Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do servidor RADIUS para autenticação

Os switches de ethernet da Juniper Networks usam autenticação cativa de portal 802.1X, MAC RADIUS ou cativo para fornecer controle de acesso aos dispositivos ou usuários. Quando as autenticações de portal cativo 802.1X, MAC RADIUS ou cativas são configuradas no switch, os dispositivos finais são avaliados na conexão inicial por um servidor de autenticação (RADIUS). Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch para cada servidor RADIUS ao qual deseja se conectar. Leia este tópico para obter mais informações.

Especificando as conexões do servidor RADIUS em switches (procedimento CLI)

A autenticação IEEE 802.1X e MAC RADIUS oferece segurança de borda de rede, protegendo as LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para dispositivos na interface até que as credenciais do suplicante ou endereço MAC sejam apresentadas e combinadas no (um servidor RADIUS).authentication server Quando o suplicante é autenticado, o switch para de bloquear o acesso e abre a interface para o suplicante.

Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch para cada servidor RADIUS ao qual você se conectará.

Para configurar vários servidores RADIUS, inclua várias declarações.radius-server Quando vários servidores são configurados, os servidores são acessados por ordem de configuração, por padrão. O primeiro servidor configurado é o servidor principal. Se o servidor primário for inalcançável, o roteador tenta alcançar o segundo servidor configurado e assim por diante. Você pode carregar o equilíbrio das solicitações configurando o método round-robin. Os servidores são testados em ordem e de forma redonda até que uma resposta válida seja recebida de um dos servidores, ou até que todos os limites de remetria configurados sejam alcançados.

Nota:

O método de acesso round-robin não é recomendado para uso com switches da Série EX.

Você também pode configurar um nome de domínio totalmente qualificado (FQDN) que se resolve em um ou mais endereços IP. Veja .Especificando as conexões do servidor RADIUS em switches (procedimento CLI)

Para configurar um servidor RADIUS no switch:

  1. Configure o endereço IP do servidor RADIUS, o número da porta de autenticação do servidor RADIUS e a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor.
    Nota:

    Especificar a porta de autenticação é opcional, e a porta 1812 é o padrão. No entanto, recomendamos que você o configure para evitar confusão, pois alguns servidores RADIUS podem se referer a um padrão mais antigo.

  2. (Opcional) Especifique o endereço IP pelo qual o switch é identificado pelo servidor RADIUS. Se você não especificar o endereço IP, o servidor RADIUS usa o endereço da interface que envia a solicitação RADIUS. Recomendamos que você especifique este endereço IP porque se a solicitação for desviada em uma rota alternativa para o servidor RADIUS, a interface que transmite a solicitação pode não ser uma interface no switch.
  3. Configure a ordem de autenticação, fazendo o primeiro método de autenticação:radius
  4. (Opcional) Configure o método que o roteador usa para acessar servidores de autenticação e contabilidade RADIUS quando vários servidores estiverem configurados:
    • direct— O método padrão, no qual não há balanceamento de carga. O primeiro servidor configurado é o servidor principal; os servidores são acessados por ordem de configuração. Se o servidor primário for inalcançável, o roteador tenta alcançar o segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por solicitações de roteador rotativo entre a lista de servidores RADIUS configurados. O servidor escolhido para acesso é rotacionado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como primário para a primeira solicitação de autenticação, mas para a segunda solicitação, o segundo servidor configurado é tratado como primário e assim por diante. Com esse método, todos os servidores configurados recebem aproximadamente o mesmo número de solicitações em média para que nenhum servidor único tenha que lidar com todas as solicitações.

      Nota:

      Quando um servidor RADIUS na lista de round-robin se torna inalcançável, o próximo servidor acessível na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor que é usado ocupa a carga de dois servidores.

    • Para configurar o método que o roteador usa para acessar servidores de contabilidade RADIUS:

    • Para configurar o método que o roteador usa para acessar servidores de autenticação RADIUS:

  5. Crie um perfil e especifique a lista de servidores RADIUS a serem associados ao perfil. Por exemplo, você pode optar por agrupar seus servidores RADIUS geograficamente por cidade. Esse recurso permite uma modificação fácil sempre que você quiser mudar para um envio diferente de servidores de autenticação.
  6. Especifique o grupo de servidores a ser usado para autenticação 802.1X ou MAC RADIUS identificando o nome do perfil:
  7. Configure o endereço IP do switch na lista de clientes no servidor RADIUS. Para obter informações sobre a configuração do servidor RADIUS, consulte a documentação para o seu servidor.

Configuração de um servidor RADIUS usando uma FQDN

Você pode configurar um nome de domínio totalmente qualificado (FQDN) que se resolve em um ou mais endereços IP. Configure um servidor RADIUS usando uma FQDN no nível [] de hierarquia.edit access radius-server-name hostname Quando uma FQDN se resolve em vários endereços, os servidores são acessados por ordem de configuração, por padrão. O primeiro endereço resolvido é o servidor principal. Se o servidor primário for inalcançável, o roteador tenta alcançar o segundo servidor e assim por diante. Você pode carregar o equilíbrio das solicitações configurando o método round-robin. Os servidores são testados em ordem e de forma redonda até que uma resposta válida seja recebida de um dos servidores, ou até que todos os limites de remetria configurados sejam alcançados.

  1. Configure o FQDN do servidor RADIUS, o número da porta de autenticação do servidor RADIUS e a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor.
    Nota:

    Especificar a porta de autenticação é opcional, e a porta 1812 é o padrão. No entanto, recomendamos que você o configure para evitar confusão, pois alguns servidores RADIUS podem se referer a um padrão mais antigo.

  2. (Opcional) Configure o intervalo para a resolução de uma FQDN como endereço do servidor. O FQDN é resolvido dinamicamente em intervalos fixos com base no valor configurado.
  3. (Opcional) Especifique o endereço IP pelo qual o switch é identificado pelo servidor RADIUS. Se você não especificar o endereço IP, o servidor RADIUS usa o endereço da interface que envia a solicitação RADIUS. Recomendamos que você especifique este endereço IP porque se a solicitação for desviada em uma rota alternativa para o servidor RADIUS, a interface que transmite a solicitação pode não ser uma interface no switch.
  4. Configure a ordem de autenticação, fazendo o primeiro método de autenticação:radius
  5. (Opcional) Configure o método que o switch usa para acessar servidores de autenticação e contabilidade RADIUS quando vários servidores estiverem configurados:
    • direct— O método padrão, no qual não há balanceamento de carga. O primeiro servidor configurado é o servidor principal; os servidores são acessados por ordem de configuração. Se o servidor primário for inalcançável, o roteador tenta alcançar o segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por solicitações rotativas entre a lista de servidores RADIUS configurados. O servidor escolhido para acesso é rotacionado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como primário para a primeira solicitação de autenticação, mas para a segunda solicitação, o segundo servidor configurado é tratado como primário e assim por diante. Com esse método, todos os servidores configurados recebem aproximadamente o mesmo número de solicitações em média para que nenhum servidor único tenha que lidar com todas as solicitações.

      Nota:

      Quando um servidor RADIUS na lista de round-robin se torna inalcançável, o próximo servidor acessível na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor que é usado ocupa a carga de dois servidores.

    • Para configurar o método que o switch usa para acessar servidores de contabilidade RADIUS:

    • Para configurar o método que o switch usa para acessar servidores de autenticação RADIUS:

  6. Crie um perfil e especifique a lista de servidores RADIUS a serem associados ao perfil. Por exemplo, você pode optar por agrupar seus servidores RADIUS geograficamente por cidade. Esse recurso permite uma modificação fácil sempre que você quiser mudar para um conjunto diferente de servidores de autenticação.
  7. Especifique o grupo de servidores a ser usado para autenticação 802.1X ou MAC RADIUS identificando o nome do perfil:
  8. Configure o endereço IP do switch na lista de clientes no servidor RADIUS. Para obter informações sobre a configuração do servidor RADIUS, consulte a documentação para o seu servidor.

Entenda as solicitações DE ROUND-Robin com reconhecimento de sessão

A partir do Junos OS Release 22.4R1, os serviços de autenticação (authd) estão cientes da sessão quando o algoritmo round-robin é configurado para que a solicitação de acesso correspondente seja enviada ao mesmo servidor RADIUS em resposta ao desafio de acesso do servidor RADIUS, o que resulta em autenticação bem-sucedida.

De acordo com o comportamento existente, ao receber o desafio de acesso e o atributo de estado de um dos servidores RADIUS, a solicitação de acesso correspondente é enviada ao próximo RADIUS Server usando o algoritmo Round-robin. Como o próximo servidor RADIUS não tem um registro desta sessão, ele rejeita a solicitação de acesso que resulta em falha de autenticação. Com o novo recurso, o algoritmo correspondente é configurado para que a respectiva solicitação de acesso seja enviada ao mesmo servidor RADIUS em resposta ao desafio de acesso do servidor RADIUS, e isso resulta em autenticação bem-sucedida. Se o servidor RADIUS não responder com um desafio de acesso, ele aceita ou rejeita a solicitação. Para a próxima solicitação de autenticação, as solicitações são enviadas ao próximo servidor RADIUS de acordo com o método Round-robin. Qualquer número de desafios de acesso pode ser enviado do servidor RADIUS em resposta a cada solicitação de acesso e authd responde ao mesmo servidor RADIUS até que a solicitação seja aceita ou recusada pelo servidor RADIUS.

Observe que esse recurso é suportado apenas para clientes authd-lite (dot1x etc) e não para clientes de banda larga que usam protocolo ponto a ponto (PPP), pois isso não é suportado em clientes de banda larga. Além disso, as mensagens de desafio de acesso são trocadas entre o cliente RADIUS e o servidor RADIUS apenas em caso de autenticação, e não para contabilidade.

Configuração do MS-CHAPv2 para fornecer suporte a alterações de senha (procedimento CLI)

O Junos OS para switches da Série EX permite que você configure a implementação da Microsoft Corporation do Challenge Authentication Protocol versão 2 (MS-CHAPv2) no switch para oferecer suporte a mudanças de senha. A configuração do MS-CHAPv2 no switch oferece aos usuários que acessam um switch a opção de alterar a senha quando a senha expirar, é redefinida ou está configurada para ser alterada no próximo login.

Veja as extensões RFC 2433, Microsoft PPP CHAP, para obter informações sobre o MS-CHAP.

Antes de configurar o MS-CHAPv2 para fornecer suporte a alterações de senha, certifique-se de que você tem:

Para configurar o MS-CHAPv2, especifique o seguinte:

Você deve ter a permissão de acesso necessária no switch para alterar sua senha.

Configuração do MS-CHAPv2 para suporte a alterações de senha

Antes de configurar o MS-CHAPv2 para suporte a alterações de senha, certifique-se de ter feito o seguinte:

  • Parâmetros de autenticação de servidor RADIUS configurados.

  • Defina a primeira opção testada na ordem de autenticação para o servidor RADIUS.

Você pode configurar a implementação da Microsoft do Challenge Authentication Protocol versão 2 (MS-CHAPv2) no roteador ou switch para oferecer suporte à mudança de senhas. Esse recurso oferece aos usuários que acessam um roteador ou switch a opção de alterar a senha quando a senha expirar, é redefinida ou está configurada para ser alterada no próximo logotipo.

Para configurar o MS-CHAP-v2, inclua as seguintes declarações no nível de hierarquia:[edit system radius-options]

O exemplo a seguir mostra declarações para configurar o protocolo de senha MS-CHAPv2, ordem de autenticação de senha e contas de usuário:

Entendendo a falha do servidor e a autenticação em switches

Os switches de ethernet da Juniper Networks usam a autenticação para implementar o controle de acesso em uma rede empresarial. Se a autenticação do portal cativo 802.1X, MAC RADIUS ou cativa for configurada no switch, os dispositivos finais serão avaliados na conexão inicial por um servidor de autenticação (RADIUS). Se o dispositivo final estiver configurado no servidor de autenticação, o dispositivo recebe acesso à LAN e o switch da Série EX abre a interface para permitir o acesso.

O fallback de falha do servidor permite que você especifique como os dispositivos finais conectados ao switch são suportados se o servidor de autenticação RADIUS ficar indisponível. O fallback de falha do servidor é desencadeado com maior frequência durante a reauthenticação, quando o servidor RADIUS já configurado e em uso se torna inacessível. No entanto, o fallback de falha do servidor também pode ser desencadeado pela primeira tentativa de autenticação de um dispositivo final através do servidor RADIUS.

O fallback de falha do servidor permite que você especifique uma das quatro ações a serem tomadas para dispositivos finais que aguardam autenticação quando o servidor é cronometrado. O switch pode aceitar ou negar acesso a suplicantes ou manter o acesso já concedido a suplicantes antes que o intervalo RADIUS ocorra. Você também pode configurar o switch para mover os suplicantes para uma VLAN específica. A VLAN já deve estar configurada no switch. O nome VLAN configurado substitui quaisquer atributos enviados pelo servidor.

  • Permit autenticação, permitindo que o tráfego flua do dispositivo final pela interface como se o dispositivo final fosse autenticado com sucesso pelo servidor RADIUS.

  • Deny autenticação, impedindo que o tráfego flua do dispositivo final pela interface. Esse é o padrão.

  • Move o dispositivo final para uma VLAN especificada se o switch receber uma mensagem de rejeição de acesso RADIUS. O nome VLAN configurado substitui quaisquer atributos enviados pelo servidor. (A VLAN já deve existir no switch.)

  • dispositivos finais autenticados que já têm acesso a LAN e dispositivos finais não autenticados.Sustaindeny Se os servidores RADIUS perderem tempo durante a reauthenticação, os dispositivos finais autenticados anteriormente serão reauthenticados e novos usuários serão impedidos de acessar a LAN.

Configuração do fail fallback do servidor RADIUS (procedimento CLI)

Você pode configurar opções de fallback de autenticação para especificar como os dispositivos finais conectados a um switch são suportados se o servidor de autenticação RADIUS ficar indisponível.

Quando você configura a autenticação do 802.1X ou MAC RADIUS no switch, você especifica um servidor de autenticação primária e um ou mais servidores de autenticação de backup. Se o servidor de autenticação primária não puder ser alcançado pelo switch e os servidores de autenticação secundária também forem inalcançáveis, ocorre um tempo limite de servidor RADIUS. Se isso acontecer, porque é o servidor de autenticação que concede ou nega acesso aos dispositivos finais aguardando autenticação, o switch não recebe instruções de acesso para dispositivos finais que tentam acesso à LAN, e a autenticação normal não pode ser concluída.

Você pode configurar o recurso de fail fallback do servidor para especificar uma ação que o switch se aplica aos dispositivos finais quando os servidores de autenticação estão indisponíveis. O switch pode aceitar ou negar acesso a suplicantes ou manter o acesso já concedido a suplicantes antes que o intervalo RADIUS ocorra. Você também pode configurar o switch para mover os suplicantes para uma VLAN específica.

Você também pode configurar o recurso de rejeição de falhas do servidor para dispositivos finais que recebem uma mensagem de rejeição de acesso RADIUS do servidor de autenticação. O recurso de rejeição de servidores oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais responsivos habilitados para 802.1X, mas que enviaram as credenciais erradas.

O fallback de falha do servidor é suportado para tráfego de voz a partir do lançamento 14.1X53-D40 e versão 15.1R4. Para configurar ações de failback de servidor para clientes VoIP que enviam tráfego de voz, use a declaração.server-fail-voip Para todo o tráfego de dados, use a declaração.server-fail O switch determina o método de retorno de queda a ser usado com base no tipo de tráfego enviado pelo cliente. Os quadros de dados não registrados estão sujeitos à ação configurada, mesmo que sejam enviados por um cliente VoIP.server-fail Os quadros VLAN voIP com tags estão sujeitos à ação configurada com .server-fail-voip Se não estiver configurado, o tráfego de voz cairá.server-fail-voip

Nota:

O fallback de rejeição de servidor não é suportado pelo tráfego com tags VoIP VLAN. Se um cliente VoIP iniciar a autenticação enviando tráfego de dados não registrado para uma VLAN enquanto o servidor rejeita o fallback, o cliente VoIP pode acessar o VLAN de fallback. Se o mesmo cliente posteriormente enviar tráfego de voz marcado, o tráfego de voz será descartado.

Se um cliente VoIP iniciar a autenticação enviando tráfego de voz com tags enquanto o servidor rejeitar o fallback estiver em vigor, o cliente VoIP terá acesso negado ao VLAN de fallback.

Você pode usar o procedimento a seguir para configurar ações de falha de servidor para clientes de dados. Para configurar o fallback de falha do servidor para clientes VoIP que enviam tráfego de voz, use a declaração no lugar da declaração.server-fail-voipserver-fail

Para configurar ações de fail fallback do servidor:

  • Configure uma interface para permitir que o tráfego flua de um suplicante para a LAN se ocorrer um tempo limite de servidor RADIUS (como se o dispositivo final tivesse sido autenticado com sucesso por um servidor RADIUS):
  • Configure uma interface para evitar o fluxo de tráfego de um dispositivo final para a LAN (como se o dispositivo final tivesse falhado na autenticação e tivesse sido negado acesso pelo servidor RADIUS):
  • Configure uma interface para mover um dispositivo final para um VLAN especificado se ocorrer um tempo limite de servidor RADIUS:
  • Configure uma interface para reconhecer dispositivos finais já conectados como reauthenticados se houver um tempo limite RADIUS durante a reauthenção (novos dispositivos finais são negados ao acesso):

Você pode configurar uma interface que recebe uma mensagem de rejeição de acesso RADIUS do servidor de autenticação para mover dispositivos finais que tentam acesso LAN na interface para uma VLAN de rejeição de servidor, uma VLAN especificada já configurada no switch.

Para configurar um servidor rejeitar o fallback VLAN:

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
14.1X53-D40
O fallback de falha do servidor é suportado para tráfego de voz a partir do lançamento 14.1X53-D40 e versão 15.1R4.