Nesta página
Autenticação TACACS+
Junos OS oferece suporte ao TACACS+ para autenticação central dos usuários em dispositivos de rede. Para usar a autenticação do TACACS+ no dispositivo, você (o administrador de rede) deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+.
Configure a autenticação do TACACS+
A autenticação do TACACS+ é um método de autenticação de usuários que tentam acessar um dispositivo de rede.
Para configurar o TACACS+, execute as seguintes tarefas:
- Configure os detalhes do servidor TACACS+
- Configure o TACACS+ para usar a instância de gerenciamento
- Configure o mesmo serviço de autenticação para vários servidores TACACS+
- Configure atributos TACACS+ específicos do fornecedor da Juniper Networks
Configure os detalhes do servidor TACACS+
Para usar a autenticação do TACACS+ no dispositivo, configure informações sobre um ou mais servidores TACACS+ na rede, incluindo uma declaração no nível de hierarquia para cada servidor TACACS+.tacplus-server[edit system] O dispositivo consulta os servidores TACACS+ na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.
O dispositivo de rede pode mapear usuários autenticados pelo TACACS+para uma conta de usuário ou conta de modelo de usuário definida localmente, que determina a autorização. Por padrão, atribui usuários autenticados por TACACS+à conta de modelo de usuário, se configurada, quando:Junos OSremote
-
O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.
-
O servidor TACACS+ não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.
O servidor TACACS+ pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e ID de usuário eficaz do modelo atribuído. Se o usuário autenticado pelo TACACS+não for mapeado para nenhuma conta de usuário ou modelo de usuário definido localmente, e o modelo não estiver configurado, a autenticação falhará.remote
O nome de usuário é um caso especial e deve ser sempre minúscula.remoteJunos OS Ele atua como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. aplica as permissões do modelo a esses usuários autenticados sem uma conta definida localmente.Junos OSremote Todos os usuários mapeados para o modelo estão na mesma classe de login.remote
Como a autenticação remota é configurada em vários dispositivos, ela é comumente configurada dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado .global Usar um grupo de configuração é opcional.
Para configurar a autenticação por um servidor TACACS+:
Configure o TACACS+ para usar a instância de gerenciamento
Por padrão, roteia pacotes de autenticação, autorização e contabilidade para O TACACS+ por meio da instância de roteamento padrão.Junos OS Você também pode rotear pacotes TACACS+ por uma interface de gerenciamento em uma instância VRF não padrão.
Para rotear pacotes TACACS+ pela instância de gerenciamento:mgmt_junos
-
Habilite a instância de gerenciamento.
mgmt_junos[edit system] user@host# set management-instance
-
Configure a declaração para o servidor de autenticação TACACS+ e o servidor de contabilidade TACACS+, se configurado.
routing-instance mgmt_junos[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
Configure o mesmo serviço de autenticação para vários servidores TACACS+
Você pode configurar o mesmo serviço de autenticação para vários servidores TACACS+ incluindo declarações nos níveis de hierarquia.[edit system tacplus-server][edit system tacplus-options]
Atribuir o mesmo serviço de autenticação a vários servidores TACACS+:
O exemplo a seguir mostra como configurar o mesmo serviço de autenticação para vários servidores TACACS+:
[edit system]
tacplus-server {
10.2.2.2 secret "$ABC123"; ## SECRET-DATA
10.3.3.3 secret "$ABC123"; ## SECRET-DATA
}
tacplus-options {
service-name bob;
}
Configure atributos TACACS+ específicos do fornecedor da Juniper Networks
Junos OS pode mapear usuários autenticados pelo TACACS+para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo atributos TACACS+ específicos do fornecedor da Juniper Networks no servidor TACACS+. Você define os atributos no arquivo de configuração de servidor TACACS+ por usuário. O dispositivo de rede recupera esses atributos por meio de uma solicitação de autorização do servidor TACACS+ após autenticar um usuário.
Para especificar esses atributos, inclua uma declaração do seguinte formulário no arquivo de configuração do servidor TACACS+:service
service = junos-exec {
local-user-name = <username-local-to-router>
allow-commands = "<allow-commands-regex>"
allow-configuration-regexps = "<allow-configuration-regex>"
deny-commands = "<deny-commands-regex>"
deny-configuration-regexps = "<deny-configuration-regex>"
}
Você pode definir a declaração em uma declaração ou declaração .serviceusergroup
Configure a atualização periódica do perfil de autorização do TACACS+
Quando você configura um dispositivo em execução Junos OS para usar um servidor TACACS+ para autenticação, o dispositivo solicita aos usuários informações de login, que são verificadas pelo servidor TACACS+. Depois que um usuário é autenticado com sucesso, o dispositivo de rede envia uma solicitação de autorização ao servidor TACACS+ para obter o perfil de autorização para o usuário. Os perfis de autorização especificam as permissões de acesso para usuários ou dispositivos autenticados.
O servidor TACACS+ envia o perfil de autorização como parte de uma mensagem DE RESPOSTA de autorização. O usuário remoto configurado no servidor TACACS+ é mapeado para um usuário local ou modelo de usuário configurado no dispositivo em execuçãoJunos OS. Junos OS combina o perfil de autorização remota do usuário e o perfil de autorização configurado localmente, este último configurado no nível de hierarquia.edit system login class
Por padrão, a troca de mensagens de solicitação de autorização e resposta ocorre apenas uma vez, após uma autenticação bem sucedida. Você pode configurar os dispositivos para que , periodicamente, obtenha o perfil de autorização remota do servidor TACACS+ e atualize o perfil de autorização armazenado localmente.Junos OS Essa atualização periódica garante que o dispositivo local reflita qualquer alteração nos parâmetros de autorização sem exigir que o usuário reinicie o processo de autenticação.
Para permitir a atualização periódica do perfil de autorização, você deve definir o intervalo de tempo em que o dispositivo local verifica o perfil de autorização configurado remotamente no servidor TACACS+. Se o perfil de autorização remota mudar, o dispositivo buscará o perfil de autorização do servidor TACACS+ e o perfil de autorização configurado sob a hierarquia da classe de login. O dispositivo atualiza o perfil de autorização armazenado localmente combinando os perfis de autorização remotos e configurados localmente.
Você pode configurar o intervalo de tempo de atualização localmente no dispositivo em execução ou diretamente no servidor TACACS+.Junos OS O intervalo de tempo pode variar de 15 a 1440 minutos.
Use as seguintes diretrizes para determinar qual configuração de intervalo de tempo tem precedência:
- Se o intervalo de tempo de atualização estiver configurado apenas no servidor TACACS+ ou apenas no dispositivo em execução , então o valor configurado entra em vigor.Junos OS
-
Se o intervalo de tempo de atualização estiver configurado tanto no servidor TACACS+ quanto no dispositivo em execução , o valor configurado no servidor TACACS+ tem precedência.Junos OS
-
Se nenhum intervalo de tempo de atualização estiver configurado no servidor TACACS+ ou no dispositivo em execução , então nenhuma atualização periódica ocorre.Junos OS
-
Se o intervalo de tempo de atualização configurado no servidor TACACS+ estiver fora de alcance ou inválido, o intervalo de tempo de atualização configurado localmente entra em vigor. Se nenhum intervalo de tempo de atualização for configurado localmente, nenhuma atualização periódica ocorrerá.
Após o intervalo de tempo de atualização periódico ser definido, se o usuário mudar o intervalo de atualização antes que a solicitação de autorização seja enviada do dispositivo local, o intervalo de atualização atualizado entra em vigor após a próxima atualização periódica imediata.
Exemplo: Configure um servidor TACACS+ para autenticação de sistema
Este exemplo configura a autenticação do sistema por meio de um servidor TACACS+.
Requisitos
Antes de começar:
-
Execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.
-
Configure pelo menos um servidor TACACS+ em sua rede.
Visão geral
Neste exemplo, você adiciona um novo servidor TACACS+ com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor TACACS+ como Tacacssecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço fonte que o dispositivo usa em solicitações de servidor TACACS+. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.
Você pode configurar o suporte para vários métodos de autenticação de usuários, como a autenticação local de senhas, TACACS+, e RADIUS, no dispositivo de rede, Quando você configura vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação TACACS+ primeiro e, se isso falhar, para então tentar a autenticação de senha local.
Um usuário autenticado por TACACS+deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário autenticado pelo TACACS+não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do usuário, se configurado.remote Este exemplo configura o modelo do usuário.remote
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
Procedimento passo a passo
Para configurar um servidor TACACS+ para autenticação do sistema:
-
Adicione um novo servidor TACACS+ e defina seu endereço IP.
[edit system] user@host# set tacplus-server 172.16.98.1
-
Especifique o segredo compartilhado (senha) do servidor TACACS+.
[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
-
Especifique o endereço de loopback do dispositivo como endereço fonte.
[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
-
Especifique a ordem de autenticação do dispositivo e inclua a opção .
tacplus[edit system] user@host# set authentication-order [tacplus password]
- Configure o modelo de usuário e sua classe de login.
remote[edit system] user@host# set login user remote class operator
Resultados
No modo de configuração, confirme sua configuração inserindo o comando.show system Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
A saída a seguir inclui apenas aquelas partes da hierarquia de configuração que são relevantes para este exemplo:
[edit]
user@host# show system
login {
user remote {
class operator;
}
}
authentication-order [ tacplus password ];
tacplus-server {
172.16.98.1 {
secret "$9$ABC123"; ## SECRET-DATA
source-address 10.0.0.1;
}
}
Depois de configurar o dispositivo, entre no modo de configuração.commit
Verificação
Confirme se a configuração está funcionando corretamente.
Verifique a configuração do servidor TACACS+
Propósito
Verifique se o servidor TACACS+ autentica os usuários.
Ação
Faça login no dispositivo de rede e verifique se o login é bem-sucedido. Para verificar se o dispositivo usa o servidor TACACS+ para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.
Atributos TACACS+ específicos do fornecedor da Juniper Networks
Junos OS oferece suporte à configuração de atributos específicos de fornecedor (VSAs) TACACS+ da Juniper Networks no servidor TACACS+. Tabela 1 lista os VSAs da Juniper Networks com suporte.
Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Para obter mais informações, veja:
|
Nome |
Descrição |
Comprimento |
String |
|---|---|---|---|
|
|
Indica o nome do modelo de usuário atribuído a este usuário quando o usuário faz login em um dispositivo. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
|
|
Contém uma expressão regular estendida que permite ao usuário executar comandos, além desses comandos autorizados pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
allow-commands-regexps |
Contém uma expressão regular estendida que permite ao usuário executar comandos, além desses comandos autorizados pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
|
Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
allow-configuration-regexps |
Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
|
Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
deny-commands-regexps |
Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
|
Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
deny-configuration-regexps |
Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
|
Contém informações que o servidor usa para especificar permissões do usuário. Nota:
Quando o servidor TACACS+ define o atributo para conceder a permissão ou permissão a um usuário, a lista de membros do grupo do usuário não inclui automaticamente o grupo de rodas UNIX. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
|
|
Indica o método de autenticação (banco de dados local ou servidor TACACS+) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostra "local". Se o usuário for autenticado usando um servidor TACACS+, o valor do atributo mostra "remoto". |
≥5 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
|
|
Indica o número de porta de origem da sessão estabelecida. |
tamanho de inteiro |
Inteiro |
Use expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos
Junos OS pode mapear usuários autenticados por RADIUS e TACACS+em uma conta de usuário ou conta de modelo de usuário definida localmente, que define os privilégios de acesso do usuário. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo os atributos específicos de fornecedor (VSAs) da Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.
A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode visualizar e modificar. Uma aula de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou visualizar e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma aula de login pode incluir as seguintes declarações para definir a autorização do usuário:
-
permissions -
allow-commands -
allow-commands-regexps -
allow-configuration -
allow-configuration-regexps -
deny-commands -
deny-commands-regexps -
deny-configuration -
deny-configuration-regexps
Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar os VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para a lista de VSAs RADIUS e TACACS+ suportados, veja o seguinte:
- Atributos RADIUS específicos do fornecedor da Juniper Networks
- Atributos TACACS+ específicos do fornecedor da Juniper Networks
Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.
-
Um servidor RADIUS usa o seguinte atributo e sintaxe:
Juniper-User-Permissions += "flag1 flag2 flag3",
Por exemplo:
Juniper-User-Permissions += "interface interface-control configure",
-
Um servidor TACACS+ usa o seguinte atributo e sintaxe:
user-permissions = "flag1 flag2 flag3"
Por exemplo:
user-permissions = "interface interface-control configure"
Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.
-
Um servidor RADIUS usa os seguintes atributos e sintaxe:
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Por exemplo:
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Um servidor TACACS+ usa os seguintes atributos e sintaxe:
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Por exemplo:
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Os servidores RADIUS e TACACS+ também oferecem suporte à configuração de atributos que correspondem às mesmas declarações que você pode configurar no dispositivo local.*-regexps Os atributos TACACS+ e os atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem que você configure expressões regulares com variáveis.*-regexps*-Regexps
-
Um servidor RADIUS usa os seguintes atributos e sintaxe:
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Um servidor TACACS+ usa os seguintes atributos e sintaxe:
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada onde você especifica cada expressão individual em uma linha separada.
Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
Na sintaxe do servidor TACACS+, os valores numéricos de 1 a 0 devem ser únicos, mas não precisam ser sequenciais.n Por exemplo, a seguinte sintaxe é válida:
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.
-
Quando você emite o comando, a saída de comando exibe a expressão regular em uma única linha, mesmo se você especificar cada expressão individual em uma linha separada.
show cli authorization
Os usuários podem verificar sua classe, permissões e autorização de comando e configuração emitindo o comando do modo operacional.show cli authorization
user@host> show cli authorization
Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contém um erro de sintaxe, o resultado geral é uma expressão regular inválida.
Configuração da contabilidade do sistema TACACS+
Você pode configurar a contabilidade TACACS+ em um dispositivo para coletar dados estatísticos sobre usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso, ou cobrança de um usuário com base na duração da sessão ou tipo de serviços acessados.
Para configurar a contabilidade TACACS+, especifique:
-
Um ou mais servidores de contabilidade TACACS+ para receber os dados estatísticos do dispositivo
-
O tipo de dados contábeis a serem coletados
Você pode usar o mesmo servidor para contabilidade e autenticação TACACS+, ou pode usar servidores separados. Você pode especificar uma lista de servidores de contabilidade TACACS+. O dispositivo consulta os servidores na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.
Quando você habilita a contabilidade TACACS+, os dispositivos da Juniper Networks, atuando como clientes TACACS+, podem notificar o servidor TACACS+ sobre atividades do usuário, como logins de software, mudanças de configuração e comandos interativos.
Configure a contabilidade do servidor TACACS+
Para configurar a contabilidade de servidor TACACS+:
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.