启用远程身份验证时的 Junos Space 登录行为

本主题介绍仅远程身份验证或启用远程本地身份验证的 Junos Space 网络管理平台登录行为。

警告：

为避免 BEAST TLS 1.0 攻击，无论何时在浏览器选项卡或窗口中登录 Junos Space 网络管理平台，请确保该选项卡或窗口以前未用于浏览非 HTTPS 网站。最佳做法是在登录 Junos Space 平台之前关闭浏览器并重新启动浏览器。

系统行为会有所不同，具体取决于您是选择仅远程身份验证还是远程本地身份验证作为 Junos Space 平台的身份验证模式。当远程身份验证服务器不对用户进行身份验证时，会出现差异。根据远程服务器返回的答案，授权源也存在差异。

图 1 显示了选择仅远程身份验证或远程本地身份验证且远程身份验证服务器接受用户时底层系统行为的决策树。

图 2 显示了远程认证服务器拒绝用户或根本不响应时的决策树。

以下各节介绍仅远程身份验证或启用远程本地身份验证模式时的登录行为。

注意：

当远程用户使用包含 @ 符号或反斜杠（\）字符的用户名登录时，Junos Space Platform 将忽略用户名中 @ 符号后面的部分或反斜杠字符前面的部分，并使用用户名的其余部分进行身份验证。例如，如果远程用户使用 abc@domain、 abc@domain.com 或域\ abc 作为用户名，则 Junos Space Platform 仅使用 abc 对用户进行身份验证。如果数据库中有 abc 的条目，则会将相应的远程配置文件应用于用户。如果数据库没有与用户名 abc 对应的条目，则在给定示例中，Junos Space Platform 将使用名称为 abc 的只读用户帐户，并分配远程配置文件。

表 1 列出了启用仅远程身份验证模式时各种方案以及每种方案的身份验证和授权行为。

表 1：仅启用远程身份验证时的登录行为
场景	登录行为
用户使用正确的凭据登录	如果用户的密码位于远程服务器上，并且在 Junos Space Platform 中存在相应的远程配置文件，则用户将使用远程配置文件分配的角色登录。如果用户的密码在远程服务器上，但 Junos Space 平台中没有等效的远程配置文件，则用户将使用从 Junos Space 数据库用户信息分配的角色登录（Junos Space 数据库中存在相应的用户帐户）。如果 Junos Space Platform 中没有等效的远程配置文件或用户帐户，则会拒绝用户访问。如果存在第一个远程身份验证服务器，则仅联系该服务器，登录成功或失败完全取决于存储在那里的密码。如果无法访问第一个身份验证服务器，则按指定顺序联系其他服务器。如果无法访问认证服务器，则检查 Junos Space 平台数据库中的本地密码。如果在 Junos Space 中配置了紧急密码且凭据匹配，则用户将使用从 Junos Space 数据库用户信息分配的角色成功登录。否则，将拒绝用户访问。注意：对于远程身份验证和授权，大多数用户不需要本地密码。在这种情况下，本地密码仅用于无法访问远程身份验证服务器时的紧急目的。
用户使用不正确的凭据登录，或者远程身份验证服务器上不存在该用户	对 Junos Space Platform 的访问被拒绝。注意：出于安全目的，身份验证服务器不区分这两种情况（即，用户使用不正确的凭据登录或远程身份验证服务器上不存在用户）。因此，Junos Space 平台必须始终将这些类型的登录视为身份验证失败。如果无法访问认证服务器，Junos Space Platform 将尝试使用本地密码。如果在 Junos Space 中配置了紧急密码且凭据匹配，则用户将使用从 Junos Space 数据库用户信息分配的角色成功登录。否则，将拒绝用户访问。
当远程认证服务器配置为质询/响应时，用户尝试登录	如果远程身份验证服务器指示需要质询，则会提供质询问题。Junos Space 平台在 Junos Space 登录页面上向用户显示质询问题，并等待用户的响应。如果质询问题回答正确，则身份验证服务器可能会提出其他质询问题。如果质询问题回答不正确，身份验证服务器可能会使用相同的质询问题、使用不同的质询问题或完全失败登录尝试重新质询用户。远程身份验证服务器配置确定行为。如果回答了最后一个质询问题，则用户登录成功。

Login Behavior with Remote-Local Authentication Enabled

表 2 列出了启用远程本地身份验证模式时各种方案以及每种方案的身份验证和授权行为。

表 2：启用远程本地身份验证时的登录行为
场景	登录行为
用户使用正确的凭据登录	如果用户的密码位于远程服务器上，并且在 Junos Space Platform 中存在相应的远程配置文件，则用户将使用远程配置文件分配的角色登录。如果用户的密码位于远程服务器上，但 Junos Space 数据库中没有等效的远程配置文件，则 Junos Space 平台将检查 Junos Space 数据库中是否存在用户帐户。如果用户帐户存在，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，将拒绝用户访问。如果无法访问远程服务器，Junos Space Platform 会尝试在本地对用户进行身份验证。如果存在 Junos Space 平台用户帐户和本地密码，且凭据匹配，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，将拒绝用户访问。
用户使用不正确的凭据登录，或者远程身份验证服务器上不存在该用户	Junos Space Platform 首先检查远程身份验证服务器。如果身份验证失败或无法访问服务器，Junos Space Platform 将尝试在本地对用户进行身份验证。如果存在 Junos Space 平台用户帐户和本地密码，且凭据匹配，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，将拒绝用户访问。
当远程认证服务器配置为质询/响应时，用户尝试登录	如果远程身份验证服务器指示需要质询，则会提供质询问题。Junos Space 平台在 Junos Space 登录页面上向用户显示质询问题，并等待用户的响应。如果质询问题回答正确，则身份验证服务器可能会提出其他质询问题。如果质询问题回答不正确，身份验证服务器可能会使用相同的质询问题、使用不同的质询问题或完全失败登录尝试重新质询用户。远程身份验证服务器配置确定行为。如果回答了最后一个质询问题，则用户登录成功。

启用远程身份验证时的 Junos Space 登录行为

相关文档