Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação TACACS+

Junos OS aceita o TACACS+ para autenticação central de usuários em dispositivos de rede. Para usar a autenticação TACACS+ no dispositivo, você (o administrador da rede) deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários que entraram ou sairam de uma LAN e enviar os dados para um servidor de contabilidade TACACS+.

Configurar autenticação TACACS+

A autenticação TACACS+ é um método de autenticação de usuários que tentam acessar um dispositivo de rede.

Para configurar o TACACS+, realize as seguintes tarefas:

Configurar detalhes do servidor TACACS+

Para usar a autenticação TACACS+ no dispositivo, configure informações sobre um ou mais servidores TACACS+ na rede, incluindo uma instrução no nível da hierarquia para cada servidor tacplus-server[edit system] TACACS+. O dispositivo consulta os servidores TACACS+ na ordem em que estão configurados. Se o servidor principal (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O dispositivo de rede pode mapear usuários TACACS+autenticados para uma conta de usuário ou modelo de usuário definida localmente, o que determina a autorização. Por padrão, Junos OS atribua usuários TACACS+autenticados à conta do modelo de remote usuário, se configurados, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor TACACS+ não designa o usuário a um modelo de usuário local ou o modelo atribuído pelo servidor não está configurado no dispositivo local.

O servidor TACACS+ pode designar um usuário autenticado a um modelo de usuário diferente para conceder permissões administrativas diferentes a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e ID do usuário eficaz do modelo atribuído. Se o usuário TACACS+autenticado não mapear para nenhuma conta de usuário ou modelo de usuário definido localmente, e o modelo não estiver configurado, a autenticação remote falhará.

Nota:

O remote nome de usuário é um caso especial e deve ser sempre Junos OS minúscula. Ele funciona como um modelo para usuários que são autenticados por um servidor remoto, mas que não têm uma conta de usuário configurada localmente no dispositivo. Junos OS aplica as permissões do modelo a usuários remote autenticados sem uma conta definida localmente. Todos os usuários mapeados com remote o modelo estão na mesma classe de login.

Como a autenticação remota está configurada em vários dispositivos, ela geralmente está configurada dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global . Usar um grupo de configuração é opcional.

Para configurar a autenticação por um servidor TACACS+:

  1. Configure o endereço IPv4 ou IPv6 do servidor de autenticação TACACS+.

    Por exemplo:

  2. (Opcional) Configure o endereço de origem do pacote para solicitações enviadas ao servidor TACACS+.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor TACACS+, atribua um endereço IP que o dispositivo pode usar para toda a sua comunicação com o servidor TACACS+. Com isso, define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  3. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor TACACS+.

    A senha configurada deve corresponder à senha configurada no servidor TACACS+. Se a senha contiver espaços, contive-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta na qual entrar em contato com o servidor TACACS+, se diferente da porta padrão (49).

    Por exemplo:

  5. (Opcional) Configure o tempo que o dispositivo espera para receber uma resposta do servidor TACACS+.

    Por padrão, o dispositivo espera 10 segundos. Você pode configurar o timeout valor de 1 a 90 segundos.

    Por exemplo, esperar 15 segundos por uma resposta do servidor:

  6. (Opcional) Configure o dispositivo para manter uma conexão TCP aberta ao servidor para várias solicitações, em vez de abrir uma conexão separada para cada tentativa de conexão.
    Nota:

    As primeiras versões do servidor TACACS+ não suportam a single-connection opção. Se você especificar essa opção e o servidor não a apoiar, o dispositivo não poderá se comunicar com esse servidor TACACS+.

  7. (Opcional) Para rotear pacotes TACACS+ por meio de uma instância de roteamento específica, configure routing-instance a declaração e especifique uma instância de roteamento válida.

    Por padrão, rotas de autenticação, autorização e pacotes de contabilidade Junos OS para TACACS+ por meio da instância de roteamento padrão.

  8. Especifique o pedido de autenticação e inclua a tacplus opção.

    No exemplo a seguir, sempre que um usuário tenta fazer login, primeiro consulta o Junos OS servidor TACACS+ para autenticação. Se isso falhar, ele consultará o RADIUS servidor. Se isso falhar, ele tenta a autenticação com contas de usuário configuradas localmente.

  9. Atribua uma classe de login a usuários TACACS+autenticados que não tenham uma conta de usuário definida localmente.

    Você configura uma conta de modelo de usuário da mesma maneira que uma conta de usuário local, exceto que não configura uma senha de autenticação local porque o servidor TACACS+ autentica o usuário.

    • Para usar as mesmas permissões para todos os usuários TACACS+autenticados, configure o remote modelo de usuário.

      Por exemplo:

    • Para usar diferentes classes de login para diferentes usuários TACACS+autenticados, conceder a eles diferentes permissões:

      1. Crie vários modelos de usuário na Junos OS configuração. Por exemplo:

      2. Configure o servidor TACACS+ para mapear o usuário autenticado no modelo de usuário apropriado.

        Por exemplo, deem o atributo Juniper específico do fornecedor (VSA) ao nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou local-user-name SU. A autenticação falha se o dispositivo não puder designar um usuário para uma conta de usuário local ou modelo de usuário, e o modelo do usuário remote não estiver configurado.

Configure o TACACS+ para usar a instância de gerenciamento

Por padrão, rotas de autenticação, autorização e pacotes de contabilidade Junos OS para TACACS+ por meio da instância de roteamento padrão. Você também pode roteamento de pacotes TACACS+ por meio de uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear pacotes TACACS+ pela instância mgmt_junos de gerenciamento:

  1. Ative a mgmt_junos instância de gerenciamento.

  2. Configure a instrução para o servidor de autenticação TACACS+ e o servidor de contabilidade routing-instance mgmt_junos TACACS+, se estiver configurado.

Configure o mesmo serviço de autenticação para vários servidores TACACS+

Você pode configurar o mesmo serviço de autenticação para vários servidores TACACS+ incluindo declarações nos níveis [edit system tacplus-server] e [edit system tacplus-options] na hierarquia.

Para designar o mesmo serviço de autenticação a vários servidores TACACS+:

  1. Configure os servidores TACACS+ conforme descrito em Configurar autenticação TACACS+ .
  2. Configure a service-name declaração em nível de [edit system tacplus-options] hierarquia.
    service-name é o nome do serviço de autenticação, que por padrão é junos-exec .

    Por exemplo:

O exemplo a seguir mostra como configurar o mesmo serviço de autenticação para vários servidores TACACS+:

Configure Juniper Networks atributos TACACS+ específicos do fornecedor

Junos OS pode mapear usuários TACACS+autenticados para uma conta de usuário ou modelo de usuário definida localmente, o que determina a autorização. Você também pode configurar, opcionalmente, os privilégios de acesso de um usuário definindo Juniper Networks atributos TACACS+ específicos do fornecedor no servidor TACACS+. Você define os atributos do arquivo de configuração do servidor TACACS+ de forma por usuário. O dispositivo de rede recupera esses atributos por meio de uma solicitação de autorização do servidor TACACS+ após autenticar um usuário.

Para especificar esses atributos, inclua uma instrução do seguinte formulário no arquivo de configuração do service servidor TACACS+:

Você pode definir a service declaração em uma declaração ou uma usergroup declaração.

Configure a atualização periódica do perfil de autorização DA TACACS+

Ao configurar um dispositivo em execução para usar um servidor TACACS+ para autenticação, o dispositivo solicita aos usuários informações de login, o que é verificado pelo Junos OS servidor TACACS+. Depois que um usuário é autenticado com sucesso, o dispositivo de rede envia uma solicitação de autorização ao servidor TACACS+ para obter o perfil de autorização do usuário. Os perfis de autorização especificam as permissões de acesso para usuários ou dispositivos autenticados.

O servidor TACACS+ envia o perfil de autorização como parte de uma mensagem DE RESPOSTA de autorização. O usuário remoto configurado no servidor TACACS+ é mapeado para um modelo de usuário ou usuário local configurado no dispositivo em execução . combina o perfil de autorização remota do usuário e o perfil de autorização configurado localmente, o último deles configurado no Junos OS nível [ ] da Junos OSedit system login class hierarquia.

Por padrão, a troca de mensagens de solicitação de autorização e resposta ocorre apenas uma vez, após o sucesso da autenticação. Você pode configurar os dispositivos para que periodicamente busquem o perfil de autorização remota do servidor TACACS+ e atualize o perfil de autorização Junos OS localmente armazenada. Essa atualização periódica garante que o dispositivo local reflita qualquer alteração nos parâmetros de autorização sem exigir que o usuário reinicie o processo de autenticação.

Para habilitar a atualização periódica do perfil de autorização, você deve definir o intervalo de tempo no qual o dispositivo local verifica o perfil de autorização configurado remotamente no servidor TACACS+. Se o perfil da autorização remota mudar, o dispositivo buscará o perfil de autorização do servidor TACACS+ e o perfil de autorização configurado na hierarquia da classe de login. O dispositivo atualiza o perfil de autorização armazenado localmente combinando os perfis de autorização remotos e localmente configurados.

Você pode configurar o intervalo de tempo de atualização localmente no dispositivo em execução ou Junos OS diretamente no servidor TACACS+. O intervalo de tempo pode variar de 15 a 1440 minutos.

  • Para configurar a atualização periódica do perfil de autorização no dispositivo local, inclua a declaração no nível authorization-time-interval[edit system tacplus-options] da hierarquia, da seguinte forma:
  • Para configurar atualização periódica no servidor TACACS+, adicione o parâmetro no perfil de autorização refresh-time-interval usando a seguinte sintaxe:

Use as seguintes orientações para determinar qual configuração de intervalo de tempo tem precedência:

  • Se o intervalo de tempo de atualização estiver configurado apenas no servidor TACACS+ ou somente no dispositivo em execução, o valor Junos OS configurado entra em vigor.
  • Se o intervalo de tempo de atualização estiver configurado no servidor TACACS+ e no dispositivo em execução, o valor configurado no Junos OS servidor TACACS+ prevalece.

  • Se nenhum intervalo de tempo de atualização estiver configurado no servidor TACACS+ ou no dispositivo em execução, nenhuma Junos OS atualização periódica ocorrerá.

  • Se o intervalo de tempo de atualização configurado no servidor TACACS+ estiver fora do alcance ou inválido, o intervalo de tempo de atualização configurado localmente entra em vigor. Se nenhum intervalo de tempo de atualização estiver configurado localmente, nenhuma atualização periódica ocorrerá.

Depois que o intervalo de tempo de atualização periódica for definido, se o usuário mudar o intervalo de atualização antes da solicitação de autorização ser enviada do dispositivo local, o intervalo de atualização atualizado entra em vigor após a próxima atualização periódica imediata.

Exemplo: Configure um servidor TACACS+ para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um servidor TACACS+.

Requisitos

Antes de começar:

  • Realize a configuração inicial do dispositivo. Consulte o guia "Começar a começar" para seu dispositivo.

  • Configurar pelo menos um servidor TACACS+ na sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor TACACS+ com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor TACACS+ como Tacacssecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especificará o endereço de origem que o dispositivo usa nas solicitações de servidor TACACS+. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte a vários métodos de autenticação de usuário, como autenticação de senha local, TACACS+ e RADIUS, no dispositivo de rede, Ao configurar vários métodos de autenticação, você pode priorizar a ordem na qual o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação TACACS+ primeiro e, se isso falhar, tentar a autenticação de senha local.

Um usuário TACACS+autenticado deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário TACACS+autenticado não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo de remote usuário, se estiver configurado. Este exemplo configura o remote modelo de usuário.

Cópia de

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e insira o modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar um servidor TACACS+ para autenticação do sistema:

  1. Adicionar um novo servidor TACACS+ e definir seu endereço IP.

  2. Especifique a senha (senha) compartilhada do servidor TACACS+.

  3. Especifique o endereço de loopback do dispositivo como o endereço de origem.

  4. Especifique a ordem de autenticação do dispositivo e inclua a tacplus opção.

  5. Configure o remote modelo de usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração ao entrar no show system comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas as porções da hierarquia de configuração relevantes para este exemplo:

Depois de configurar o dispositivo, insira commit o modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar a configuração do servidor TACACS+

Propósito

Verificar se o servidor TACACS+ autentica os usuários.

Ação

Faça login no dispositivo de rede e verifique se o login foi bem-sucedido. Para verificar se o dispositivo usa o servidor TACACS+ para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.

Juniper Networks TACACS+ específicos do fornecedor

Junos OS aceita a configuração Juniper Networks atributos específicos de fornecedor (VSAs) DE TACACS+ no servidor TACACS+. Tabela 1 lista os VSAs Juniper Networks suporte.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido em POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Para obter mais informações, consulte:

Tabela 1: Juniper Networks TACACS+ específicos do fornecedor

Nome

Descrição

Comprimento

String

local-user-name

Indica o nome do modelo de usuário atribuído a esse usuário quando o usuário faz login em um dispositivo.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

allow-commands

Contém uma expressão regular estendida que permite ao usuário executar comandos além dos comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-commands-regexps

Contém uma expressão regular estendida que permite ao usuário executar comandos além dos comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-configuration

Contém uma expressão regular estendida que permite ao usuário exibir e modificar declarações de configuração, além das declarações autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

allow-configuration-regexps

Contém uma expressão regular estendida que permite ao usuário exibir e modificar declarações de configuração, além das declarações autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-commands

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-commands-regexps

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-configuration

Contém uma expressão regular estendida que nega a permissão do usuário para exibir ou modificar as declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

deny-configuration-regexps

Contém uma expressão regular estendida que nega a permissão do usuário para exibir ou modificar as declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

user-permissions

Contém informações que o servidor usa para especificar permissões do usuário.

Nota:

Quando o servidor TACACS+ define o atributo para conceder a permissão ou permissão a um usuário, a lista de adesões de grupo do usuário não inclui automaticamente o grupo de roda user-permissionsmaintenanceall UNIX. Algumas operações, como a execução do su root comando de um shell local, exigem permissões de adesão do grupo de roda. Entretanto, quando o dispositivo de rede define uma conta de usuário local com as permissões ou, o usuário recebe adesão automática ao grupo de roda maintenanceall UNIX. Portanto, recomendamos que você crie uma conta de modelo de usuário com as permissões necessárias e associe contas de usuário individuais à conta do modelo do usuário.

≥3

Um ou mais octetos contendo caracteres ASCII imprimíveis.

Veja Visão geral dos níveis de privilégios de acesso .

authentication-type

Indica o método de autenticação (banco de dados local ou servidor TACACS+ ) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostrará "local". Se o usuário for autenticado usando um servidor TACACS+, o valor do atributo mostrará "remoto".

≥5

Um ou mais octetos contendo caracteres ASCII imprimíveis.

session-port

Indica o número de porta de origem da sessão estabelecida.

tamanho de inteiro

Inteiro

Use expressões regulares em um RADIUS ou servidor TACACS+ para permitir ou negar comandos

Junos OS pode mapear RADIUS usuários autenticados e TACACS+para uma conta de usuário ou modelo de usuário definida localmente, o que define os privilégios de acesso do usuário. Você também pode configurar, opcionalmente, os privilégios de acesso de um usuário definindo atributos específicos de fornecedor (VSAs) de Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos do modo operacional e do modo de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode exibir e modificar. Uma classe de login também pode definir expressões regulares que permitem ou negam a um usuário a possibilidade de executar determinados comandos ou exibição e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma classe de login pode incluir as seguintes declarações para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar Juniper Networks VSAs para definir permissões ou expressões regulares específicas que determinem os privilégios de acesso de um usuário. Para ver a lista de RADIUS e VSAs TACACS+, consulte o seguinte:

Você pode definir permissões de usuário no RADIUS ou servidor TACACS+ como uma lista de valores separados por espaço.

  • Um RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir Juniper Networks VSAs que usam uma única expressão regular estendida (como definido no POSIX 1003.2) para permitir ou negar a um usuário a possibilidade de executar determinados comandos ou exibição e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Ao configurar parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante o TACACS+ ou RADIUS autorização com quaisquer expressões regulares definidas no dispositivo local.

  • Um RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

RADIUS e servidores TACACS+ também têm suporte para atributos de configuração que correspondem às mesmas declarações que você pode *-regexps configurar no dispositivo local. Os atributos TACACS+ e os RADIUS usam a mesma sintaxe de expressão regular dos atributos anteriores, mas eles permitem configurar expressões regulares com *-regexps*-Regexps variáveis.

  • Um RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um RADIUS ou servidor TACACS+, você também pode definir os atributos usando uma sintaxe simplificada na qual você especificará cada expressão individual em uma linha separada.

Para um RADIUS de dados, especifique as expressões regulares individuais usando a sintaxe a seguir:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a sintaxe a seguir:

Nota:
  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n devem ser exclusivos, mas não precisam ser seqüenciais. Por exemplo, a sintaxe a seguir é válida:

  • O RADIUS ou o servidor TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.

  • Ao emitir o comando, a saída de comando exibe a expressão regular em uma única linha, mesmo se você especificar cada expressão show cli authorization individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração, emissão do comando show cli authorization do modo operacional.

Nota:

Ao configurar os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante o TACACS+ ou RADIUS com expressões regulares configuradas localmente. Se a expressão final contiver um erro de sintaxe, o resultado geral será uma expressão regular inválida.

Configuração da contabilidade de sistema TACACS+

Você pode configurar a contabilidade TACACS+ em um dispositivo para coletar dados estatísticos sobre usuários que entraram ou sairam de uma LAN e enviar os dados para um servidor de contabilidade TACACS+. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso ou faturamento de um usuário com base na duração da sessão ou no tipo de serviços acessados.

Para configurar a contabilidade TACACS+, especifique:

  • Um ou mais servidores de contabilidade TACACS+ para receber os dados estatísticos do dispositivo

  • O tipo de dados de contabilidade a coletar

Você pode usar o mesmo servidor para contabilidade e autenticação TACACS+ ou para servidores separados. Você pode especificar uma lista de servidores de contabilidade TACACS+. O dispositivo consulta os servidores na ordem em que estão configurados. Se o servidor principal (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

Ao habilitar a contabilidade TACACS+, Juniper Networks dispositivos, atuando como clientes TACACS+ , pode notificar o servidor TACACS+ sobre atividades do usuário, como logins de software, alterações de configuração e comandos interativos.

Configurar a contabilidade de servidor TACACS+

Para configurar a contabilidade de servidor TACACS+:

  1. Configure os eventos para auditoria.

    Por exemplo:

    events pode incluir um ou mais dos seguintes:

    • login—Logins de auditoria

    • change-log— Auditar alterações na configuração

    • interactive-commands— Audite comandos interativos (qualquer entrada de linha de comando)

  2. Ative a contabilidade TACACS+.
  3. Configure o endereço para um ou mais servidores de contabilidade TACACS+.

    Por exemplo:

    Nota:

    Caso você não configure nenhum servidor TACACS+ em nível de hierarquia, o dispositivo utilizará os servidores [edit system accounting destination tacplus] TACACS+ configurados em [edit system tacplus-server] nível de hierarquia.

  4. (Opcional) Configure o endereço de origem para solicitações de contabilidade TACACS+.

    Por exemplo:

    O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor TACACS+, atribua um endereço IP que o dispositivo pode usar para toda a sua comunicação com o servidor TACACS+. Com isso, define um endereço fixo como o endereço de origem para pacotes IP gerados localmente.

  5. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor de contabilidade TACACS+.

    A senha configurada deve corresponder à senha configurada no servidor TACACS+. Se a senha contiver espaços, contive-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique a porta do servidor de contabilidade TACACS+ para enviar pacotes de contabilidade, se diferente do padrão (49).
  7. (Opcional) Configure o tempo que o dispositivo espera para receber uma resposta do servidor de contabilidade TACACS+.

    Por padrão, o dispositivo espera três segundos. Você pode configurar o timeout valor de 1 a 90 segundos.

    Por exemplo, esperar 15 segundos por uma resposta do servidor:

  8. (Opcional) Configure o dispositivo para manter uma conexão TCP aberta ao servidor para várias solicitações, em vez de abrir uma conexão separada para cada tentativa de conexão.
    Nota:

    As primeiras versões do servidor TACACS+ não suportam a single-connection opção. Se você especificar essa opção e o servidor não a apoiar, o dispositivo não poderá se comunicar com esse servidor TACACS+.

  9. (Opcional) Para rotear pacotes de contabilidade TACACS+ por meio da instância de gerenciamento não padrão ou de outra instância de roteamento em vez da instância de roteamento padrão, configure a declaração e especifique a instância routing-instance de roteamento.
    Por exemplo:
  10. Para garantir que as solicitações de início e parada de eventos de login sejam corretamente registradas no arquivo de log de contabilidade do servidor TACACS+ em vez do arquivo de log da administração, inclua a instrução ou a declaração em nível no-cmd-attribute-valueexclude-cmd-attribute de [edit system tacplus-options] hierarquia.
    Nota:

    Ambas as declarações são de suporte ao registro correto de solicitações de contabilidade no arquivo de contabilidade, em vez de no arquivo De administração. Se você configurar a instrução, o valor do atributo será definido como uma string nula nas no-cmd-attribute-valuecmd solicitações de início e parada. Se você configurar a exclude-cmd-attribute declaração, o cmd atributo será totalmente excluído das solicitações de início e parada.

Tabela de histórico de liberação
Versão
Descrição
18.2R1
A partir da versão 18.2R1 Junos OS, você pode rotear o tráfego TACACS+ por qualquer instância de roteamento configurada na autenticação.
17.4R1
A partir da versão 17.4R1 Junos OS, o comportamento TACACS+ existente é aprimorado para dar suporte a pacotes TACACS+ de roteamento por meio de uma interface de gerenciamento em uma instância de VRF não padrão chamada mgmt_junos.