为身份验证和授权配置 RADIUS 服务器
Junos Space 网络管理平台支持从 RADIUS 服务器对用户进行授权。使用“身份验证服务器”页面(管理 > 身份验证服务器),您可以配置 RADIUS 服务器,以使用一个或多个 RADIUS 远程身份验证服务器对用户进行身份验证和授权,以从一个集中位置以独占身份登录。您还可以使用本地和远程身份验证和授权对用户登录 Junos Space 平台进行验证和授权。
在使用 RADIUS 服务器对用户登录 Junos Space 平台进行身份验证和授权之前,必须确保:
您可以在 Junos Space 平台中创建和配置 RADIUS 远程身份验证服务器(请参阅 创建远程身份验证服务器)。
在 Junos Space Platform 中创建授权用户所需的远程配置文件(请参阅 创建远程配置文件)。
如果要允许远程身份验证和本地授权,则可以使用 Junos Space Platform 中的 基于角色的访问控制 工作区创建用户帐户(请参阅 在 Junos Space 网络管理平台中创建用户)。
要了解启用远程身份验证的登录行为,请参阅 启用远程身份验证的 Junos Space 登录行为 主题。
RADIUS 服务器中的授权数据以供应商特定的属性 (VSA) 存储。因此,您必须使用 Junos Space Platform 定义的 VSA (Juniper-Junosspace-配置文件)更新 RADIUS 服务器中的 Junos 字典文件 (juniper.dct)。应为 RADIUS 服务器数据库中的用户分配 VSA,其值与要分配给用户的 Junos Space 远程配置文件对应。用户有权使用远程配置文件指定的角色。有关相关瞻博网络 RADIUS VSA 列表,请参阅 瞻博网络供应商特定的 RADIUS 属性。
在 Steel-Belted Radius 中配置 VSA:
在 FreeRADIUS 中配置 VSA:
将 Junos Space VSA 添加到瞻博网络字典文件(字典.juniper)。找到该字典文件,并将以下文本添加到文件中:
ATTRIBUTE Juniper-Junosspace-Profiles 11 String
使用 Juniper-Junosspace-Profile 属性将远程配置文件分配给用户。
以下示例说明如何向 FreeRADIUS 添加配置信息,以便为用户分配远程配置文件:
"guestuser" Auth-Type:=PAP, User-Password:="<password>" Juniper-Junosspace-Profiles = "guestprofile"
有关添加 VSA 和将 Junos Space 远程配置文件分配给 Free RADIUS 中的用户的详细信息,请参阅 FreeRADIUS 文档。
在 Junos Space Platform 中创建的远程配置文件不会自动同步到 RADIUS 服务器供选择。管理员必须手动输入正确的远程配置文件名称。