores de autenticação TACACS+ configurados.

  2. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores TACACS+ não responderem ou os servidores retornarem uma resposta de rejeição, experimente a autenticação local de senha, porque ela está explicitamente configurada na ordem de autenticação.

authentication-order [ tacplus radius ];

  1. Experimente servidores de autenticação TACACS+ configurados.

  2. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores TACACS+ não responderem ou os servidores retornarem uma resposta de rejeição, tente configurar servidores RADIUS.

  4. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  5. Se um servidor RADIUS estiver disponível, mas a autenticação for recusada, negue o acesso.

  6. Se não houver servidores TACACS+ ou RADIUS disponíveis, experimente a autenticação local de senha.

authentication-order password;

  1. Tente autenticar o usuário usando a senha configurada no nível de hierarquia.[edit system login]

  2. Se a autenticação for aceita, conceda acesso.

  3. Se a autenticação for recusada, negue o acesso.
Nota:

Se as chaves públicas de SSH estiverem configuradas, a autenticação do usuário SSH primeiro tenta realizar a autenticação de chave pública antes de usar os métodos de autenticação configurados na declaração.authentication-order Se você quiser que os logins SSH usem os métodos de autenticação configurados na declaração sem antes tentar realizar a autenticação de chave pública, não configure as chaves públicas de SSH.authentication-order

Configure a ordem de autenticação para RADIUS, TACACS+ e autenticação de senha local

Usando a declaração, você pode priorizar a ordem em que tenta os diferentes métodos de autenticação ao verificar o acesso do usuário a um roteador ou switch.authentication-orderJunos OS Se você não definir uma ordem de autenticação, por padrão, os usuários serão verificados com base em suas senhas configuradas localmente.

Ao configurar uma senha usando texto simples e confiar em criptografá-la, você ainda está enviando a senha pela Internet em texto simples.Junos OS Usar senhas pré-criptografadas é mais seguro porque significa que o texto simples da senha nunca precisa ser enviado pela Internet. Além disso, com senhas, apenas um usuário pode ser atribuído a uma senha de cada vez.

Por outro lado, RADIUS e TACACS+ criptografam senhas. Esses métodos de autenticação permitem que você atribua um conjunto de usuários de cada vez, em vez de atribuir usuários um a um. Mas aqui está como esses sistemas de autenticação diferem:

  • O RADIUS usa UDP; O TACACS+ usa o TCP.

  • O RADIUS criptografa apenas a senha durante a transmissão, enquanto o TACACS+ criptografa toda a sessão.

  • O RADIUS combina autenticação (dispositivo) e autorização (usuário), enquanto o TACACS+ separa autenticação, autorização e responsabilização.

Em resumo, o TACACS+ é mais seguro que o RADIUS. No entanto, o RADIUS tem melhor desempenho e é mais interoperável. O RADIUS é amplamente suportado, enquanto o TACACS+ é um produto proprietário da Cisco e não é amplamente suportado fora da Cisco.

Você pode configurar a ordem de autenticação com base em seu sistema, suas restrições e sua política de TI e preferências operacionais.

Para configurar a ordem de autenticação, inclua a declaração no nível de hierarquia.authentication-order[edit system]

Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.

A seguir, as possíveis opções de entrada para pedidos de autenticação:

  • radius— Verifique o usuário usando servidores de autenticação RADIUS.

  • tacplus— Verifique o usuário usando servidores de autenticação TACACS+.

  • — Verifique o usuário usando o nome de usuário e a senha configurados localmente na declaração de autenticação no nível hierárquico .password[edit system login user]

A sequência de autenticação do Challenge Authentication Protocol (CHAP) não pode levar mais de 30 segundos. Se levar mais de 30 segundos para autenticar um cliente, a autenticação será abandonada e uma nova sequência será iniciada.

Por exemplo, suponha que você configure três servidores RADIUS para que o roteador ou switch tente entrar em contato com cada servidor três vezes. Suponha ainda que, a cada nova tentativa, o servidor seja desativado após 3 segundos. Nesse cenário, o tempo máximo dado ao método de autenticação RADIUS antes que a CHAP a considere uma falha é de 27 segundos. Se você adicionar mais servidores RADIUS a essa configuração, eles podem não ser contatados porque o processo de autenticação pode ser abandonado antes que esses servidores sejam julgados.

Junos OS impõe um limite no número de solicitações de servidores de autenticação em pé que a autenticação DOCA pode ter ao mesmo tempo. Assim, um método de servidor de autenticação — RADIUS, por exemplo — pode falhar em autenticar um cliente quando esse limite for excedido. Se a autenticação falhar, a sequência de autenticação é reiniciada pelo roteador ou switch até que a autenticação seja bem sucedida e o link seja estabelecido. No entanto, se os servidores RADIUS estiverem indisponíveis e métodos adicionais de autenticação, como ou também estiverem configurados, o próximo método de autenticação será testado.tacpluspassword

O exemplo a seguir mostra como configurar e autenticar:radiuspassword

O exemplo a seguir mostra como inserir a declaração após a declaração:tacplusradius

O exemplo a seguir mostra como excluir a declaração da ordem de autenticação:radius

Exemplo: Configure a ordem de autenticação

Este exemplo mostra como configurar a ordem de autenticação para login do usuário.

Requisitos

Antes de começar, execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.

Visão geral

Você pode configurar a ordem do método de autenticação que um dispositivo usa para verificar o acesso do usuário ao dispositivo. Para cada tentativa de login, o dispositivo tenta os métodos de autenticação na ordem configurada, até que a senha corresponda ou todos os métodos de autenticação tenham sido tentados. Se você não configurar a autenticação remota, os usuários serão verificados com base em suas senhas locais configuradas.

Este exemplo configura o dispositivo para tentar a autenticação do usuário com serviços de autenticação RADIUS primeiro, depois com serviços de autenticação TACACS+ e, finalmente, com autenticação local de senha.

Ao usar a autenticação local de senha, você deve criar uma conta de usuário local para todos os usuários que queiram acessar o sistema. No entanto, ao usar servidores de autenticação remota, você pode criar contas de modelo (para fins de autorização) que um conjunto de usuários compartilha. Quando um usuário é atribuído a uma conta de modelo, o nome de usuário da interface de linha de comando (CLI) é o nome de login; no entanto, o usuário herda os privilégios, a propriedade dos arquivos e a ID de usuário eficaz da conta modelo.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit

Configuração rápida da GUI
Procedimento passo a passo

Para configurar a ordem de autenticação:

  1. Na interface de usuário J-Web, selecione .Configure>System Properties>User Management

  2. Clique em .Edit A caixa de diálogo de gerenciamento de usuários edita.

  3. Selecione a guia .Authentication Method and Order

  4. Nos métodos disponíveis, selecione o método de autenticação que o dispositivo deve usar para autenticar os usuários. Use o botão de seta para mover o item para a lista de métodos selecionados. Os métodos disponíveis incluem:

    • RADIUS

    • TACACS+

    • Senha local

    Se você quiser usar vários métodos para autenticar usuários, repita esta etapa para adicionar os outros métodos à lista de Métodos Selecionados.

  5. Nos métodos selecionados, use a seta para cima e para baixo para especificar a ordem em que o dispositivo deve executar os métodos de autenticação.

  6. Clique para verificar sua configuração e salvá-la como configuração do candidato.OK

  7. Depois de configurar o dispositivo, clique em .Commit Options>Commit

Procedimento passo a passo

Para configurar a ordem de autenticação:

  1. Exclua qualquer declaração existente .authentication-order

  2. Adicione a autenticação RADIUS à ordem de autenticação.

  3. Adicione a autenticação do TACACS+ à ordem de autenticação.

  4. Adicione a autenticação de senha local à ordem de autenticação.

Resultados

No modo de configuração, confirme sua configuração inserindo o comando.show system authentication-order Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre no modo de configuração.commit

Nota:

Para configurar completamente a autenticação RADIUS ou TACACS+, você deve configurar pelo menos um servidor RADIUS ou TACACS+ e criar contas de usuário ou contas de modelo de usuário.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração da ordem de autenticação

Propósito

Verifique se o dispositivo usa os métodos de autenticação na ordem configurada.

Ação

Crie um usuário de teste que tenha uma senha diferente para cada método de autenticação. Faça login no dispositivo usando as diferentes senhas. Verifique se o dispositivo consulta métodos de autenticação subsequentes quando os métodos anteriores rejeitarem a senha ou não responderem.

Como alternativa, em um ambiente de teste, você pode desativar a configuração do servidor de autenticação ou a configuração da conta do usuário local (ou ambos) para testar cada método de autenticação. Por exemplo, para testar o servidor TACACS+, você pode desativar a configuração do servidor RADIUS e a conta local do usuário. No entanto, se você desativar a conta local do usuário, você deve garantir que o usuário ainda mapeia para uma conta modelo de usuário local, como o modelo do usuário.remote

Exemplo: Configure a autenticação do sistema para RADIUS, TACACS+e autenticação de senhas

O exemplo a seguir mostra como configurar a autenticação do sistema para RADIUS, TACACS+, e autenticação de senha em um dispositivo que executa o Junos OS.

Neste exemplo, apenas o usuário Philip e usuários autenticados por um servidor RADIUS podem fazer login. Se um usuário fizer login e não for autenticado pelo servidor RADIUS, o usuário será negado acesso ao roteador ou switch. Se o servidor RADIUS não estiver disponível, o usuário será autenticado usando o método de autenticação e permitirá o acesso ao roteador ou switch.password Para obter mais informações sobre o método de autenticação de senha, consulte .Visão geral da ordem de autenticação

Quando Philip tenta fazer login no sistema, se o servidor RADIUS o autentica, ele recebe acesso e privilégios para a classe.super-user As contas locais não estão configuradas para outros usuários. Quando eles fazem login no sistema e o servidor RADIUS os autentica, eles recebem acesso usando o mesmo ID de usuário (UID) 9999 e os privilégios associados à classe.operator

Nota:

Para fins de autorização, você pode usar uma conta modelo para criar uma única conta que um conjunto de usuários pode compartilhar ao mesmo tempo. Por exemplo, quando você cria uma conta modelo remota, um conjunto de usuários remotos pode compartilhar simultaneamente um único UID. Para obter mais informações sobre contas de modelo, veja .Exemplo: Configure a ordem de autenticação

Quando um usuário faz login em um dispositivo, o servidor RADIUS ou TACACS+ usa o nome de login do usuário para autenticação. Se o servidor de autenticação autenticar o usuário com sucesso e o usuário não estiver configurado no nível de hierarquia, este é o resultado:[edit system login user] O dispositivo usa a conta de usuário padrão de modelo remoto para o usuário, desde que uma conta modelo remota seja configurada no nível de hierarquia.edit system login user remote A conta de modelo remoto serve como uma conta de usuário modelo padrão para todos os usuários que são autenticados pelo servidor de autenticação, mas não têm uma conta de usuário configurada localmente no dispositivo. Esses usuários compartilham a mesma classe de login e UID.

Para configurar um usuário de modelo alternativo, especifique o parâmetro devolvido no pacote de resposta à autenticação RADIUS.user-name Nem todos os servidores RADIUS permitem que você altere esse parâmetro. O seguinte mostra uma amostra da configuração do Junos OS:

Suponha que seu servidor RADIUS esteja configurado com as seguintes informações:

  • Usuário Philip com senha "olympia"

  • Usuário Alexander com senha "bucephalus" e nome de usuário "operador"

  • Darius do usuário com senha "ruiva" e nome de usuário "operador"

  • Usuário Roxane com senha "athena"

Philip teria acesso como um superusuário () por ter uma conta de usuário local única.super-user Alexander e Darius compartilham o UID 9990 e têm acesso como operadores. Roxane não tem substituição de usuário modelo e, portanto, compartilha o acesso com todos os outros usuários remotos, obtendo acesso somente para leitura.