配置 RADIUS 服务器以进行身份验证和授权
Junos Space 网络管理平台支持从 RADIUS 服务器对用户进行授权。使用“身份验证服务器”页面(“身份验证服务器管理>”),您可以将 RADIUS 服务器配置为使用一个或多个 RADIUS 远程身份验证服务器对用户进行身份验证和授权,以独占方式从集中位置登录。您还可以使用本地和远程身份验证和授权对用户进行身份验证和授权,以登录 Junos Space 平台。
在使用 RADIUS 服务器对用户进行身份验证和授权登录到 Junos Space 平台之前,必须确保:
您可以在 Junos Space 平台中创建并配置 RADIUS 远程身份验证服务器(请参阅 创建远程身份验证服务器)。
您可以在 Junos Space 平台中创建授权用户所需的远程配置文件(请参阅 创建远程配置文件)。
如果要允许远程身份验证和本地授权,可以使用 Junos Space Platform 中基于 角色的访问控制 工作区创建用户帐户(请参阅 在 Junos Space 网络管理平台中创建用户)。
要了解启用远程身份验证时的登录行为,请参阅 启用远程身份验证时的 Junos Space 登录行为 主题。
RADIUS 服务器中的授权数据存储为供应商特定的属性 (VSA)。因此,您必须使用 Junos Space Platform 定义的 VSA(Juniper-Junosspace-Profiles)更新 RADIUS 服务器中的 Junos 词典文件 (juniper.dct)。应为 RADIUS 服务器数据库中的用户分配 VSA,其值应与要分配给用户的 Junos Space 远程配置文件相对应。用户已获得远程配置文件指定的角色的授权。有关相关瞻博网络 RADIUS VSA 的列表,请参阅瞻博网络供应商特定的 RADIUS 属性。
要在钢带半径中配置 VSA,请执行以下操作:
要在 FreeRADIUS 中配置 VSA,请执行以下操作:
将 Junos Space VSA 添加到瞻博网络词典文件 (dictionary.juniper)。找到字典文件并将以下文本添加到该文件中:
ATTRIBUTE Juniper-Junosspace-Profiles 11 String
使用 Juniper-Junosspace-Profiles 属性将远程配置文件分配给用户。
以下示例显示如何将配置信息添加到 FreeRADIUS 以将远程配置文件分配给用户:
"guestuser" Auth-Type:=PAP, User-Password:="<password>" Juniper-Junosspace-Profiles = "guestprofile"
有关在 Free RADIUS 中添加 VSA 并将 Junos Space 远程配置文件分配给用户的详细信息,请参阅 FreeRADIUS 文档。
在 Junos Space 平台中创建的远程配置文件不会自动同步到 RADIUS 服务器以供选择。管理员必须手动输入正确的远程配置文件名称。