Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral da autenticação do usuário

O Junos OS oferece suporte a diferentes métodos de autenticação que você (o administrador de rede) usa para controlar o acesso do usuário à rede. Esses métodos incluem autenticação local de senhas, RADIUS e TACACS+. Você usa um desses métodos de autenticação para validar usuários e dispositivos que tentam acessar o roteador ou switch usando SSH e Telnet. A autenticação impede que dispositivos e usuários não autorizados tenham acesso à sua LAN.

Métodos de autenticação de usuários

O Junos OS oferece suporte a três métodos de autenticação do usuário: autenticação de senha local, RADIUS e TACACS+.

Com a autenticação local de senha, você configura uma senha para cada usuário autorizado a fazer login no roteador ou switch.

RADIUS e TACACS+ são métodos de autenticação para validar usuários que tentam acessar o roteador ou switch usando qualquer um dos métodos de login. Eles são sistemas distribuídos de cliente/servidor — os clientes RADIUS e TACACS+ são executados no roteador ou switch, e o servidor é executado em um sistema de rede remoto.

Você pode configurar o roteador ou switch para ser um cliente RADIUS, TACACS+ ou uma combinação. Você também pode configurar senhas de autenticação no arquivo de configuração do Junos OS. Você pode priorizar os métodos para configurar a ordem em que o software tenta os diferentes métodos de autenticação ao verificar o acesso do usuário.

Configure contas de modelo de usuário locais para autenticação de usuários

Você usa contas de modelo de usuário locais para atribuir diferentes aulas de login e, assim, conceder diferentes permissões aos usuários que forem autenticados por meio de um servidor de autenticação remota. Cada modelo pode definir um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo. Você define os modelos localmente no roteador ou switch, e os servidores de autenticação TACACS+ e RADIUS fazem referência aos modelos. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, propriedade de arquivos e ID de usuário eficaz da conta modelo.

Quando você configura modelos de usuário locais e um login de usuário, o Junos OS emite uma solicitação ao servidor de autenticação para autenticar o nome de login do usuário. Se o usuário for autenticado, o servidor retorna o nome de usuário local ao Junos OS ( para TACACS+e para RADIUS).local-user-nameJuniper-Local-User-Name O Junos OS determina então se um nome de usuário local é especificado para esse nome de login e, se sim, o Junos OS atribui o usuário a esse modelo de usuário local. Se um modelo de usuário local não existir para o usuário autenticado, o roteador ou o switch ficarão inadimplentes com o modelo, se configurado.remote

Para configurar um modelo de usuário local, defina o nome de usuário do modelo no nível de hierarquia.[edit system login] Atribua uma classe para especificar os privilégios que deseja conceder aos usuários locais a quem o modelo se aplica:

Para atribuir um usuário ao modelo de usuário local, configure o servidor de autenticação remota com o parâmetro apropriado ( para TACACS+e para RADIUS) e especifique o nome de usuário definido para o modelo de usuário local.local-user-nameJuniper-Local-User-Name Para configurar diferentes privilégios de acesso para usuários que compartilham a conta modelo de usuário local, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.

Este exemplo configura os modelos e os modelos do usuário no dispositivo local.salesengineering O arquivo de configuração de servidor TACACS+ atribui os usuários a modelos específicos.

Quando os usuários Simon e Rob são autenticados, o roteador ou switch aplica o modelo de usuário local.sales Quando os usuários de login Harold e Jim são autenticados, o roteador ou switch aplica o modelo de usuário local.engineering

Configure contas de modelo de usuário remoto para autenticação de usuários

O dispositivo de rede pode mapear usuários autenticados remotamente para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. A conta modelo é um modelo de usuário especial.remote Por padrão, Junos OS atribui usuários autenticados remotamente à conta modelo, se configurado, quando:remote

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

Para configurar a conta do modelo, inclua a declaração no nível de hierarquia e especifique a classe de login para usuários atribuídos ao modelo:remoteuser remote[edit system login]remote

Para configurar diferentes privilégios de acesso para usuários que compartilham a conta modelo, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.remote

Exemplo: Criar contas modelo

Este exemplo mostra como criar contas modelo.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Você pode criar contas modelo que são compartilhadas por um conjunto de usuários quando estiver usando a autenticação RADIUS ou TACACS+. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, propriedade de arquivos e ID de usuário eficaz da conta modelo.

Por padrão, Junos OS atribui usuários autenticados remotamente à conta modelo quando:remote

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

Neste exemplo, você cria a conta modelo e define o nome de usuário e a classe de login para o usuário como .remoteremoteoperator O dispositivo atribui o modelo a usuários que são autenticados pelo RADIUS, ou TACACS+ mas que não têm uma conta de usuário local ou pertencem a uma conta modelo local diferente.remote

Em seguida, você cria uma conta modelo local e define o nome de usuário como administrador e a classe de login como superusuário. Você usa contas de modelo locais quando precisa atribuir usuários autenticados remotamente a diferentes aulas de login. Assim, cada modelo pode conceder um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo de usuário.

Configuração

Crie uma conta modelo remota

Procedimento passo a passo

Para criar a conta modelo:remote

  • Definir o nome de usuário e a aula de login para o usuário.remote

Resultados

No modo de configuração, confirme sua configuração inserindo o comando.show system login Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre no modo de configuração.commit

Crie uma conta de modelo local

Procedimento passo a passo

Para criar uma conta de modelo local:

  1. Definir o nome de usuário e a classe de login para o modelo de usuário.

Resultados

No modo de configuração, confirme sua configuração inserindo o comando.show system login Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre no modo de configuração.commit

Nota:

Para configurar completamente a autenticação RADIUS ou TACACS+, você deve configurar pelo menos um servidor RADIUS ou TACACS+ e especificar uma ordem de autenticação do sistema. Para obter mais informações, veja as seguintes tarefas:

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a criação de contas modelo

Propósito

Verifique se as contas modelo foram criadas.

Ação

No modo operacional, entre no comando.show system login

O que são servidores de autenticação remota?

Você provavelmente já usa um servidor de autenticação remota (ou servidores) em sua rede. Usar esses servidores é uma prática recomendada, pois eles permitem que você crie um conjunto consistente de contas de usuário centralmente para todos os dispositivos da sua rede. Gerenciar contas de usuário é muito mais fácil quando você usa servidores de autenticação remota para implementar uma solução de autenticação, autorização e prestação de contas (AAA) em sua rede.

A maioria das empresas usa um ou mais dos três métodos básicos de autenticação remota: RADIUS e TACACS+. O Junos OS oferece suporte aos três métodos e você pode configurar o Junos OS para consultar qualquer tipo de servidor de autenticação remota. A ideia por trás de um servidor RADIUS ou TACACS+ é simples: Cada um atua como um servidor de autenticação central que roteadores, switches, dispositivos de segurança e servidores podem usar para autenticar os usuários enquanto tentam acessar esses sistemas. Pense nas vantagens que um diretório central de usuários oferece para a auditoria de autenticação e controle de acesso em um modelo cliente/servidor. Os métodos de autenticação RADIUS e TACACS+ oferecem vantagens comparáveis para sua infraestrutura de rede.

Usar um servidor central tem várias vantagens sobre a alternativa de criar usuários locais em cada dispositivo, uma tarefa demorada e propensa a erros. Um sistema central de autenticação também simplifica o uso de sistemas de senha única, como o SecureID, que oferecem proteção contra ataques de sniffing de senha e repetição de senha. Nesses ataques, alguém pode usar uma senha capturada para se passar por administrador de sistema.

  • RADIUS — Você deve usar o RADIUS quando suas prioridades são a interoperabilidade e o desempenho.

    • Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Embora o TACACS+ ofereça mais protocolos, o RADIUS tem suporte universal.

    • Desempenho — O RADIUS é muito mais leve em seus roteadores e switches do que o TACACS+. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS em vez do TACACS+.

  • TACACS+— Você deve usar o TACACS+ quando suas prioridades são segurança e flexibilidade.

    • Segurança — O TACACS+ é mais seguro que o RADIUS. Não só a sessão completa é criptografada, mas a autorização e a autenticação são feitas separadamente para impedir que qualquer pessoa tente forçar sua entrada em sua rede.

    • Flexibilidade — O protocolo de controle de transmissão (TCP) é um protocolo de transporte mais flexível do que o UDP. Você pode fazer mais com o TCP em redes mais avançadas. Além disso, o TACACS+ oferece suporte a mais protocolos empresariais, como o NetBIOS.