Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS de servidor para autenticação

Juniper Networks Switches de ethernet use 802.1X, MAC RADIUS ou autenticação de portal cativo para fornecer controle de acesso a dispositivos ou usuários. Quando as autenticações 802.1X, MAC RADIUS ou portais cativos estão configuradas no switch, os dispositivos fim são avaliados na conexão inicial por um servidor de autenticação (RADIUS). Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch de cada RADIUS servidor ao qual deseja se conectar. Leia este tópico para obter mais informações.

Especificando RADIUS conexões de servidor nos switches (procedimento CLI)

IEEE autenticação 802.1X e MAC RADIUS fornecem segurança de borda de rede, protegendo LANs Ethernet do acesso não autorizado do usuário bloqueando todo o tráfego de e para dispositivos na interface até que as credenciais ou o endereço MAC do súplice sejam apresentado e compatíveis no servidor de autenticação (um servidor RADIUS). Quando o súplico é autenticado, o switch para de bloquear o acesso e abre a interface ao súplico.

Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch de cada RADIUS servidor ao qual você se conectará.

Para configurar vários servidores RADIUS, inclua várias radius-server declarações. Quando vários servidores estão configurados, os servidores são acessados por padrão, por ordem de configuração. O primeiro servidor configurado é o servidor principal. Caso o servidor principal não seja inalcançável, o roteador tenta chegar ao segundo servidor configurado e assim por diante. Você pode carregar o balanceamento das solicitações configurando o método round-robin. Os servidores são julgados de maneira completa e em ordem até que uma resposta válida seja recebida de um dos servidores ou até que todos os limites de nova tentativa configurados sejam atingidos.

Nota:

O método de acesso round-robin não é recomendado para uso com switches da Série EX.

Você também pode configurar um nome de domínio (FQDN) totalmente qualificado que resolva um ou mais endereços IP. Veja Especificando RADIUS conexões de servidor nos switches (procedimento CLI) .

Para configurar um RADIUS de segurança no switch:

  1. Configure o endereço IP do servidor RADIUS, o número RADIUS porta de autenticação do servidor e a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor.
    Nota:

    Especificar a porta de autenticação é opcional, e a porta 1812 é o padrão. Entretanto, recomendamos que você a configure para evitar confusão, pois alguns RADIUS servidores podem se referir a um padrão mais antigo.

  2. (Opcional) Especifique o endereço IP pelo qual o switch é identificado pelo RADIUS servidor. Caso você não especifique o endereço IP, o servidor RADIUS usa o endereço da interface que envia a RADIUS solicitação. Recomendamos que você especifique esse endereço IP, porque, se a solicitação for desviada em uma rota alternativa até o servidor RADIUS, a interface que retransmiti a solicitação pode não ser uma interface no switch.
  3. Configure o pedido de autenticação, fazendo radius o primeiro método de autenticação:
  4. (Opcional) Configure o método que o roteador usa para acessar RADIUS servidores de autenticação e contabilidade quando vários servidores estão configurados:
    • direct— O método padrão, no qual não existe balanceamento de carga. O primeiro servidor configurado é o servidor principal; os servidores são acessados por ordem de configuração. Caso o servidor principal não seja inalcançável, o roteador tenta chegar ao segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por meio da rotação das solicitações de roteador entre a lista de servidores RADIUS configuradas. O servidor escolhido para acesso é rodado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como uma primária para a primeira solicitação de autenticação, mas, para a segunda solicitação, o segundo servidor configurado é tratado como principal e assim por diante. Com esse método, todos os servidores configurados recebem em média o mesmo número de solicitações para que nenhum único servidor tenha que lidar com todas as solicitações.

      Nota:

      Quando um RADIUS de dados da lista round-robin fica inacessível, o próximo servidor alcançável na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação, porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor que é usado ocupa a carga de dois servidores.

    • Para configurar o método que o roteador usa para acessar RADIUS de contabilidade:

    • Para configurar o método que o roteador usa para acessar RADIUS de autenticação:

  5. Crie um perfil e especifique a lista de RADIUS servidores a serem associados ao perfil. Por exemplo, você pode escolher agrupar seus RADIUS servidores geograficamente por cidade. Esse recurso permite fácil modificação sempre que você deseja mudar para um enviado diferente de servidores de autenticação.
  6. Especifique o grupo de servidores a ser usado para autenticação 802.1X ou MAC RADIUS, identificando o nome do perfil:
  7. Configure o endereço IP do switch na lista de clientes no RADIUS servidor. Para obter informações sobre a configuração do RADIUS servidor, consulte a documentação do seu servidor.

Configurando um servidor RADIUS usando uma FQDN

Você pode configurar um nome de domínio (FQDN) totalmente qualificado que resolva um ou mais endereços IP. Configure um RADIUS usando uma FQDN no nível edit access radius-server-name hostname [ ] de hierarquia. Quando uma FQDN resolve a vários endereços, os servidores são acessados por padrão, por ordem de configuração. O primeiro endereço resolvido é o servidor principal. Caso o servidor principal não seja alcançável, o roteador tenta chegar ao segundo servidor e assim por diante. Você pode carregar o balanceamento das solicitações configurando o método round-robin. Os servidores são julgados de maneira completa e em ordem até que uma resposta válida seja recebida de um dos servidores ou até que todos os limites de nova tentativa configurados sejam atingidos.

  1. Configure o FQDN do servidor RADIUS, o número RADIUS porta de autenticação do servidor e a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor.
    Nota:

    Especificar a porta de autenticação é opcional, e a porta 1812 é o padrão. Entretanto, recomendamos que você a configure para evitar confusão, pois alguns RADIUS servidores podem se referir a um padrão mais antigo.

  2. (Opcional) Configure o intervalo para resolução de uma FQDN como o endereço do servidor. O FQDN é resolvido dinamicamente em intervalos fixos com base no valor configurado.
  3. (Opcional) Especifique o endereço IP pelo qual o switch é identificado pelo RADIUS servidor. Caso você não especifique o endereço IP, o servidor RADIUS usa o endereço da interface que envia a RADIUS solicitação. Recomendamos que você especifique esse endereço IP, porque, se a solicitação for desviada em uma rota alternativa até o servidor RADIUS, a interface que retransmiti a solicitação pode não ser uma interface no switch.
  4. Configure o pedido de autenticação, fazendo radius o primeiro método de autenticação:
  5. (Opcional) Configure o método que o switch usa para acessar RADIUS servidores de autenticação e contabilidade quando vários servidores estão configurados:
    • direct— O método padrão, no qual não existe balanceamento de carga. O primeiro servidor configurado é o servidor principal; os servidores são acessados por ordem de configuração. Caso o servidor principal não seja inalcançável, o roteador tenta chegar ao segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por meio de solicitações rotativas entre a lista de servidores RADIUS de segurança configurados. O servidor escolhido para acesso é rodado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como uma primária para a primeira solicitação de autenticação, mas, para a segunda solicitação, o segundo servidor configurado é tratado como principal e assim por diante. Com esse método, todos os servidores configurados recebem em média o mesmo número de solicitações para que nenhum único servidor tenha que lidar com todas as solicitações.

      Nota:

      Quando um RADIUS de dados da lista round-robin fica inacessível, o próximo servidor alcançável na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação, porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor que é usado ocupa a carga de dois servidores.

    • Para configurar o método que o switch usa para acessar RADIUS de contabilidade:

    • Para configurar o método que o switch usa para acessar RADIUS de autenticação:

  6. Crie um perfil e especifique a lista de RADIUS servidores a serem associados ao perfil. Por exemplo, você pode escolher agrupar seus RADIUS servidores geograficamente por cidade. Esse recurso permite fácil modificação sempre que você deseja mudar para um conjunto diferente de servidores de autenticação.
  7. Especifique o grupo de servidores a ser usado para autenticação 802.1X ou MAC RADIUS, identificando o nome do perfil:
  8. Configure o endereço IP do switch na lista de clientes no RADIUS servidor. Para obter informações sobre a configuração do RADIUS servidor, consulte a documentação do seu servidor.

Configuração do MS-CHAPv2 para fornecer suporte a mudança de senha (procedimento CLI)

Os switches Junos OS para Série EX permitem configurar a implementação da Microsoft Corporation do Protocolo de Autenticação de MS-CHAPv2 (MS-CHAPv2) do Challenge Authentication Protocol versão 2 (MS-CHAPv2) no switch para fornecer suporte a mudança de senha. Configurar o MS-CHAPv2 no switch fornece aos usuários que acessam um switch a opção de alterar a senha quando a senha expirar, é reinicializado ou está configurado para ser alterado no próximo login.

Consulte RFC 2433, Extensões de CHAPda Microsoft PPP, para obter informações sobre o MS-CHAP.

Antes de configurar o MS-CHAPv2 para fornecer suporte a alterações de senha, garanta que você tenha:

Para configurar o MS-CHAPv2, especifique o seguinte:

Você deve ter a permissão de acesso necessária no switch para alterar a senha.

Configuração do MS-CHAPv2 para suporte a mudança de senha

Antes de configurar o MS-CHAPv2 para suporte a alterações de senha, garanta que tenha feito o seguinte:

  • Parâmetros de RADIUS de autenticação de servidor configurados.

  • De definir a primeira opção tentada na ordem de autenticação para RADIUS servidor.

Você pode configurar a implementação da Microsoft do Challenge Authentication Protocol 2 (MS-CHAPv2) no roteador ou switch para dar suporte à mudança de senhas. Esse recurso fornece aos usuários que acessam um roteador ou comutam a opção de alterar a senha quando a senha expirar, for reinicializado ou configurados para serem alterados na próxima logon.

Para configurar o MS-CHAP-v2, inclua as seguintes declarações no nível [edit system radius-options] da hierarquia:

O exemplo a seguir mostra declarações para configurar o protocolo de senha MS-CHAPv2, ordem de autenticação de senha e contas de usuário:

Entender o failback do servidor e a autenticação nos switches

Juniper Networks Switches de ethernet usar a autenticação para implementar o controle de acesso em uma rede empresarial. Se a autenticação de portais 802.1X, MAC RADIUS ou cativa estiver configurada no switch, os dispositivos fim serão avaliados na conexão inicial por um servidor de autenticação (RADIUS). Se o dispositivo final estiver configurado no servidor de autenticação, o dispositivo terá acesso à LAN e o switch da Série EX abre a interface para permitir o acesso.

A reação de falha do servidor permite especificar como os dispositivos fim conectados ao switch são suportados se o servidor de RADIUS de autenticação ficar indisponível. A reação de falha do servidor é acionada com maior frequência durante a reatenticação quando o servidor já configurado e no uso RADIUS fica inacessível. Entretanto, a reação de falha do servidor também pode ser acionada pela primeira tentativa de autenticação de um dispositivo final pelo RADIUS servidor.

A reação de falha do servidor permite especificar uma das quatro ações a serem tomadas para dispositivos fim que esperam autenticação quando o servidor estiver com o tempo de espera. O switch pode aceitar ou negar o acesso a súplicas ou manter o acesso já concedido a súplicas antes do RADIUS tempo decorrida. Você também pode configurar o switch para mover os súplicas para uma VLAN específica. O VLAN já deve estar configurado no switch. O nome VLAN configurado sobrepõe quaisquer atributos enviados pelo servidor.

  • Permita a autenticação, permitindo que o tráfego flua do dispositivo final pela interface como se o dispositivo final fosse autenticado com sucesso pelo RADIUS servidor.

  • Negar a autenticação, impedindo que o tráfego flua do dispositivo final pela interface. Esse é o padrão.

  • Mova o dispositivo final para uma VLAN especificada caso o switch receba uma mensagem RADIUS de recusa de acesso. O nome VLAN configurado sobrepõe quaisquer atributos enviados pelo servidor. (A VLAN já deve existir no switch.)

  • Mantenha dispositivos end autenticados que já tenham acesso à LAN e que neguem dispositivos fim não autenticados. Se os RADIUS de servidores durante a reatenticação, os dispositivos finais previamente autenticados são reauttenticados e novos usuários ficam sem acesso à LAN.

Configurando RADIUS failback do servidor (procedimento CLI)

Você pode configurar opções de reação de autenticação para especificar como os dispositivos fim conectados a um switch são suportados se o RADIUS de autenticação ficar indisponível.

Ao configurar a autenticação 802.1X ou MAC RADIUS switch, você especificará um servidor de autenticação primária e um ou mais servidores de autenticação de backup. Se o servidor de autenticação primária não puder ser atingido pelo switch e os servidores de autenticação secundários também não serem inalcançáveis, ocorrerá um RADIUS de tempo do servidor. Caso isso ocorra, porque é o servidor de autenticação que conceder ou negar acesso aos dispositivos finais que esperam autenticação, o switch não receberá instruções de acesso para dispositivos finais que tentam acesso à LAN, e a autenticação normal não pode ser concluída.

Você pode configurar o recurso de failback do servidor para especificar uma ação aplicada aos dispositivos fim quando os servidores de autenticação estão indisponíveis. O switch pode aceitar ou negar o acesso a súplicas ou manter o acesso já concedido a súplicas antes do RADIUS tempo decorrida. Você também pode configurar o switch para mover os súplicas para uma VLAN específica.

Você também pode configurar o recurso de recusa do servidor para dispositivos fim que recebem uma mensagem RADIUS de rejeição de acesso do servidor de autenticação. O recurso de rechaçamento de recusa do servidor fornece acesso limitado a uma LAN, normalmente apenas à Internet, para dispositivos fim responsivos que estão habilitadas para 802.1X, mas que enviaram as credenciais erradas.

O failback do servidor é suportado para tráfego de voz a partir da versão 14.1X53-D40 e versão 15.1R4. Para configurar ações de failback do servidor para clientes VoIP que enviam tráfego de voz, use a server-fail-voip declaração. Para todo o tráfego de dados, use a server-fail declaração. O switch determina o método de reação de segurança a ser usado com base no tipo de tráfego enviado pelo cliente. Os quadros de dados não marcados estão sujeitos à ação configurada com, mesmo que sejam server-fail enviados por um cliente VoIP. Os quadros VoIP VLAN tagged estão sujeitos à ação configurada com server-fail-voip . Se server-fail-voip não estiver configurado, o tráfego de voz será descartado.

Nota:

A rechaçada de rejeição do servidor não é suportada para tráfego com tags VoIP VLAN. Se um cliente VoIP iniciar a autenticação enviando tráfego de dados não registrado para uma VLAN enquanto a reação de recusa do servidor está na verdade, o cliente VoIP pode acessar a VLAN de retorno. Se o mesmo cliente enviar tráfego de voz marcado posteriormente, o tráfego de voz será descartado.

Se um cliente VoIP iniciar a autenticação enviando tráfego de voz marcado enquanto a reação de recusa do servidor está em vigor, o cliente VoIP fica impedido de acessar a VLAN de reação rebaixada.

Você pode usar o procedimento a seguir para configurar ações de falha do servidor para clientes de dados. Para configurar o failback do servidor para clientes VoIP que enviam tráfego de voz, use a server-fail-voip declaração no local da server-fail declaração.

Para configurar ações de reação de falha do servidor:

  • Configure uma interface para permitir que o tráfego flua de um súplica até a LAN caso ocorra um timeout de servidor RADIUS (como se o dispositivo final tivesse sido autenticado com sucesso por um servidor RADIUS):
  • Configure uma interface para impedir o fluxo de tráfego de um dispositivo final até a LAN (como se o dispositivo final tivesse falhado na autenticação e tivesse sido impedido de acessar pelo RADIUS servidor):
  • Configure uma interface para mover um dispositivo final para uma VLAN especificada caso ocorra um RADIUS tempo de espera do servidor:
  • Configure uma interface para reconhecer dispositivos end já conectados como reauttenticados caso haja uma RADIUS tempo máximo durante a reauttenticação (novos dispositivos de ponta são de acesso recusado):

Você pode configurar uma interface que recebe uma mensagem de recusa de acesso RADIUS do servidor de autenticação para mover dispositivos fim que tentam o acesso da LAN na interface para uma VLAN recusada pelo servidor, uma VLAN especificada já configurada no switch.

Para configurar um VLAN de recusa de recusa do servidor:

Tabela de histórico de liberação
Versão
Descrição
14.1X53-D40
O failback do servidor é suportado para tráfego de voz a partir da versão 14.1X53-D40 e versão 15.1R4.