Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anmeldeverhalten von Junos Space bei aktivierter Remote-Authentifizierung

In diesem Thema wird das Anmeldeverhalten der Junos Space Network Management-Plattform mit aktivierter Remoteauthentifizierung oder lokaler Remoteauthentifizierung beschrieben.

Warnung:

Um einen BEAST TLS 1.0-Angriff zu vermeiden, stellen Sie bei jeder Anmeldung bei Junos Space Network Management Platform in einem Browser-Tab oder -Fenster sicher, dass dieser Tab oder dieses Fenster zuvor nicht zum Surfen auf einer Nicht-HTTPS-Website verwendet wurde. Es empfiehlt sich, Ihren Browser zu schließen und neu zu starten, bevor Sie sich bei Junos Space Platform anmelden.

Das Systemverhalten unterscheidet sich je nachdem, ob Sie nur Remoteauthentifizierung oder Remotelokale Authentifizierung als Authentifizierungsmodus für Junos Space Platform auswählen. Unterschiede treten auf, wenn ein Remoteauthentifizierungsserver einen Benutzer nicht authentifiziert. Es gibt auch Unterschiede in der Autorisierungsquelle, je nachdem, welche Antwort der Remote-Server zurückgibt.

Abbildung 1 zeigt die Entscheidungsstruktur, die dem Systemverhalten zugrunde liegt, wenn entweder nur Remoteauthentifizierung oder Remote-lokale Authentifizierung ausgewählt wird und ein Remoteauthentifizierungsserver den Benutzer akzeptiert.

Abbildung 1: Remote-Authentifizierungsserver akzeptiert Benutzer Remote Authentication Server Accepts User

Abbildung 2 zeigt die Entscheidungsstruktur, wenn ein Remoteauthentifizierungsserver den Benutzer entweder ablehnt oder gar nicht antwortet.

Abbildung 2: Remote-Authentifizierungsserver nicht erreichbar oder Benutzer ablehnt Remote Authentication Server Not Reachable or Rejects User

In den folgenden Abschnitten wird das Anmeldeverhalten beschrieben, wenn nur die Remoteauthentifizierung oder der Remote-lokale Authentifizierungsmodus aktiviert ist.

Hinweis:

Wenn sich Remote-Benutzer mit Benutzernamen anmelden, die ein @-Symbol oder einen umgekehrten Schrägstrich (\) enthalten, ignoriert Junos Space Platform den Teil des Benutzernamens, der auf das @-Symbol folgt, oder den Teil, der dem umgekehrten Schrägstrich vorangeht, und authentifiziert sich mit dem Rest des Benutzernamens. Wenn ein Remote-Benutzer beispielsweise abc@domain, abc@domain.com oder domain\ abc als Benutzernamen verwendet, verwendet Junos Space Platform nur abc zur Authentifizierung des Benutzers. Wenn in der Datenbank ein Eintrag für abc vorhanden ist, wird das entsprechende Remote-Profil auf den Benutzer angewendet. Wenn die Datenbank keinen Eintrag hat, der dem Benutzernamen abc entspricht Im angegebenen Beispiel erstellt Junos Space Platform ein schreibgeschütztes Benutzerkonto mit dem Namen abc und weist ein Remote-Profil zu.

Login Behavior with Remote Authentication Only Enabled

In Tabelle 1 sind die verschiedenen Szenarien sowie das Authentifizierungs- und Autorisierungsverhalten für jedes Szenario aufgeführt, in dem der Modus "Nur Remoteauthentifizierung" aktiviert ist.

Tabelle 1: Anmeldeverhalten bei aktivierter Remoteauthentifizierung

Szenario

Login-Verhalten

Benutzer meldet sich mit den richtigen Anmeldeinformationen an

  • Wenn sich das Kennwort des Benutzers auf dem Remote-Server befindet und ein entsprechendes Remote-Profil in Junos Space Platform vorhanden ist, meldet sich der Benutzer mit den Rollen an, die vom Remote-Profil zugewiesen wurden.

  • Wenn sich das Kennwort des Benutzers auf dem Remote-Server befindet, es aber kein entsprechendes Remote-Profil in Junos Space-Plattform gibt, meldet sich der Benutzer mit Rollen an, die aus den Benutzerinformationen der Junos Space-Datenbank zugewiesen wurden, wenn das entsprechende Benutzerkonto in der Junos Space-Datenbank vorhanden ist. Wenn in Junos Space Platform kein entsprechendes Remote-Profil oder Benutzerkonto vorhanden ist, wird dem Benutzer der Zugriff verweigert.

  • Wenn der erste Remote-Authentifizierungsserver vorhanden ist, wird nur dieser Server kontaktiert und der Erfolg oder Misserfolg der Anmeldung hängt ausschließlich vom dort gespeicherten Kennwort ab. Wenn der erste Authentifizierungsserver nicht erreichbar ist, werden die anderen Server in der angegebenen Reihenfolge kontaktiert. Wenn kein Authentifizierungsserver erreichbar ist, wird das lokale Kennwort in der Junos Space Platform-Datenbank überprüft. Wenn das Notfallkennwort in Junos Space konfiguriert ist und die Anmeldeinformationen übereinstimmen, meldet sich der Benutzer erfolgreich mit Rollen an, die aus den Benutzerinformationen der Junos Space-Datenbank zugewiesen wurden. Andernfalls wird dem Benutzer der Zugriff verweigert.

    Hinweis:

    Für die Remote-Authentifizierung und -Autorisierung benötigen die meisten Benutzer kein lokales Kennwort. Das lokale Passwort ist in diesem Fall nur für Notfälle gedacht, wenn die Remote-Authentifizierungsserver nicht erreichbar sind.

Der Benutzer meldet sich mit falschen Anmeldeinformationen an, oder der Benutzer ist auf dem Remoteauthentifizierungsserver nicht vorhanden.

  • Der Zugriff auf die Junos Space Platform wird verweigert.

    Hinweis:

    Authentifizierungsserver unterscheiden aus Sicherheitsgründen nicht zwischen diesen beiden Fällen (d. h., ein Benutzer meldet sich mit falschen Anmeldeinformationen an oder ein Benutzer ist auf dem Remoteauthentifizierungsserver nicht vorhanden). Daher muss Junos Space Platform diese Art von Anmeldungen immer als Authentifizierungsfehler behandeln.

  • Wenn keine Authentifizierungsserver erreichbar sind, versucht Junos Space Platform, das lokale Kennwort einzugeben. Wenn das Notfallkennwort in Junos Space konfiguriert ist und die Anmeldeinformationen übereinstimmen, meldet sich der Benutzer erfolgreich mit Rollen an, die aus den Benutzerinformationen der Junos Space-Datenbank zugewiesen wurden. Andernfalls wird dem Benutzer der Zugriff verweigert.

Der Benutzer versucht, sich anzumelden, wenn der Remote-Authentifizierungsserver für Challenge/Response konfiguriert ist.

  • Wenn der Remoteauthentifizierungsserver angibt, dass eine Abfrage erforderlich ist, stellt er die Abfragefrage bereit. Junos Space Platform zeigt dem Benutzer die Herausforderungsfrage auf der Junos Space-Anmeldeseite an und wartet auf die Antwort des Benutzers.

  • Wenn die Challenge-Frage richtig beantwortet wird, ist es möglich, dass der Authentifizierungsserver zusätzliche Challenge-Fragen stellt.

  • Wenn die Challenge-Frage falsch beantwortet wird, ist es möglich, dass der Authentifizierungsserver den Benutzer mit derselben Challenge-Frage erneut herausfordert, eine andere Challenge-Frage verwendet oder den Anmeldeversuch vollständig fehlschlägt. Die Konfiguration des Remoteauthentifizierungsservers bestimmt das Verhalten.

  • Wenn die letzte Challenge-Frage richtig beantwortet wurde, meldet sich der Benutzer erfolgreich an.

Login Behavior with Remote-Local Authentication Enabled

In Tabelle 2 sind die verschiedenen Szenarien sowie das Authentifizierungs- und Autorisierungsverhalten für jedes Szenario aufgeführt, in dem der Remote-lokale Authentifizierungsmodus aktiviert ist.

Tabelle 2: Anmeldeverhalten bei aktivierter Remote-lokaler Authentifizierung

Szenario

Login-Verhalten

Benutzer meldet sich mit den richtigen Anmeldeinformationen an

  • Wenn sich das Kennwort des Benutzers auf dem Remote-Server befindet und ein entsprechendes Remote-Profil in Junos Space Platform vorhanden ist, meldet sich der Benutzer mit den Rollen an, die vom Remote-Profil zugewiesen wurden.

  • Wenn sich das Kennwort des Benutzers auf dem Remote-Server befindet, aber kein entsprechendes Remote-Profil in der Junos Space-Datenbank vorhanden ist, prüft Junos Space-Plattform, ob das Benutzerkonto in der Junos Space-Datenbank vorhanden ist. Wenn das Benutzerkonto vorhanden ist, meldet sich der Benutzer erfolgreich mit den Rollen an, die über die Benutzerinformationen der Junos Space-Datenbank zugewiesen wurden. Andernfalls wird dem Benutzer der Zugriff verweigert.

  • Wenn die Remote-Server nicht erreichbar sind, versucht Junos Space Platform, den Benutzer lokal zu authentifizieren. Wenn ein Junos Space-Plattform-Benutzerkonto und ein lokales Kennwort vorhanden sind und die Anmeldeinformationen übereinstimmen, meldet sich der Benutzer erfolgreich mit den Rollen an, die aus den Benutzerinformationen der Junos Space-Datenbank zugewiesen wurden. Andernfalls wird dem Benutzer der Zugriff verweigert.

Der Benutzer meldet sich mit falschen Anmeldeinformationen an, oder der Benutzer ist auf dem Remoteauthentifizierungsserver nicht vorhanden.

  • Junos Space Platform überprüft zuerst die Remote-Authentifizierungsserver. Wenn die Authentifizierung fehlschlägt oder ein Server nicht erreichbar ist, versucht Junos Space Platform, den Benutzer lokal zu authentifizieren. Wenn ein Junos Space-Plattform-Benutzerkonto und ein lokales Kennwort vorhanden sind und die Anmeldeinformationen übereinstimmen, meldet sich der Benutzer erfolgreich mit den Rollen an, die aus den Benutzerinformationen der Junos Space-Datenbank zugewiesen wurden. Andernfalls wird dem Benutzer der Zugriff verweigert.

Der Benutzer versucht, sich anzumelden, wenn der Remote-Authentifizierungsserver für Challenge/Response konfiguriert ist.

  • Wenn der Remoteauthentifizierungsserver angibt, dass eine Abfrage erforderlich ist, stellt er die Abfragefrage bereit. Junos Space Platform zeigt dem Benutzer die Herausforderungsfrage auf der Junos Space-Anmeldeseite an und wartet auf die Antwort des Benutzers.

  • Wenn die Challenge-Frage richtig beantwortet wird, ist es möglich, dass der Authentifizierungsserver zusätzliche Challenge-Fragen stellt.

  • Wenn die Challenge-Frage falsch beantwortet wird, ist es möglich, dass der Authentifizierungsserver den Benutzer mit derselben Challenge-Frage erneut herausfordert, eine andere Challenge-Frage verwendet oder den Anmeldeversuch vollständig fehlschlägt. Die Konfiguration des Remoteauthentifizierungsservers bestimmt das Verhalten.

  • Wenn die letzte Challenge-Frage richtig beantwortet wurde, meldet sich der Benutzer erfolgreich an.

Zugehörige Dokumentation