Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Autenticação TACACS+

Junos OS oferece suporte ao TACACS+ para autenticação central de usuários em dispositivos de rede. Para usar a autenticação TACACS+ no dispositivo, você (o administrador de rede) deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade do TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários que fazem login em uma LAN ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+.

Configure a autenticação TACACS+

A autenticação do TACACS+ é um método de autenticação de usuários que tentam acessar um dispositivo de rede.

Para configurar o TACACS+, execute as seguintes tarefas:

Configure os detalhes do servidor TACACS+

Para usar a autenticação TACACS+ no dispositivo, configure informações sobre um ou mais servidores TACACS+ na rede, incluindo uma tacplus-server declaração no nível de [edit system] hierarquia para cada servidor TACACS+. O dispositivo consulta os servidores TACACS+ na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tentará entrar em contato com cada servidor da lista até receber uma resposta.

O dispositivo de rede pode mapear usuários autenticados pelo TACACS+para uma conta de usuário ou conta de modelo de usuário definida localmente, o que determina a autorização. Por padrão, Junos OS atribui usuários autenticados por TACACS+à conta remotedo modelo de usuário, se configurado, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor TACACS+ não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

O servidor TACACS+ pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e iD de usuário eficaz do modelo atribuído. Se o usuário autenticado por TACACS+não for mapeado para nenhuma conta de usuário ou modelo de usuário definido localmente, e o remote modelo não estiver configurado, a autenticação falhará.

Nota:

O remote nome de usuário é um caso Junos OS especial e deve ser sempre minúscula. Ele funciona como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. Junos OS aplica as permissões do modelo a remote esses usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote modelo estão na mesma classe de login.

Como a autenticação remota está configurada em vários dispositivos, ela é comumente configurada dentro de um grupo de configuração. As etapas aqui mostradas estão em um grupo de configuração chamado global. Usar um grupo de configuração é opcional.

Para configurar a autenticação por um servidor TACACS+:

  1. Configure o endereço IPv4 ou endereço IPv6 do servidor de autenticação TACACS+.

    Por exemplo:

  2. (Opcional) Configure o endereço fonte do pacote para solicitações enviadas ao servidor TACACS+.

    Por exemplo:

    O endereço de origem é um endereço IPv4 válido ou endereço IPv6 configurado em uma das interfaces de roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor TACACS+, atribua um endereço IP que o dispositivo pode usar para toda a sua comunicação com o servidor TACACS+. Fazer isso define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  3. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor TACACS+.

    A senha configurada deve combinar com a senha configurada no servidor TACACS+. Se a senha contiver espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta em que entrar em contato com o servidor TACACS+, se diferente da porta padrão (49).

    Por exemplo:

  5. (Opcional) Configure o tempo que o dispositivo espera para receber uma resposta do servidor TACACS+.

    Por padrão, o dispositivo espera 10 segundos. Você pode configurar o timeout valor de 1 a 90 segundos.

    Por exemplo, esperar 15 segundos por uma resposta do servidor:

  6. (Opcional) Configure o dispositivo para manter uma conexão TCP aberta ao servidor para várias solicitações, em vez de abrir uma conexão separada para cada tentativa de conexão.
    Nota:

    As primeiras versões do servidor TACACS+ não oferecem suporte à opção single-connection . Se você especificar essa opção e o servidor não o apoiar, o dispositivo não poderá se comunicar com esse servidor TACACS+.
  7. (Opcional) Para rotear pacotes TACACS+ por uma instância de roteamento específica, configure a routing-instance declaração e especifique uma instância de roteamento válida.

    Por padrão, Junos OS os pacotes de autenticação, autorização e contabilidade de rotas para TACACS+ por meio da instância de roteamento padrão.

  8. Especifique a ordem de autenticação e inclua a opção tacplus .

    No exemplo a seguir, sempre que um usuário tenta fazer login, Junos OS primeiro consulta o servidor TACACS+ para autenticação. Se isso falhar, ele consulta o servidor RADIUS. Se isso falhar, ele tenta autenticação com contas de usuário configuradas localmente.

  9. Atribua uma aula de login a usuários autenticados pelo TACACS+que não têm uma conta de usuário definida localmente.

    Você configura uma conta de modelo de usuário da mesma forma que uma conta de usuário local, exceto que você não configura uma senha de autenticação local porque o servidor TACACS+ autentica o usuário.

    • Para usar as mesmas permissões para todos os usuários autenticados por TACACS+, configure o modelo de remote usuário.

      Por exemplo:

    • Para usar diferentes classes de login para diferentes usuários autenticados por TACACS+, concedendo-lhes diferentes permissões:

      1. Crie vários modelos de usuário na Junos OS configuração. Por exemplo:

      2. Configure o servidor TACACS+ para mapear o usuário autenticado para o modelo de usuário apropriado.

        Por exemplo, defina o local-user-name atributo específico (VSA) do fornecedor da Juniper ao nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou SU. A autenticação falha se o dispositivo não puder atribuir um usuário a uma conta de usuário local ou modelo de usuário, e o modelo de remote usuário não estiver configurado.

Configure o TACACS+ para usar a instância de gerenciamento

Por padrão, Junos OS os pacotes de autenticação, autorização e contabilidade de rotas para TACACS+ por meio da instância de roteamento padrão. Você também pode rotear pacotes TACACS+ por uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear pacotes TACACS+ pela instância de mgmt_junos gerenciamento:

  1. Habilite a instância de mgmt_junos gerenciamento.

  2. Configure a routing-instance mgmt_junos declaração para o servidor de autenticação TACACS+ e o servidor de contabilidade TACACS+, se configurado.

Configure o mesmo serviço de autenticação para vários servidores TACACS+

Você pode configurar o mesmo serviço de autenticação para vários servidores TACACS+ incluindo declarações nos [edit system tacplus-server] níveis de hierarquia.[edit system tacplus-options]

Para atribuir o mesmo serviço de autenticação a vários servidores TACACS+:

  1. Configure os servidores TACACS+ conforme descrito em Configure a autenticação TACACS+.
  2. Configure a service-name declaração no nível de [edit system tacplus-options] hierarquia.
    service-name é o nome do serviço de autenticação, que por padrão é junos-exec.

    Por exemplo:

O exemplo a seguir mostra como configurar o mesmo serviço de autenticação para vários servidores TACACS+:

Configure atributos TACACS+ específicos do fornecedor da Juniper Networks

Junos OS pode mapear usuários autenticados por TACACS+para uma conta de usuário ou conta de modelo de usuário definida localmente, que determina a autorização. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo atributos TACACS+ específicos do fornecedor da Juniper Networks no servidor TACACS+. Você define os atributos no arquivo de configuração do servidor TACACS+ em uma base por usuário. O dispositivo de rede recupera esses atributos por meio de uma solicitação de autorização do servidor TACACS+ após autenticar um usuário.

Para especificar esses atributos, inclua uma service declaração do seguinte formulário no arquivo de configuração do servidor TACACS+:

Você pode definir a service declaração em uma user declaração ou declaração group .

Configure a atualização periódica do perfil de autorização do TACACS+

Quando você configura um dispositivo em execução Junos OS para usar um servidor TACACS+ para autenticação, o dispositivo solicita aos usuários informações de login, que são verificadas pelo servidor TACACS+. Depois que um usuário é autenticado com sucesso, o dispositivo de rede envia uma solicitação de autorização ao servidor TACACS+ para obter o perfil de autorização para o usuário. Os perfis de autorização especificam as permissões de acesso para usuários ou dispositivos autenticados.

O servidor TACACS+ envia o perfil de autorização como parte de uma mensagem DE RESPOSTA de autorização. O usuário remoto configurado no servidor TACACS+ é mapeado para um usuário local ou modelo de usuário configurado no dispositivo em execução Junos OS. Junos OS combina o perfil de autorização remota do usuário e o perfil de autorização configurado localmente, este último configurado no nível [edit system login class] de hierarquia.

Por padrão, a troca de mensagens de solicitação e resposta de autorização ocorre apenas uma vez, após a autenticação bem-sucedida. Você pode configurar os dispositivos para que Junos OS , periodicamente, obtenha o perfil de autorização remota do servidor TACACS+ e atualize o perfil de autorização armazenado localmente. Essa atualização periódica garante que o dispositivo local reflita qualquer mudança nos parâmetros de autorização sem exigir que o usuário reinicie o processo de autenticação.

Para permitir a atualização periódica do perfil de autorização, você deve definir o intervalo de tempo em que o dispositivo local verifica o perfil de autorização configurado remotamente no servidor TACACS+. Se o perfil de autorização remota mudar, o dispositivo buscará o perfil de autorização do servidor TACACS+ e o perfil de autorização configurado sob a hierarquia da classe de login. O dispositivo atualiza o perfil de autorização armazenado localmente, combinando os perfis de autorização remotos e configurados localmente.

Você pode configurar o intervalo de tempo de atualização localmente no dispositivo em execução Junos OS ou diretamente no servidor TACACS+. O intervalo de tempo pode variar de 15 a 1440 minutos.

  • Para configurar a atualização periódica do perfil de autorização no dispositivo local, inclua a authorization-time-interval declaração no nível da [edit system tacplus-options] hierarquia, da seguinte forma:
  • Para configurar a atualização periódica no servidor TACACS+, adicione o refresh-time-interval parâmetro no perfil de autorização usando a seguinte sintaxe:

Use as seguintes diretrizes para determinar qual configuração de intervalo de tempo tem precedência:

  • Se o intervalo de tempo de atualização for configurado apenas no servidor TACACS+ ou apenas no dispositivo em execução Junos OS, o valor configurado entra em vigor.

  • Se o intervalo de tempo de atualização for configurado tanto no servidor TACACS+ quanto no dispositivo em execução Junos OS, o valor configurado no servidor TACACS+ prevalecerá.

  • Se nenhum intervalo de tempo de atualização for configurado no servidor TACACS+ ou no dispositivo em execução Junos OS, não haverá atualização periódica.

  • Se o intervalo de tempo de atualização configurado no servidor TACACS+ estiver fora de alcance ou inválido, o intervalo de tempo de atualização configurado localmente entra em vigor. Se nenhum intervalo de tempo de atualização for configurado localmente, não haverá atualização periódica.

Após o intervalo de tempo de atualização periódico ser definido, se o usuário mudar o intervalo de atualização antes que a solicitação de autorização seja enviada do dispositivo local, o intervalo de atualização atualizado entra em vigor após a próxima atualização periódica imediata.

Example: Configure um servidor TACACS+ para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um servidor TACACS+.

Requisitos

Antes de começar:

  • Execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.

  • Configure pelo menos um servidor TACACS+ em sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor TACACS+ com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor TACACS+ como Tacacssecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço de origem que o dispositivo usa em solicitações de servidor TACACS+. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte para vários métodos de autenticação de usuários, como autenticação local de senha, TACACS+e RADIUS, no dispositivo de rede, Quando você configura vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação TACACS+ primeiro e, se isso falhar, para tentar a autenticação de senha local.

Um usuário autenticado por TACACS+deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário autenticado por TACACS+não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do remote usuário, se configurado. Este exemplo configura o modelo de remote usuário.

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

Para configurar um servidor TACACS+ para autenticação do sistema:

  1. Adicione um novo servidor TACACS+ e defina seu endereço IP.

  2. Especifique o segredo compartilhado (senha) do servidor TACACS+.

  3. Especifique o endereço de loopback do dispositivo como endereço de origem.

  4. Especifique a ordem de autenticação do dispositivo e inclua a opção tacplus .

  5. Configure o modelo de remote usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração entrando no show system comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas as partes da hierarquia de configuração relevantes para este exemplo:

Depois de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verifique a configuração do servidor TACACS+

Propósito

Verifique se o servidor TACACS+ autentica os usuários.

Ação

Faça login no dispositivo de rede e verifique se o login é bem-sucedido. Para verificar se o dispositivo usa o servidor TACACS+ para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.

Atributos TACACS+ específicos do fornecedor da Juniper Networks

Junos OS oferece suporte para configurar atributos específicos (VSAs) do TACACS+ da Juniper Networks no servidor TACACS+. Tabela 1 lista os VSAs da Juniper Networks suportados.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres curingas, coloque-a entre aspas. Para obter mais informações, consulte:

Tabela 1: Atributos TACACS+ específicos do fornecedor da Juniper Networks

Nome

Descrição

Comprimento

String

local-user-name

Indica o nome do modelo de usuário atribuído a este usuário quando o usuário faz login em um dispositivo.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

allow-commands

Contém uma expressão regular estendida que permite que o usuário execute comandos, além desses comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.
allow-commands-regexps

Contém uma expressão regular estendida que permite que o usuário execute comandos, além desses comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-configuration

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-configuration-regexps

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-commands

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.
deny-commands-regexps

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-configuration

Contém uma expressão regular estendida que nega a permissão do usuário para visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-configuration-regexps

Contém uma expressão regular estendida que nega a permissão do usuário para visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

user-permissions

Contém informações que o servidor usa para especificar permissões do usuário.

Nota:

Quando o servidor TACACS+ define o user-permissions atributo para conceder a maintenance permissão ou all permissão a um usuário, a lista de membros do grupo do usuário não inclui automaticamente o grupo de rodas UNIX. Algumas operações, como executar o su root comando de um shell local, exigem permissões de membros do grupo de rodas. No entanto, quando o dispositivo de rede define uma conta de usuário local com as permissões maintenance ou all, o usuário é automaticamente concedido a adesão ao grupo de rodas UNIX. Portanto, recomendamos que você crie uma conta de modelo de usuário com as permissões necessárias e as contas de usuário individuais associadas com a conta do modelo de usuário.

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Veja Visão geral dos níveis de privilégio de acesso.

authentication-type

Indica o método de autenticação (banco de dados local ou servidor TACACS+) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostra "local". Se o usuário for autenticado usando um servidor TACACS+, o valor do atributo mostra "remoto".

≥5

Um ou mais octets contendo caracteres ASCII imprimíveis.

session-port

Indica o número da porta de origem da sessão estabelecida.

tamanho do inteiro

Inteiro

Use expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos

Junos OS pode mapear usuários autenticados radius e TACACS+para uma conta de usuário ou modelo de usuário definida localmente, que define os privilégios de acesso do usuário. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo os atributos específicos de fornecedor (VSAs) da Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode visualizar e modificar. Uma classe de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou visualizar e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma aula de login pode incluir as seguintes declarações para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para a lista de VSAs RADIUS e TACACS+ suportados, veja o seguinte:

Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.

  • Um servidor RADIUS usa o seguinte atributo e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa o seguinte atributo e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contiver espaços, operadores ou caracteres curingas, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Os servidores RADIUS e TACACS+ também oferecem suporte a atributos de configuração que correspondem às mesmas *-regexps declarações que você pode configurar no dispositivo local. Os *-regexps atributos TACACS+ e os *-Regexps atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem configurar expressões regulares com variáveis.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada onde você especifica cada expressão individual em uma linha separada.

Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:

Nota:

  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a 1 devem n ser únicos, mas não precisam ser sequenciais. Por exemplo, a seguinte sintaxe é válida:

  • O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.

  • Quando você emite o show cli authorization comando, a saída de comando exibe a expressão regular em uma única linha, mesmo que você especifique cada expressão individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração, emitindo o comando do show cli authorization modo operacional.

Nota:

Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contiver um erro de sintaxe, o resultado geral é uma expressão regular inválida.

Configuração da contabilidade do sistema TACACS+

Você pode configurar a contabilidade TACACS+ em um dispositivo para coletar dados estatísticos sobre usuários que fazem login em uma LAN ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso, ou cobrança de um usuário com base na duração da sessão ou tipo de serviços acessados.

Para configurar a contabilidade do TACACS+, especifique:

  • Um ou mais servidores de contabilidade TACACS+ para receber os dados estatísticos do dispositivo

  • O tipo de dados contábeis a coletar

Você pode usar o mesmo servidor para contabilidade e autenticação do TACACS+, ou usar servidores separados. Você pode especificar uma lista de servidores de contabilidade TACACS+. O dispositivo consulta os servidores na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tentará entrar em contato com cada servidor da lista até receber uma resposta.

Quando você habilita a contabilidade TACACS+, os dispositivos da Juniper Networks, atuando como clientes TACACS+, podem notificar o servidor TACACS+ sobre atividades do usuário, como logins de software, alterações de configuração e comandos interativos.

Configure a contabilidade do servidor TACACS+

Para configurar a contabilidade de servidor TACACS+:

  1. Configure os eventos para auditoria.

    Por exemplo:

    events pode incluir um ou mais dos seguintes:

    • login— Logins de auditoria

    • change-log— Mudanças na configuração da auditoria

    • interactive-commands— Audite comandos interativos (qualquer entrada de linha de comando)

  2. Habilite a contabilidade do TACACS+.
  3. Configure o endereço para um ou mais servidores de contabilidade TACACS+.

    Por exemplo:

    Nota:

    Se você não configurar nenhum servidor TACACS+ no nível de [edit system accounting destination tacplus] hierarquia, o dispositivo usará os servidores TACACS+ configurados no nível de [edit system tacplus-server] hierarquia.
  4. (Opcional) Configure o endereço de origem para solicitações de contabilidade TACACS+.

    Por exemplo:

    O endereço de origem é um endereço IPv4 válido ou endereço IPv6 configurado em uma das interfaces de roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor TACACS+, atribua um endereço IP que o dispositivo pode usar para toda a sua comunicação com o servidor TACACS+. Fazer isso define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  5. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor de contabilidade TACACS+.

    A senha configurada deve combinar com a senha configurada no servidor TACACS+. Se a senha contiver espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique para qual porta de servidor de contabilidade TACACS+ enviar pacotes de contabilidade, se diferente do padrão (49).
  7. (Opcional) Configure o tempo que o dispositivo espera para receber uma resposta do servidor de contabilidade TACACS+.

    Por padrão, o dispositivo espera três segundos. Você pode configurar o timeout valor de 1 a 90 segundos.

    Por exemplo, esperar 15 segundos por uma resposta do servidor:

  8. (Opcional) Configure o dispositivo para manter uma conexão TCP aberta ao servidor para várias solicitações, em vez de abrir uma conexão separada para cada tentativa de conexão.
    Nota:

    As primeiras versões do servidor TACACS+ não oferecem suporte à opção single-connection . Se você especificar essa opção e o servidor não o apoiar, o dispositivo não poderá se comunicar com esse servidor TACACS+.
  9. (Opcional) Para rotear pacotes de contabilidade TACACS+ pela instância de gerenciamento não padrão ou outra instância de roteamento em vez da instância de roteamento padrão, configure a routing-instance declaração e especifique a instância de roteamento.
    Por exemplo:
  10. Para garantir que as solicitações de início e parada para eventos de login sejam registradas corretamente no arquivo de log de contabilidade do servidor TACACS+ em vez do arquivo de log da Administração, inclua a no-cmd-attribute-value declaração ou a exclude-cmd-attribute declaração no nível de [edit system tacplus-options] hierarquia.
    Nota:

    Ambas as declarações suportam o registro correto de solicitações de contabilidade no arquivo de contabilidade, em vez do arquivo da Administração. Se você configurar a no-cmd-attribute-value declaração, o valor do cmd atributo será definido em uma seqüência nula nas solicitações de início e parada. Se você configurar a exclude-cmd-attribute declaração, o cmd atributo será totalmente excluído desde o início e interrompe as solicitações.

Tabela de histórico de liberação
Versão
Descrição
18.2R1
A partir do Junos OS Release 18.2R1, você pode rotear o tráfego TACACS+ por qualquer instância de roteamento configurada em autenticação.
17.4R1
A partir do Junos OS Release 17.4R1, o comportamento do TACACS+ existente é aprimorado para oferecer suporte ao roteamento de pacotes TACACS+ por meio de uma interface de gerenciamento em uma instância VRF não padrão chamada mgmt_junos.