Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS grundlegende Konfiguration von Authentifizierung und Buchhaltung

Konfigurieren der Authentifizierungs- und Buchhaltungsparameter für den Abonnentenzugriff

Sie verwenden ein Zugriffsprofil, um die Authentifizierungs- und Accounting-Unterstützung für die Zugriffsverwaltungsfunktion für Abonnenten zu konfigurieren. Mit dem Zugriffsprofil können Sie die Art der für die Authentifizierung und Abrechnung verwendeten Methoden angeben. Sie können auch konfigurieren, wie die Benutzerzugriffsverwaltung Buchhaltungsstatistiken erfasst und verwendet.

So konfigurieren Sie die Authentifizierung und Abrechnung für den Abonnentenzugriff:

  1. Geben Sie die zu verwendenden Authentifizierungs- und Buchhaltungsmethoden an.
  2. Spezifizieren Sie, wie Buchhaltungsstatistiken gesammelt werden.

Angabe der Authentifizierungs- und Buchhaltungsmethoden für den Abonnentenzugriff

Sie können die Authentifizierungs- und Buchhaltungsmethoden angeben, die für die Benutzerzugriffsverwaltung verwendet werden.

Sie können mehrere Authentifizierungs- und Buchhaltungsmethoden konfigurieren: In den Anweisungen und Anweisungen wird die Reihenfolge angegeben, in der die Verwaltungsfunktion für den Abonnentenzugriff authentication-order accounting order die Methoden verwendet. Beispiel: Ein Authentifizierungseintrag mit gibt an, dass RADIUS Authentifizierung zuerst durchgeführt wird. Wenn dies zu einem Zeitbruch kommt (beispielsweise wenn der RADIUS-Server nicht verfügbar ist), wird eine lokale Authentifizierung radius password ( password ) versucht. Wenn der Authentifizierungsversuch jedoch durch eine Methode abgelehnt wird, wird keine nachfolgende Methode versucht. Wenn die Authentifizierung als erste zu versuchende Methode konfiguriert wurde, wird die Authentifizierung immer entweder akzeptiert oder abgelehnt. In beiden Fällen wird password keine andere Methode versucht.

Mit der Erklärung können Sie die folgenden Authentifizierungsmethoden authentication-order angeben:

  • radius— RADIUS-basierte Authentifizierung über einen externen Server RADIUS Server.

  • password— Lokale Authentifizierung anhand lokal konfigurierter und gespeicherter Benutzernamen und Passwörter.

    Die Benutzerzugriffsverwaltung unterstützt diese Option erst nach der Junos OS password Veröffentlichung 18.2R1. Beginnend ab Junos OS Release 18.2R1 können Sie mit der Option lokale Authentifizierung für einzelne Abonnenten bereitstellen. Dies ist in der Regel, wenn Sie keine externen Authentifizierungs- und Autorisierungsserver haben oder wenn Sie die lokale Authentifizierung als Backup für externe Authentifizierung verwenden password möchten. In diesem Fall wird das tatsächliche Abonnentenkennwort mit der password Option der Aussage im subscriber username Zugriffsprofil konfiguriert. In früheren Versionen müssen Sie immer die radius Authentifizierungsmethode angeben.

Sie können folgende Buchhaltungsmethoden angeben:

  • radius— RADIUS-basiertes Accounting mit einem externen Server RADIUS Servern.

So konfigurieren Sie die Authentifizierungs- und Buchhaltungsmethoden für die Zugriffverwaltung für Abonnenten:

  1. Geben Sie die Authentifizierungsmethoden und die Reihenfolge, in der sie verwendet werden, an.
  2. Geben Sie die Buchhaltungsmethode an.

Angabe RADIUS-Authentifizierungs- und Accounting-Server für Abonnentenzugriff

Sie können einen oder mehrere Authentifizierungs RADIUS- oder Accounting-Server zur Verwaltung des Abonnentenzugriffs festlegen.

So konfigurieren Sie RADIUS Authentifizierungs- und Accounting-Unterstützung:

  1. Geben Sie an, dass Sie die RADIUS möchten.
  2. Geben Sie die IP-Adresse des RADIUS Servers an, der zur Authentifizierung verwendet wird.
  3. Geben Sie die IP-Adresse des RADIUS servers an, der für das Accounting verwendet wird.

So konfigurieren Sie mehrere RADIUS-Authentifizierungs- oder Accounting-Server:

  • Geben Sie die IP-Adressen aller Server RADIUS an, die zur Authentifizierung oder Abrechnung verwendet werden.

Konfigurieren lokaler Authentifizierung und Autorisierung für Abonnenten

Beginnend ab Junos OS Release 18.2R1 können Sie lokale Authentifizierung und eingeschränkte lokale Autorisierung für Abonnenten konfigurieren. Lokale Authentifizierung unterstützt alle Abonnententypen, die derzeit von der Abonnentenverwaltung und den Diensten auf Routern der MX-Serie unterstützt werden. Lokale Authentifizierung und Autorisierung ist für folgende Situationen nützlich:

  • Wenn Sie keine externen Authentifizierungs- und Autorisierungsserver verwenden möchten.

  • Wenn die lokale Authentifizierung und Autorisierung eine Sicherungsmethode für den Fall eines RADIUS Authentifizierung vorschlägt.

  • Bei der Migration eines Netzwerks von Routern E Series JunosE-Software auf Router der MX-Serie mit einer Junos OS.

Aktivieren Sie die lokale Authentifizierung und Autorisierung für Abonnenten, indem Sie die Option als Methode für das password authentication-order Zugriffsprofil konfigurieren. Konfigurieren Sie dann ein Kennwort für jeden Abonnenten, den Sie lokal authentifizieren möchten. Wenn ein mit dem Anmeldeprofil verknüpfter Abonnent sich anmeldet, wird der Benutzername mit dem konfigurierten Benutzernamen verglichen. Wenn dieses Kennwort entspricht, wird das Anmeldekennwort mit dem konfigurierten Kennwort verglichen. Lokale Authentifizierungsfehler ergeben sich aus Mismatch der Anmeldeinformationen. d. b. ob Benutzername oder Kennwort des Teilnehmers nicht übereinstimmen.

Die lokale Authentifizierung kann folgende Form haben:

  • Authentifizierung von Benutzerkennworten: Mit dem konfigurierten Kennwort wird das Anmeldekennwort des Abonnenten überprüft.

  • Herausforderung Handshake-Authentifizierung (CHAP): Das konfigurierte Kennwort fungiert als geheimes Challenge Secret, um das Challenge-Kennwort des Abonnenten zu überprüfen und die Antwortantwort-Nachweis zu stellen.

Optional können Sie auch mehrere Attribute konfigurieren, z. B. Adresspool, logisches System oder Routing-Instanz, um beim Erfolg der Authentifizierung lokal für den Abonnenten zu autorisiert zu werden. Wenn Sie keinen Adressen- oder Adressenpool für die lokale Autorisierung konfigurieren, basiert die Adressenzuweisung auf dem Netzwerkabgleich oder dem ersten Adressenpool, dem die Routinginstanz zugewiesen wurde.

Hinweis:

Lokale Authentifizierung und Autorisierung unterstützen gehäuseweit maximal 100 Abonnenten. Wenn Abonnenten in Zugriffsprofilen konfiguriert sind, wo sie nicht konfiguriert sind, findet keine lokale Authentifizierung statt, aber diese Abonnenten verlassen sich für die lokale Authentifizierung auf die Systemanzahl authentication-order password von 100 Abonnenten.

Zur Konfiguration lokaler Authentifizierung und Autorisierung:

  1. Lokale Authentifizierung ermöglichen.

    Wenn Sie nur die lokale Authentifizierung verwenden möchten, konfigurieren Sie password sie als einzige Authentifizierungsmethode. Wenn die lokale Authentifizierung eine RADIUS soll, falls die Methode zu wünschen ist, ist als erste und als zweite Methode dies radius password erforderlich:

    Wenn Sie die password Authentifizierung als erste Methode konfigurieren, wird die Authentifizierung immer entweder akzeptiert oder abgelehnt. In jedem Fall wird niemals versucht, eine zweite Methode zu versuchen.

  2. Konfigurieren Sie das lokale Kennwort für den Abonnenten.
  3. (Optional) Konfigurieren einer IPv4-Adresse für den Abonnenten.
  4. (Optional) Einen Adressenpool konfigurieren, um dem Abonnenten eine IPv4-Adresse zu zuweisen.
  5. (Optional) Einen Adressenpool konfigurieren, um dem Abonnenten ein IPv6-Präfix oder eine DHCPv6-IA_NA/128-Adresse zu zuweisen.
  6. (Optional) Einen Adressenpool konfigurieren, um ein optionales IPv6-Präfix lokal zu verteilen.
  7. (Optional) Konfigurieren Sie ein logisches System und falls gewünscht, einer Dem Abonnenten zugewiesenen Routing-Instanz.
  8. (Optional) Konfigurieren einer Routing-Instanz für den Abonnenten.

Sie können die folgenden Befehle show verwenden, um Informationen über die lokale Authentifizierung anzuzeigen:

  • show network-access aaa statistics authentication detail— Zeigt Fehlerstatistiken für die lokale Authentifizierung an.

  • show network-access requests statistics— Zeigt sowohl lokale Authentifizierungs- als auch Statistiken zur lokalen Reauthentifizierung an, wie empfangene Anforderungen und die Anzahl der Erfolgs- und Fehlerantworten.

  • show network-access aaa statistics re-authentication— Zeigt Statistiken zur erneuten Authentifizierung an, diese werden jedoch sowohl aus der lokalen Authentifizierung als auch aus den Protokollen RADIUS.

Tabelle zum Versionsverlauf
Release
Beschreibung
18.2R1
Beginnend ab Junos OS Release 18.2R1 können Sie lokale Authentifizierung und eingeschränkte lokale Autorisierung für Abonnenten konfigurieren.