Konfigurieren eines TACACS+-Servers für die Authentifizierung und Autorisierung
Die Junos Space Network Management-Plattform unterstützt die Authentifizierung und Autorisierung von Benutzern von einem oder mehreren TACACS+-Servern. (Eine Kombination aus TACACS+- und RADIUS-Servern wird ebenfalls unterstützt.) Wenn Sie mehrere Server konfigurieren, werden diese während der Authentifizierung in der in der Benutzeroberfläche angegebenen Reihenfolge ausprobiert. Wenn der erste Server, auf den zugegriffen wird, nicht erreichbar ist oder ein Shared-Secret-Konflikt vorliegt, wird der nächste versucht. Informationen zum Anmeldeverhalten bei aktivierter Remoteauthentifizierung finden Sie im Thema Junos Space-Anmeldeverhalten bei aktivierter Remoteauthentifizierung .
Bevor Sie Benutzer authentifizieren und autorisieren, sich mithilfe des TACACS+-Servers bei Junos Space Platform anzumelden, müssen Sie Folgendes sicherstellen:
Sie erstellen und konfigurieren den TACACS+-Remoteauthentifizierungsserver in Junos Space Platform (siehe Erstellen eines Remote-Authentifizierungsservers).
Sie erstellen die Remote-Profile, die für die Autorisierung der Benutzer in Junos Space Platform erforderlich sind (siehe Erstellen eines Remote-Profils).
Sie erstellen Benutzerkonten mithilfe des Arbeitsbereichs "Rollenbasierte Zugriffssteuerung " in Junos Space Platform, wenn Sie Remoteauthentifizierung und lokale Autorisierung zulassen möchten (siehe Erstellen von Benutzern in Junos Space Network Management Platform).
Autorisierungsdaten im TACACS+-Server werden als Attribut-Wert-Paare (AVPs) gespeichert. Der AVP enthält den Namen des Remote-Profils. Daher müssen Sie Benutzer auf dem TACACS+-Server mit den AVPs konfigurieren, die den auf dem Junos Space-Server erstellten Remoteprofilen entsprechen, um die Rollen des Benutzers darzustellen.
Wenn die Junos Space Network Management-Plattform den TACACS+-Server zur Benutzerautorisierung abfragt, gibt der junosspace-exec-Dienst des TACACS+-Servers den Remote-Profilnamen für diesen Benutzer zurück. Junos Space Network Management Platform ermittelt anhand dieser Antwort die Rolle(n) des Benutzers.
Um dem Benutzer mithilfe des Remoteprofilnamens Rollen zuzuweisen, können Sie die AVP network-management-profiles für den junosspace-exec-Dienst auf dem TACACS+-Server konfigurieren.
Das folgende Beispiel zeigt, wie Konfigurationsinformationen zum TACACS+-Server hinzugefügt werden können, um einem Benutzer ein Remoteprofil zuzuweisen:
user = guestuser
{
pap = cleartext "<password>"
service = junosspace-exec
{
network-management-profiles = guest_profile
}
}
Weitere Informationen zum Konfigurieren des AVP und zum Zuweisen eines Junos Space-Remoteprofils zu einem Benutzer auf dem TACACS+-Server finden Sie in der Dokumentation zum TACACS+-Server.