Nesta página
Autenticação TACACS+
Junos OS oferece suporte ao TACACS+ para autenticação central de usuários em dispositivos de rede. Para usar a autenticação TACACS+ no dispositivo, você (o administrador de rede) deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade do TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários que fazem login em uma LAN ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+.
Configure a autenticação TACACS+
A autenticação do TACACS+ é um método de autenticação de usuários que tentam acessar um dispositivo de rede.
Para configurar o TACACS+, execute as seguintes tarefas:
- Configure os detalhes do servidor TACACS+
- Configure o TACACS+ para usar a instância de gerenciamento
- Configure o mesmo serviço de autenticação para vários servidores TACACS+
- Configure atributos TACACS+ específicos do fornecedor da Juniper Networks
Configure os detalhes do servidor TACACS+
Para usar a autenticação TACACS+ no dispositivo, configure informações sobre um ou mais servidores TACACS+ na rede, incluindo uma tacplus-server
declaração no nível de [edit system]
hierarquia para cada servidor TACACS+. O dispositivo consulta os servidores TACACS+ na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tentará entrar em contato com cada servidor da lista até receber uma resposta.
O dispositivo de rede pode mapear usuários autenticados pelo TACACS+para uma conta de usuário ou conta de modelo de usuário definida localmente, o que determina a autorização. Por padrão, Junos OS atribui usuários autenticados por TACACS+à conta remote
do modelo de usuário, se configurado, quando:
-
O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.
-
O servidor TACACS+ não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.
O servidor TACACS+ pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e iD de usuário eficaz do modelo atribuído. Se o usuário autenticado por TACACS+não for mapeado para nenhuma conta de usuário ou modelo de usuário definido localmente, e o remote
modelo não estiver configurado, a autenticação falhará.
O remote
nome de usuário é um caso Junos OS especial e deve ser sempre minúscula. Ele funciona como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. Junos OS aplica as permissões do modelo a remote
esses usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote
modelo estão na mesma classe de login.
Como a autenticação remota está configurada em vários dispositivos, ela é comumente configurada dentro de um grupo de configuração. As etapas aqui mostradas estão em um grupo de configuração chamado global
. Usar um grupo de configuração é opcional.
Para configurar a autenticação por um servidor TACACS+:
Configure o TACACS+ para usar a instância de gerenciamento
Por padrão, Junos OS os pacotes de autenticação, autorização e contabilidade de rotas para TACACS+ por meio da instância de roteamento padrão. Você também pode rotear pacotes TACACS+ por uma interface de gerenciamento em uma instância VRF não padrão.
Para rotear pacotes TACACS+ pela instância de mgmt_junos
gerenciamento:
-
Habilite a instância de
mgmt_junos
gerenciamento.[edit system] user@host# set management-instance
-
Configure a
routing-instance mgmt_junos
declaração para o servidor de autenticação TACACS+ e o servidor de contabilidade TACACS+, se configurado.[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
Configure o mesmo serviço de autenticação para vários servidores TACACS+
Você pode configurar o mesmo serviço de autenticação para vários servidores TACACS+ incluindo declarações nos [edit system tacplus-server]
níveis de hierarquia.[edit system tacplus-options]
Para atribuir o mesmo serviço de autenticação a vários servidores TACACS+:
O exemplo a seguir mostra como configurar o mesmo serviço de autenticação para vários servidores TACACS+:
[edit system] tacplus-server { 10.2.2.2 secret "$ABC123"; ## SECRET-DATA 10.3.3.3 secret "$ABC123"; ## SECRET-DATA } tacplus-options { service-name bob; }
Configure atributos TACACS+ específicos do fornecedor da Juniper Networks
Junos OS pode mapear usuários autenticados por TACACS+para uma conta de usuário ou conta de modelo de usuário definida localmente, que determina a autorização. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo atributos TACACS+ específicos do fornecedor da Juniper Networks no servidor TACACS+. Você define os atributos no arquivo de configuração do servidor TACACS+ em uma base por usuário. O dispositivo de rede recupera esses atributos por meio de uma solicitação de autorização do servidor TACACS+ após autenticar um usuário.
Para especificar esses atributos, inclua uma service
declaração do seguinte formulário no arquivo de configuração do servidor TACACS+:
service = junos-exec { local-user-name = <username-local-to-router> allow-commands = "<allow-commands-regex>" allow-configuration-regexps = "<allow-configuration-regex>" deny-commands = "<deny-commands-regex>" deny-configuration-regexps = "<deny-configuration-regex>" }
Você pode definir a service
declaração em uma user
declaração ou declaração group
.
Configure a atualização periódica do perfil de autorização do TACACS+
Quando você configura um dispositivo em execução Junos OS para usar um servidor TACACS+ para autenticação, o dispositivo solicita aos usuários informações de login, que são verificadas pelo servidor TACACS+. Depois que um usuário é autenticado com sucesso, o dispositivo de rede envia uma solicitação de autorização ao servidor TACACS+ para obter o perfil de autorização para o usuário. Os perfis de autorização especificam as permissões de acesso para usuários ou dispositivos autenticados.
O servidor TACACS+ envia o perfil de autorização como parte de uma mensagem DE RESPOSTA de autorização. O usuário remoto configurado no servidor TACACS+ é mapeado para um usuário local ou modelo de usuário configurado no dispositivo em execução Junos OS. Junos OS combina o perfil de autorização remota do usuário e o perfil de autorização configurado localmente, este último configurado no nível [edit system login class
] de hierarquia.
Por padrão, a troca de mensagens de solicitação e resposta de autorização ocorre apenas uma vez, após a autenticação bem-sucedida. Você pode configurar os dispositivos para que Junos OS , periodicamente, obtenha o perfil de autorização remota do servidor TACACS+ e atualize o perfil de autorização armazenado localmente. Essa atualização periódica garante que o dispositivo local reflita qualquer mudança nos parâmetros de autorização sem exigir que o usuário reinicie o processo de autenticação.
Para permitir a atualização periódica do perfil de autorização, você deve definir o intervalo de tempo em que o dispositivo local verifica o perfil de autorização configurado remotamente no servidor TACACS+. Se o perfil de autorização remota mudar, o dispositivo buscará o perfil de autorização do servidor TACACS+ e o perfil de autorização configurado sob a hierarquia da classe de login. O dispositivo atualiza o perfil de autorização armazenado localmente, combinando os perfis de autorização remotos e configurados localmente.
Você pode configurar o intervalo de tempo de atualização localmente no dispositivo em execução Junos OS ou diretamente no servidor TACACS+. O intervalo de tempo pode variar de 15 a 1440 minutos.
Use as seguintes diretrizes para determinar qual configuração de intervalo de tempo tem precedência:
- Se o intervalo de tempo de atualização for configurado apenas no servidor TACACS+ ou apenas no dispositivo em execução Junos OS, o valor configurado entra em vigor.
-
Se o intervalo de tempo de atualização for configurado tanto no servidor TACACS+ quanto no dispositivo em execução Junos OS, o valor configurado no servidor TACACS+ prevalecerá.
-
Se nenhum intervalo de tempo de atualização for configurado no servidor TACACS+ ou no dispositivo em execução Junos OS, não haverá atualização periódica.
-
Se o intervalo de tempo de atualização configurado no servidor TACACS+ estiver fora de alcance ou inválido, o intervalo de tempo de atualização configurado localmente entra em vigor. Se nenhum intervalo de tempo de atualização for configurado localmente, não haverá atualização periódica.
Após o intervalo de tempo de atualização periódico ser definido, se o usuário mudar o intervalo de atualização antes que a solicitação de autorização seja enviada do dispositivo local, o intervalo de atualização atualizado entra em vigor após a próxima atualização periódica imediata.
Example: Configure um servidor TACACS+ para autenticação do sistema
Este exemplo configura a autenticação do sistema por meio de um servidor TACACS+.
Requisitos
Antes de começar:
-
Execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.
-
Configure pelo menos um servidor TACACS+ em sua rede.
Visão geral
Neste exemplo, você adiciona um novo servidor TACACS+ com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor TACACS+ como Tacacssecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço de origem que o dispositivo usa em solicitações de servidor TACACS+. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.
Você pode configurar o suporte para vários métodos de autenticação de usuários, como autenticação local de senha, TACACS+e RADIUS, no dispositivo de rede, Quando você configura vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação TACACS+ primeiro e, se isso falhar, para tentar a autenticação de senha local.
Um usuário autenticado por TACACS+deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, o que determina a autorização. Por padrão, se um usuário autenticado por TACACS+não for mapeado para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do remote
usuário, se configurado. Este exemplo configura o modelo de remote
usuário.
Cópia de
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar commit
no modo de configuração.
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
Procedimento passo a passo
Para configurar um servidor TACACS+ para autenticação do sistema:
-
Adicione um novo servidor TACACS+ e defina seu endereço IP.
[edit system] user@host# set tacplus-server 172.16.98.1
-
Especifique o segredo compartilhado (senha) do servidor TACACS+.
[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
-
Especifique o endereço de loopback do dispositivo como endereço de origem.
[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
-
Especifique a ordem de autenticação do dispositivo e inclua a opção
tacplus
.[edit system] user@host# set authentication-order [tacplus password]
- Configure o modelo de
remote
usuário e sua classe de login.[edit system] user@host# set login user remote class operator
Resultados
No modo de configuração, confirme sua configuração entrando no show system
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
A saída a seguir inclui apenas as partes da hierarquia de configuração relevantes para este exemplo:
[edit] user@host# show system login { user remote { class operator; } } authentication-order [ tacplus password ]; tacplus-server { 172.16.98.1 { secret "$9$ABC123"; ## SECRET-DATA source-address 10.0.0.1; } }
Depois de configurar o dispositivo, entre commit
no modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
Verifique a configuração do servidor TACACS+
Propósito
Verifique se o servidor TACACS+ autentica os usuários.
Ação
Faça login no dispositivo de rede e verifique se o login é bem-sucedido. Para verificar se o dispositivo usa o servidor TACACS+ para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.
Atributos TACACS+ específicos do fornecedor da Juniper Networks
Junos OS oferece suporte para configurar atributos específicos (VSAs) do TACACS+ da Juniper Networks no servidor TACACS+. Tabela 1 lista os VSAs da Juniper Networks suportados.
Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres curingas, coloque-a entre aspas. Para obter mais informações, consulte:
Nome |
Descrição |
Comprimento |
String |
---|---|---|---|
|
Indica o nome do modelo de usuário atribuído a este usuário quando o usuário faz login em um dispositivo. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
|
Contém uma expressão regular estendida que permite que o usuário execute comandos, além desses comandos autorizados pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
allow-commands-regexps |
Contém uma expressão regular estendida que permite que o usuário execute comandos, além desses comandos autorizados pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
allow-configuration-regexps |
Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
deny-commands-regexps |
Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
Contém uma expressão regular estendida que nega a permissão do usuário para visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
deny-configuration-regexps |
Contém uma expressão regular estendida que nega a permissão do usuário para visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão da classe de login do usuário. |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida. |
|
Contém informações que o servidor usa para especificar permissões do usuário. Nota:
Quando o servidor TACACS+ define o |
≥3 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
|
Indica o método de autenticação (banco de dados local ou servidor TACACS+) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostra "local". Se o usuário for autenticado usando um servidor TACACS+, o valor do atributo mostra "remoto". |
≥5 |
Um ou mais octets contendo caracteres ASCII imprimíveis. |
|
Indica o número da porta de origem da sessão estabelecida. |
tamanho do inteiro |
Inteiro |
Use expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos
Junos OS pode mapear usuários autenticados radius e TACACS+para uma conta de usuário ou modelo de usuário definida localmente, que define os privilégios de acesso do usuário. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo os atributos específicos de fornecedor (VSAs) da Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.
A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode visualizar e modificar. Uma classe de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou visualizar e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma aula de login pode incluir as seguintes declarações para definir a autorização do usuário:
-
permissions
-
allow-commands
-
allow-commands-regexps
-
allow-configuration
-
allow-configuration-regexps
-
deny-commands
-
deny-commands-regexps
-
deny-configuration
-
deny-configuration-regexps
Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para a lista de VSAs RADIUS e TACACS+ suportados, veja o seguinte:
- Atributos de RADIUS e LDAP específicos para fornecedores da Juniper Networks
- Atributos TACACS+ específicos do fornecedor da Juniper Networks
Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.
-
Um servidor RADIUS usa o seguinte atributo e sintaxe:
Juniper-User-Permissions += "flag1 flag2 flag3",
Por exemplo:
Juniper-User-Permissions += "interface interface-control configure",
-
Um servidor TACACS+ usa o seguinte atributo e sintaxe:
user-permissions = "flag1 flag2 flag3"
Por exemplo:
user-permissions = "interface interface-control configure"
Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contiver espaços, operadores ou caracteres curingas, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.
-
Um servidor RADIUS usa os seguintes atributos e sintaxe:
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Por exemplo:
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Um servidor TACACS+ usa os seguintes atributos e sintaxe:
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Por exemplo:
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Os servidores RADIUS e TACACS+ também oferecem suporte a atributos de configuração que correspondem às mesmas *-regexps
declarações que você pode configurar no dispositivo local. Os *-regexps
atributos TACACS+ e os *-Regexps
atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem configurar expressões regulares com variáveis.
-
Um servidor RADIUS usa os seguintes atributos e sintaxe:
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Um servidor TACACS+ usa os seguintes atributos e sintaxe:
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada onde você especifica cada expressão individual em uma linha separada.
Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
Na sintaxe do servidor TACACS+, os valores numéricos de 1 a 1 devem n ser únicos, mas não precisam ser sequenciais. Por exemplo, a seguinte sintaxe é válida:
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.
-
Quando você emite o
show cli authorization
comando, a saída de comando exibe a expressão regular em uma única linha, mesmo que você especifique cada expressão individual em uma linha separada.
Os usuários podem verificar sua classe, permissões e autorização de comando e configuração, emitindo o comando do show cli authorization
modo operacional.
user@host> show cli authorization
Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contiver um erro de sintaxe, o resultado geral é uma expressão regular inválida.
Configuração da contabilidade do sistema TACACS+
Você pode configurar a contabilidade TACACS+ em um dispositivo para coletar dados estatísticos sobre usuários que fazem login em uma LAN ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso, ou cobrança de um usuário com base na duração da sessão ou tipo de serviços acessados.
Para configurar a contabilidade do TACACS+, especifique:
-
Um ou mais servidores de contabilidade TACACS+ para receber os dados estatísticos do dispositivo
-
O tipo de dados contábeis a coletar
Você pode usar o mesmo servidor para contabilidade e autenticação do TACACS+, ou usar servidores separados. Você pode especificar uma lista de servidores de contabilidade TACACS+. O dispositivo consulta os servidores na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tentará entrar em contato com cada servidor da lista até receber uma resposta.
Quando você habilita a contabilidade TACACS+, os dispositivos da Juniper Networks, atuando como clientes TACACS+, podem notificar o servidor TACACS+ sobre atividades do usuário, como logins de software, alterações de configuração e comandos interativos.
Configure a contabilidade do servidor TACACS+
Para configurar a contabilidade de servidor TACACS+: