Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS autenticação

Junos OS aceita RADIUS para autenticação central de usuários em dispositivos de rede. Para RADIUS autenticação no dispositivo, você (o administrador da rede) deve configurar informações sobre um ou mais RADIUS servidores na rede. Você também pode configurar uma RADIUS no dispositivo para coletar dados estatísticos sobre os usuários que entraram ou sairam de uma LAN e enviar os dados para um RADIUS de contabilidade.

Configurar RADIUS autenticação de servidor

RADIUS autenticação é um método de autenticação de usuários que tentam acessar um dispositivo de rede. As seções a seguir descreverão por que você usaria RADIUS e como configurá-lo.

Por que usar RADIUS

Você (o administrador da rede) pode usar diferentes protocolos para a autenticação central de usuários em dispositivos de rede, incluindo RADIUS e TACACS+. Recomendamos RADIUS, porque ele é um padrão de IETF de vários IETF e seus recursos são mais aceitos do que os de TACACS+ ou outros sistemas proprietários. Além disso, recomendamos usar um sistema com senha única para aumentar a segurança, e todos os fornecedores desses sistemas RADIUS.

Você deve usar a RADIUS quando suas prioridades são interoperabilidade e desempenho:

  • Interoperabilidade — RADIUS é mais interoperável do que o TACACS+, principalmente por causa da natureza proprietária do TACACS+. Embora o TACACS+ suporte a mais protocolos, RADIUS é universalmente suportado.

  • Desempenho — RADIUS é muito mais leve em seus roteadores e switches. Por isso, os engenheiros de rede geralmente RADIUS a TACACS+.

Configurar RADIUS do servidor

Para usar RADIUS autenticação no dispositivo, configure informações sobre um ou mais RADIUS servidores na rede, incluindo uma instrução no nível da hierarquia para cada radius-server[edit system] RADIUS servidor. O dispositivo consulta os RADIUS de segurança na ordem em que estão configurados. Se o servidor principal (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O dispositivo de rede pode mapear RADIUS usuários autenticados para uma conta de usuário ou modelo de usuário definida localmente, o que determina a autorização. Por padrão, Junos OS atribue RADIUS usuários autenticados à conta do modelo do remote usuário, se configurada, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O RADIUS não designa o usuário a um modelo de usuário local ou o modelo atribuído pelo servidor não está configurado no dispositivo local.

O RADIUS servidor pode designar um usuário autenticado a um modelo de usuário diferente para conceder permissões administrativas diferentes a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e ID do usuário eficaz do modelo atribuído. Caso o usuário RADIUS autenticado não mapeie para qualquer conta de usuário ou modelo de usuário definido localmente, e o modelo não estiver configurado, a autenticação remote falhará.

Nota:

O remote nome de usuário é um caso especial e deve ser sempre Junos OS minúscula. Ele funciona como um modelo para usuários que são autenticados por um servidor remoto, mas que não têm uma conta de usuário configurada localmente no dispositivo. Junos OS aplica as permissões do modelo a usuários remote autenticados sem uma conta definida localmente. Todos os usuários mapeados com remote o modelo estão na mesma classe de login.

Como você configura a autenticação remota em vários dispositivos, é comum configurá-la dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global . Usar um grupo de configuração é opcional.

Para configurar a autenticação por um RADIUS servidor:

  1. Configure o endereço IPv4 ou o endereço IPv6 do RADIUS autenticação.

    Por exemplo:

  2. (Opcional) Configure o endereço de origem do pacote para solicitações enviadas ao RADIUS servidor.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor RADIUS, atribua um endereço IP que o dispositivo pode usar para toda a sua comunicação com o RADIUS servidor. Com isso, define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  3. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o RADIUS servidor.

    A senha configurada deve corresponder à senha configurada no RADIUS servidor. Se a senha contiver espaços, contive-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta na qual entrar em contato com o RADIUS, se diferente do padrão.

    A porta padrão é 1812 (conforme especificado em RFC 2865).

    Por exemplo:

    Nota:

    Você também pode configurar a accounting-port instrução para especificar para qual porta RADIUS servidor para enviar pacotes de contabilidade. O padrão é 1813 (conforme especificado em RFC 2866).

  5. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com o servidor RADIUS e o tempo que o dispositivo espera para receber uma resposta do servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e espera três segundos. Você pode configurar o retry valor de 1 a 100 vezes e timeout o valor de 1 a 1000 segundos.

    Por exemplo, entrar em contato com um RADIUS 2 vezes e esperar 10 segundos por uma resposta:

  6. Especifique o pedido de autenticação e inclua a radius opção.

    No exemplo a seguir, sempre que um usuário tenta fazer login, primeiro consulta o RADIUS Junos OS servidor para autenticação. Caso isso não seja possível, ele consulta o servidor TACACS+. Se isso falhar, ele tenta a autenticação com contas de usuário configuradas localmente.

  7. Atribua uma classe de login RADIUS usuários autenticados que não tenham uma conta de usuário definida localmente.

    Você configura uma conta de modelo de usuário da mesma maneira que uma conta de usuário local, exceto que você não configura uma senha de autenticação local porque o RADIUS servidor autentica o usuário.

    • Para usar as mesmas permissões para todos RADIUS usuários autenticados, configure o remote modelo de usuário.

      Por exemplo:

    • Para usar diferentes classes de login para diferentes RADIUS usuários autenticados por RADIUS, conceder a eles diferentes permissões:

      1. Crie vários modelos de usuário na Junos OS configuração. Por exemplo:

      2. Configure o RADIUS de dados para mapear o usuário autenticado no modelo de usuário apropriado.

        Dequira o Juniper-Local-User-Name Juniper VSA (atributo específico do fornecedor) (Fornecedor 2636, tipo 1, string) em nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou SU. O RADIUS de dados inclui o atributo na mensagem RADIUS Access-Accept. A autenticação falha se o dispositivo não puder designar um usuário para uma conta de usuário local ou modelo de usuário, e o modelo do usuário remote não estiver configurado.

Configure RADIUS para usar a instância de gerenciamento

Por padrão, rotas de autenticação, autorização e pacotes de contabilidade para RADIUS Junos OS pela instância de roteamento padrão. Você também pode roteá-RADIUS pacotes por meio de uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear RADIUS pacotes pela instância mgmt_junos de gerenciamento:

  1. Ative a mgmt_junos instância de gerenciamento.

  2. Configure a routing-instance mgmt_junos instrução para o RADIUS de autenticação e o RADIUS de contabilidade, se estiver configurado.

Exemplo: Configure um servidor RADIUS para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um RADIUS servidor.

Requisitos

Antes de começar:

  • Realize a configuração inicial do dispositivo. Consulte o guia "Começar a começar" para seu dispositivo.

  • Configurar pelo menos um RADIUS servidor em sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor RADIUS com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor RADIUS como Radiussecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especificará o endereço de origem que o dispositivo usa RADIUS solicitações de servidor. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte a vários métodos de autenticação de usuário, como autenticação de senha local, RADIUS e TACACS+, no dispositivo de rede, Ao configurar vários métodos de autenticação, você pode priorizar a ordem na qual o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar RADIUS serviços de autenticação primeiro e, em caso de falha, tentar a autenticação de senha local.

Um RADIUS autenticado deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário autenticado por RADIUS não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do remote usuário, se estiver configurado. Este exemplo configura o remote modelo de usuário.

Cópia de

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar um servidor RADIUS para autenticação do sistema:

  1. Adicione um novo servidor RADIUS e desmarcar seu endereço IP.

  2. Especifique a senha (senha) compartilhada do RADIUS servidor.

  3. Especifique o endereço de loopback do dispositivo como o endereço de origem.

  4. Especifique a ordem de autenticação do dispositivo e inclua a radius opção.

  5. Configure o remote modelo de usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração ao entrar no show system comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas as porções da hierarquia de configuração relevantes para este exemplo.

Após configurar o dispositivo, insira commit o modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar a configuração RADIUS servidor

Propósito

Verificar se o servidor RADIUS autentica os usuários.

Ação

Faça login no dispositivo de rede e verifique se o login foi bem-sucedido. Para verificar se o dispositivo usa o servidor RADIUS para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.

Configurar RADIUS autenticação (Série QFX ou Série OCX)

RADIUS autenticação é um método de autenticação de usuários que tentam acessar o roteador ou switch. As tarefas para configurar RADIUS autenticação são:

Nota:

A source-address declaração não é suportada em nível de hierarquia no sistema [edit system-radius-server name] QFabric.

Configurar RADIUS detalhes do servidor

Para usar RADIUS autenticação no roteador ou switch, configure informações sobre um ou mais servidores RADIUS na rede, incluindo uma instrução no nível da hierarquia de cada radius-server[edit system] servidor RADIUS:

endereço de servidor é o endereço do RADIUS servidor.

Você pode especificar uma porta na qual entrar em contato com o RADIUS servidor. Por padrão, a porta número 1812 é usada (conforme especificado na RFC 2865). Você também pode especificar uma porta de contabilidade para enviar pacotes de contabilidade. O padrão é 1813 (conforme especificado em RFC 2866).

Você deve especificar uma senha na secret password declaração. Se a senha contiver espaços, contive-a entre aspas. O segredo usado pelo roteador ou switch local deve combinar com o usado pelo servidor.

Opcionalmente, você pode especificar a quantidade de tempo que o roteador ou switch local espera para receber uma resposta de um servidor RADIUS (na declaração) e o número de vezes que o roteador ou switch tenta entrar em contato com um servidor de autenticação timeout RADIUS (na retry declaração). Por padrão, o roteador ou switch espera 3 segundos. Você pode configurar esse valor de 1 a 90 segundos. Por padrão, o roteador ou switch reajusta a conexão com o servidor três vezes. Você pode configurar esse valor de 1 a 10 vezes.

Você pode usar a instrução para especificar um endereço lógico para servidores source-address individuais ou vários RADIUS servidores.

Para configurar vários servidores RADIUS, inclua várias radius-server declarações.

Para configurar um conjunto de usuários que compartilham uma única conta para fins de autorização, você cria um usuário de modelo. Para isso, inclua a user declaração em nível de [edit system login] hierarquia, conforme descrito em Exemplo: Configurar pedido de autenticação .

Você também pode configurar RADIUS autenticação nos níveis [edit access] e [edit access profile] na hierarquia. O Junos OS usa a seguinte ordem de pesquisa para determinar qual conjunto de servidores é usado para autenticação:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configure o MS-CHAPv2 para suporte a mudança de senha

Antes de configurar o MS-CHAPv2 para suporte a alterações de senha, garanta que:

  • Configure os parâmetros RADIUS de autenticação do servidor.

  • authentication-orderDejuste o servidor de RADIUS para a tentativa inicial de senha.

Você pode configurar a implementação da Microsoft do Challenge Authentication Protocol 2 (MS-CHAPv2) no roteador ou switch para dar suporte à mudança de senhas. Esse recurso fornece aos usuários que acessam um roteador ou alteram a opção de alterar a senha quando a senha expirar, for reinicializado ou configurados para serem alterados no próximo login.

Para configurar o MS-CHAP-v2, inclua as seguintes declarações no nível [edit system radius-options] da hierarquia:

O exemplo a seguir mostra declarações para configurar o protocolo de senha MS-CHAPv2, ordem de autenticação de senha e contas de usuário:

Especifique um endereço de origem para o Junos OS para acessar servidores RADIUS externos

Você pode especificar qual endereço de origem o Junos OS usa ao acessar sua rede para entrar em contato com um servidor RADIUS externo para autenticação. Você também pode especificar qual endereço de origem o Junos OS usa ao entrar em contato com um RADIUS para enviar informações de contabilidade.

Para especificar um endereço de origem para um RADIUS, inclua a source-address instrução no nível [edit system radius-server server-address] da hierarquia:

endereço de origem é um endereço IP válido configurado em uma das interfaces de roteador ou switch.

Juniper Networks fornecedores específicos de RADIUS e atributos LDAP

O Junos OS tem suporte para Juniper Networks RADIUS e atributos específicos de fornecedor (VSAs) e LDAP no servidor de autenticação. Esses VSAs são encapsulados em um atributo específico de RADIUS ou LDAP com a ID do fornecedor definida como o número Juniper Networks ID, 2636.

Tabela 1 lista as Juniper Networks VSAs que você pode configurar.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido em POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Para obter mais informações, consulte:

Tabela 1: Juniper Networks fornecedores específicos de RADIUS e atributos LDAP

Nome

Descrição

Tipo

Comprimento

String

Juniper nome do usuário local

Indica o nome do modelo de usuário atribuído a esse usuário quando o usuário faz login em um dispositivo. Esse atributo é usado apenas em pacotes Access-Accept.

1

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-Allow-Commands

Contém uma expressão regular estendida que permite ao usuário executar comandos além dos comandos autorizados pelos bits de permissão da classe de login do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

2

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Deny-Commands

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

3

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-permitir a configuração

Contém uma expressão regular estendida que permite ao usuário exibir e modificar declarações de configuração, além das declarações autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

4

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Deny-Configuration

Contém uma expressão regular estendida que nega a permissão do usuário para exibir ou modificar as declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

5

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Interactive-Command

Indica o comando interativo inserido pelo usuário. Esse atributo é usado apenas em pacotes De solicitação de contabilidade.

8

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-mudança de configuração

Indica o comando interativo que resulta em uma mudança na configuração (banco de dados). Esse atributo é usado apenas em pacotes De solicitação de contabilidade.

9

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper de usuário

Contém informações que o servidor usa para especificar permissões do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

Nota:

Quando o RADIUS ou servidor LDAP define o atributo para conceder a permissão ou permissão a um usuário, a lista de membros do grupo do usuário não inclui automaticamente o grupo de roda Juniper-User-Permissionsmaintenanceall UNIX. Algumas operações, como a execução do su root comando de um shell local, exigem permissões de adesão do grupo de roda. Entretanto, quando o dispositivo de rede define uma conta de usuário local com as permissões ou, o usuário recebe adesão automática ao grupo de roda maintenanceall UNIX. Portanto, recomendamos que você crie uma conta de modelo de usuário com as permissões necessárias e associe contas de usuário individuais à conta do modelo do usuário.

10

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

A string é uma lista de bandeiras de permissão separada por um espaço. O nome exato de cada bandeira deve ser especificado na sua totalidade.

Veja Visão geral dos níveis de privilégios de acesso .

Juniper autenticação

Indica o método de autenticação (banco de dados local, LDAP ou RADIUS servidor) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostrará "local". Se o usuário for autenticado usando um RADIUS ou servidor LDAP, o valor do atributo mostrará "remoto".

11

≥5

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Juniper-porta de sessão

Indica o número de porta de origem da sessão estabelecida.

12

tamanho de inteiro

Inteiro

Juniper-Allow-Configuration-Regexps (somente RADIUS simples)

Contém uma expressão regular estendida que permite ao usuário exibir e modificar declarações de configuração, além das declarações autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

13

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Deny-Configuration-Regexps (somente RADIUS simples)

Contém uma expressão regular estendida que nega a permissão do usuário para exibir ou modificar as declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário. Esse atributo é usado apenas em pacotes Access-Accept.

14

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Para obter mais informações sobre os VSAs, consulte RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Use expressões regulares em um RADIUS ou servidor TACACS+ para permitir ou negar comandos

Junos OS pode mapear RADIUS usuários autenticados e TACACS+para uma conta de usuário ou modelo de usuário definida localmente, o que define os privilégios de acesso do usuário. Você também pode configurar, opcionalmente, os privilégios de acesso de um usuário definindo atributos específicos de fornecedor (VSAs) de Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos do modo operacional e do modo de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode exibir e modificar. Uma classe de login também pode definir expressões regulares que permitem ou negam a um usuário a possibilidade de executar determinados comandos ou exibição e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma classe de login pode incluir as seguintes declarações para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar Juniper Networks VSAs para definir permissões ou expressões regulares específicas que determinem os privilégios de acesso de um usuário. Para ver a lista de RADIUS e VSAs TACACS+, consulte o seguinte:

Você pode definir permissões de usuário no RADIUS ou servidor TACACS+ como uma lista de valores separados por espaço.

  • Um RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir Juniper Networks VSAs que usam uma única expressão regular estendida (como definido no POSIX 1003.2) para permitir ou negar a um usuário a possibilidade de executar determinados comandos ou exibição e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Ao configurar parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante o TACACS+ ou RADIUS autorização com quaisquer expressões regulares definidas no dispositivo local.

  • Um RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

RADIUS e servidores TACACS+ também têm suporte para atributos de configuração que correspondem às mesmas declarações que você pode *-regexps configurar no dispositivo local. Os atributos TACACS+ e os RADIUS usam a mesma sintaxe de expressão regular dos atributos anteriores, mas eles permitem configurar expressões regulares com *-regexps*-Regexps variáveis.

  • Um RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um RADIUS ou servidor TACACS+, você também pode definir os atributos usando uma sintaxe simplificada na qual você especificará cada expressão individual em uma linha separada.

Para um RADIUS de dados, especifique as expressões regulares individuais usando a sintaxe a seguir:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a sintaxe a seguir:

Nota:
  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n devem ser exclusivos, mas não precisam ser seqüenciais. Por exemplo, a sintaxe a seguir é válida:

  • O RADIUS ou o servidor TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.

  • Ao emitir o comando, a saída de comando exibe a expressão regular em uma única linha, mesmo se você especificar cada expressão show cli authorization individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração, emissão do comando show cli authorization do modo operacional.

Nota:

Ao configurar os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante o TACACS+ ou RADIUS com expressões regulares configuradas localmente. Se a expressão final contiver um erro de sintaxe, o resultado geral será uma expressão regular inválida.

Juniper-Filtragem de VSA combina condições e ações

Os dispositivos são compatíveis com a configuração de RADIUS atributos de servidor específicos para Juniper Networks. Esses atributos são conhecidos como atributos específicos do fornecedor (VSAs) e são descritos no RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Por meio de VSAs, você pode configurar atributos de filtragem de porta no RADIUS servidor. OS VSAs são campos de cleartext enviados do RADIUS para o dispositivo como resultado do sucesso ou falha da autenticação. A autenticação impede o acesso não autorizado do usuário bloqueando um súplico na porta até que o dispositivo seja autenticado pelo RADIUS servidor. Os atributos VSA são interpretados pelo dispositivo durante a autenticação, e o dispositivo toma as ações adequadas. A implementação de atributos de filtragem de porta com autenticação no servidor RADIUS fornece um local central para controlar o acesso da LAN para súplicas.

Esses atributos de filtragem de porta específicos para Juniper Networks são encapsulados em uma VSA de RADIUS servidor com a ID do fornecedor definida como o número de ID Juniper Networks, 2636.

Além de configurar atributos de filtragem de porta por meio de VSAs, você pode aplicar um filtro de firewall de porta configurado anteriormente diretamente ao RADIUS servidor. Assim como os atributos de filtragem de porta, o filtro é aplicado durante o processo de autenticação e suas ações são aplicadas na porta do dispositivo. Adicionar um filtro de firewall de porta a um RADIUS elimina a necessidade de adicionar o filtro a várias portas e dispositivos.

O VSA Juniper comutor de complicação funciona junto com a autenticação 802.1X para controlar centralmente o acesso de súplicas à rede. Você pode usar esse VSA para configurar filtros no RADIUS servidor. Esses filtros são enviados ao switch e aplicados a usuários que foram autenticados usando autenticação 802.1X.

O VSA Juniper comutivemento de Juniper pode conter um ou mais termos de filtro. Os termos do filtro são configurados usando-se uma ou mais condições de combinação com uma ação resultante. Condições de combinação são os critérios que um pacote deve atender para uma ação configurada a ser aplicada nele. A ação configurada é a ação que o switch toma se um pacote atender aos critérios especificados nas condições de combinação. A ação que o switch pode tomar é aceitar ou negar um pacote.

As seguintes orientações se aplicam quando você especificar condições e ações de combinação para VSAs:

  • A declaração match e a declaração são action obrigatórios.

  • Se nenhuma condição de combinação for especificada, qualquer pacote é considerado uma combinação por padrão.

  • Se nenhuma ação for especificada, a ação padrão negará o pacote.

  • Qualquer ou todas as opções podem ser incluídas em cada match action declaração.

  • A operação AND é realizada em campos de um tipo diferente, separados por vírgulas. Campos do mesmo tipo não podem ser repetidos.

  • Para que forwarding-class a opção seja aplicada, a classe de encaminhamento deve estar configurada no switch. Se a classe de encaminhamento não estiver configurada no switch, essa opção será ignorada.

Tabela 2 descreve as condições de combinação que você pode especificar quando configura um atributo VSA como um filtro de firewall usando o comando match no RADIUS servidor. A string que define uma condição de combinação é chamada de match statement.

Tabela 2: Condições de combinação

Opção

Descrição

destination-mac mac-address

Endereço controle de acesso ao meio de destino (MAC) do pacote.

source-dot1q-tag tag

Valor de tags no header 802.1Q, na escala 0 por 4095 meio de .

destination-ip ip-address

Endereço do nó de destino final.

ip-protocol protocol-id

Valor do protocolo IPv4. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto:

ah, egp (8)esp (50 , , , gre (47) , , , , , icmp (1) , igmp (2)ipip (4)ipv6 (41)ospf (89)pim (103)rsvp (46)tcp (6) ou udp (17)

source-port port

Campo de porta de origem do TCP ou do datagrama do usuário (UDP). Normalmente, você especifica essa instrução de combinação com a instrução de combinação para ip-protocol determinar qual protocolo está sendo usado na porta. No lugar do campo numérico, você pode especificar uma das opções de texto listadas em destination-port .

destination-port port

Campo de porta de destino TCP ou UDP. Normalmente, você especifica essa instrução de combinação com a instrução de combinação para ip-protocol determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

Quando você define um ou mais termos que especificam os critérios de filtragem, você também define a ação a ser tomada se o pacote estiver de acordo com todos os critérios. Tabela 3 mostra as ações que você pode especificar em um termo.

Tabela 3: Ações para VSAs

Opção

Descrição

(allow | deny)

Aceite um pacote ou descarte um pacote de maneira silenciosa sem enviar uma mensagem do Protocolo de Mensagem de Controle da Internet (ICMP).

forwarding-class class-of-service

(Opcional) Classifique o pacote em uma das seguintes classes de encaminhamento:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority (low | medium | high)

(Opcional) De definir a prioridade de perda de pacotes (PLP) lowmedium para, ou high . Especifique a classe de encaminhamento e a prioridade de perda.

Entender RADIUS contabilidade

Os dispositivos de rede IETF RFC 2866, RADIUS Contabilidade. Você pode configurar uma RADIUS de contabilidade em um dispositivo para coletar dados estatísticos sobre usuários que acessam ou sairão de uma LAN e enviar os dados para um RADIUS de contabilidade. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso ou faturamento de um usuário com base na duração da sessão ou no tipo de serviços acessados.

Para configurar RADIUS contabilidade, especifique:

  • Um ou mais RADIUS de contabilidade para receber os dados estatísticos do dispositivo

  • O tipo de dados de contabilidade a coletar

Você pode usar o mesmo servidor para RADIUS e autenticação ou usar servidores separados. Você pode especificar uma lista de RADIUS de contabilidade. O dispositivo consulta os servidores na ordem em que estão configurados. Se o servidor principal (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O RADIUS de contabilidade entre o dispositivo e um RADIUS funciona assim:

  1. Um RADIUS de contabilidade escuta pacotes UDP (User Datagram Protocol) em uma porta específica. A porta padrão para RADIUS de contabilidade é 1813.

  2. O dispositivo encaminha um pacote De solicitação de contabilidade contendo um registro de evento para o servidor de contabilidade. O registro de eventos associado a esse súplico contém um atributo Acct-Status-Type cujo valor indica o início do serviço do usuário para esse súplica. Quando a sessão do súplico termina, a solicitação de contabilidade contém um valor de atributo Acct-Status-Type indicando o fim do serviço do usuário. O RADIUS de contabilidade grava isso como um registro de stop-accounting contendo informações de sessão e o comprimento da sessão.

  3. O RADIUS de contabilidade grava esses eventos em um arquivo como registros de início da contabilidade ou de stop-accounting. No FreeRADIUS, o nome de arquivo é o endereço do servidor, como 192.0.2.0.

  4. O servidor de contabilidade envia um pacote Accounting-Response ao dispositivo confirmando que recebeu a solicitação de contabilidade.

  5. Caso o dispositivo não receba um pacote Accounting-Response do servidor, ele continuará a enviar solicitações de contabilidade até o servidor retornar uma resposta.

Você pode ver as estatísticas coletadas por esse processo no RADIUS servidor. Para ver essas estatísticas, acesse o arquivo de log configurado para recebê-los.

Configurar RADIUS de sistema

Quando você RADIUS contabilidade, Juniper Networks dispositivos, atuando como clientes RADIUS, pode notificar o servidor RADIUS sobre as atividades do usuário, como logins de software, alterações de configuração e comandos interativos. A estrutura da RADIUS de contabilidade está descrita na RFC 2866, RADIUS Accounting.

Configurar auditoria de eventos de usuário em um RADIUS servidor

Para configurar a RADIUS de contabilidade:

  1. Configure os eventos para auditoria.

    Por exemplo:

    events pode incluir um ou mais dos seguintes:

    • login—Logins de auditoria

    • change-log— Auditar alterações na configuração

    • interactive-commands— Audite comandos interativos (qualquer entrada de linha de comando)

  2. Ative RADIUS de contabilidade.
  3. Configure o endereço para um ou mais RADIUS de contabilidade.

    Por exemplo:

    Nota:

    Caso você não configure nenhum servidor RADIUS nível da hierarquia, o dispositivo utilizará os RADIUS de segurança [edit system accounting destination radius] configurados em [edit system radius-server] nível de hierarquia.

  4. (Opcional) Configure o endereço de origem para RADIUS de contabilidade.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor RADIUS, atribua um endereço IP que o dispositivo pode usar para toda a sua comunicação com o RADIUS servidor. Com isso, define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  5. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o RADIUS de contabilidade.

    A senha configurada deve corresponder à senha configurada no RADIUS servidor. Se a senha contiver espaços, contive-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique a RADIUS do servidor de contabilidade para enviar pacotes de contabilidade, se diferente do padrão (1813).
    Nota:

    Se você habilitar RADIUS contabilidade em nível de hierarquia, a contabilidade será acionada na porta padrão de 1813, mesmo se você não especificar um valor para [edit access profile profile-name accounting-order] a accounting-port instrução.

  7. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com um RADIUS de contabilidade e o tempo que o dispositivo espera para receber uma resposta de um servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e espera três segundos. Você pode configurar o retry valor de 1 a 100 vezes e timeout o valor de 1 a 1000 segundos.

    Por exemplo, entrar em contato com um servidor duas vezes e esperar 10 segundos por uma resposta:

  8. (Opcional) Para rotear RADIUS pacotes de contabilidade pela instância de gerenciamento não padrão, em vez da instância de roteamento padrão, configure a routing-instance mgmt_junos declaração.
  9. (Opcional) Configure a declaração no nível da hierarquia para incluir atributos de contabilidade adicionais, incluindo método de acesso, porta remota e privilégios de acesso, para eventos enhanced-accounting[edit system radius-options] de login do usuário.
    Nota:

    Para limitar o número de valores de atributo a auditoria, configure a enhanced-avs-max <number> declaração em nível de [edit system accounting] hierarquia.

O exemplo a seguir configura três servidores (10.5.5.5, 10.6.6.6 e 10.7.7) para RADIUS contabilidade:

Tabela de histórico de liberação
Versão
Descrição
18.1R1
A partir da versão 18.1R1 Junos OS, RADIUS comportamento atual é aprimorado para dar suporte a uma interface de gerenciamento em uma instância VRF não padrão.