配置 TACACS+ 服务器进行身份验证和授权
Junos Space 网络管理平台支持从一个或多个 TACACS+ 服务器对用户进行身份验证和授权。(还支持 TACACS+ 和 RADIUS 服务器的组合。如果配置多个服务器,则在身份验证期间将按用户界面中列出的顺序尝试这些服务器。如果无法访问访问的第一个服务器或存在共享密钥不匹配,则尝试下一个服务器。要了解启用远程身份验证时的登录行为,请参阅 启用远程身份验证时的 Junos Space 登录行为 主题。
在使用 TACACS+ 服务器对用户进行身份验证和授权登录 Junos Space 平台之前,必须确保:
您可以在 Junos Space 平台中创建并配置 TACACS+ 远程认证服务器(请参阅 创建远程认证服务器)。
您可以在 Junos Space 平台中创建授权用户所需的远程配置文件(请参阅 创建远程配置文件)。
如果要允许远程身份验证和本地授权,可以使用 Junos Space Platform 中基于 角色的访问控制 工作区创建用户帐户(请参阅 在 Junos Space 网络管理平台中创建用户)。
TACACS+ 服务器中的授权数据存储为属性值对 (AVP)。AVP 包含远程配置文件的名称。因此,您必须使用 与在 Junos Space 服务器中创建的远程配置文件相对应的 AVP 配置 TACACS+ 服务器中的用户,以表示用户的角色。
当 Junos Space 网络管理平台向 TACACS+ 服务器查询用户授权时,TACACS+ 服务器的 junosspace-exec 服务将返回该用户的远程配置文件名称。Junos Space 网络管理平台根据此响应确定用户的角色。
要使用远程配置文件名称为用户分配角色,可以为 TACACS+ 服务器上的 junosspace-exec 服务配置网络管理配置文件 AVP。
以下示例说明如何将配置信息添加到 TACACS+ 服务器以向用户分配远程配置文件:
user = guestuser { pap = cleartext "<password>" service = junosspace-exec { network-management-profiles = guest_profile } }
有关配置 AVP 以及将 Junos Space 远程配置文件分配给 TACACS+ 服务器中的用户的详细信息,请参阅 TACACS+ 服务器文档。