Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS-Authentifizierung und Buchhaltung – Basiskonfiguration

Konfigurieren von Authentifizierungs- und Abrechnungsparametern für den Abonnentenzugriff

Sie verwenden ein Zugriffsprofil, um die Authentifizierungs- und Buchhaltungsunterstützung für die Zugriffsverwaltungsfunktion für Abonnenten zu konfigurieren. Mit dem Zugriffsprofil können Sie die Art der methoden angeben, die für Authentifizierung und Buchhaltung verwendet werden. Sie können auch konfigurieren, wie die Abonnentenzugriffsverwaltung Buchhaltungsstatistiken erfasst und verwendet.

So konfigurieren Sie Authentifizierung und Abrechnung für den Abonnentenzugriff:

  1. Geben Sie die zu verwendenen Authentifizierungs- und Abrechnungsmethoden an.
  2. Geben Sie an, wie Buchhaltungsstatistiken erfasst werden.

Festlegen der Authentifizierungs- und Abrechnungsmethoden für den Abonnentenzugriff

Sie können die Authentifizierungs- und Abrechnungsmethoden angeben, die für die Zugriffsverwaltung von Abonnenten verwendet werden.

Sie können mehrere Authentifizierungs- und Abrechnungsmethoden konfigurieren – die und die authentication-order accounting order Anweisungen geben die Reihenfolge an, in der die Zugriffsverwaltungsfunktion für Anwender die Methoden verwendet. Beispielsweise gibt ein Authentifizierungseintrag von an radius password , dass die RADIUS-Authentifizierung zuerst durchgeführt wird. Wenn ein Zeitausfall auftritt (z. B. wenn der RADIUS-Server nicht erreichbar ist), wird ein lokaler Authentifizierungsversuch (password) versucht. Wenn jedoch eine Methode den Authentifizierungsversuch ablehnt, wird keine nachfolgende Methode versucht. Wenn password als erste Methode konfiguriert wird, wird die Authentifizierung immer entweder akzeptiert oder abgelehnt; in beiden Fällen wird keine andere Methode versucht.

Sie können die folgenden Authentifizierungsmethoden mit der authentication-order Anweisung angeben:

  • radius– RADIUS-basierte Authentifizierung mit einem externen RADIUS-Server.

  • password– Lokale Authentifizierung mit lokal konfigurierten und gespeicherten Benutzernamen und Passwörtern.

    Anwenderzugriffsmanagement unterstützt die password Option erst ab Junos OS Version 18.2R1. Ab Junos OS Version 18.2R1 können Sie die Option verwenden, um lokale Authentifizierung für einzelne Abonnenten bereitzustellen, in der password Regel, wenn Sie keine externen Authentifizierungs- und Autorisierungsserver haben oder wenn Sie die lokale Authentifizierung als Backup zur externen Authentifizierung verwenden möchten. In diesem Fall konfigurieren Sie das tatsächliche Abonnentenkennwort mit der password Option der subscriber username Anweisung im Zugriffsprofil. In früheren Versionen müssen Sie immer die radius Authentifizierungsmethode angeben.

Sie können die folgenden Buchhaltungsmethoden angeben:

  • radius— RADIUS-basiertes Accounting mit einem externen RADIUS-Server.

So konfigurieren Sie die Authentifizierungs- und Abrechnungsmethoden für die Benutzerzugriffsverwaltung:

  1. Geben Sie die Authentifizierungsmethoden und die Reihenfolge ihrer Verwendung an.
  2. Geben Sie die Buchhaltungsmethode an.

Angeben von RADIUS-Authentifizierungs- und Buchhaltungsservern für den Abonnentenzugriff

Sie können einen oder mehrere RADIUS-Authentifizierungs- oder Buchhaltungsserver angeben, die für die Benutzerzugriffsverwaltung verwendet werden sollen.

So konfigurieren Sie die RADIUS-Authentifizierung und buchhaltungsunterstützung:

  1. Geben Sie an, dass Sie die RADIUS-Unterstützung konfigurieren möchten.
  2. Geben Sie die IP-Adresse des RADIUS-Servers an, der für die Authentifizierung verwendet wird.
  3. Geben Sie die IP-Adresse des RADIUS-Servers an, der für die Buchhaltung verwendet wird.

So konfigurieren Sie mehrere RADIUS-Authentifizierungs- oder Buchhaltungsserver:

  • Geben Sie die IP-Adressen aller RADIUS-Server an, die für Authentifizierung oder Buchhaltung verwendet werden.

Konfigurieren der lokalen Authentifizierung und Autorisierung für Abonnenten

Ab Junos OS Version 18.2R1 können Sie lokale Authentifizierung und begrenzte lokale Autorisierung für Anwender konfigurieren. Die lokale Authentifizierung unterstützt alle Abonnententypen, die derzeit von der Anwenderverwaltung und den Services auf den Routern der MX-Serie unterstützt werden. Lokale Authentifizierung und Autorisierung ist unter den folgenden Umständen nützlich:

  • Wenn Sie keine externen Authentifizierungs- und Autorisierungsserver verwenden möchten.

  • Wenn Die lokale Authentifizierung und Autorisierung eine Backup-Methode bereitstellen soll, falls die RADIUS-Authentifizierung fehlschlägt.

  • Wenn Sie ein Netzwerk von Routern der E-Serie mit JunosE-Software zu Routern der MX-Serie migrieren, auf denen Junos OS ausgeführt wird.

Aktivieren Sie die lokale Authentifizierung und Autorisierung für Abonnenten, indem Sie die password Option konfigurieren, die als authentication-order Methode für das Zugriffsprofil konfiguriert werden soll. Konfigurieren Sie dann ein Kennwort für jeden Abonnenten, den Sie lokal authentifizieren möchten. Wenn sich ein Anwender anmeldet, der dem Zugriffsprofil zugeordnet ist, wird der Anmeldename mit dem konfigurierten Benutzernamen verglichen. Wenn dies übereinstimmt, wird das Anmeldekennwort mit dem konfigurierten Kennwort verglichen. Fehler bei der lokalen Authentifizierung sind das Ergebnis nicht übereinstimmender Nachweise. das heißt, entweder stimmen Benutzername oder Kennwort des Anwenders nicht überein.

Die lokale Authentifizierung kann die Form eines der folgenden Annehmen annehmen:

  • Benutzerkennwortauthentifizierung: Das konfigurierte Kennwort wird verwendet, um das Anmeldekennwort des Abonnenten zu überprüfen.

  • Challenge-Handshake-Authentifizierung (CHAP): Das konfigurierte Kennwort dient als Challenge-Geheimnis, um das Herausforderungskennwort und die Antwortberechtigungen des Teilnehmers zu überprüfen.

Sie können optional auch mehrere Attribute konfigurieren, z. B. Adresspool, logisches System oder Routing-Instanz, um lokal für den Abonnenten autorisiert zu werden, wenn die Authentifizierung erfolgreich ist. Wenn Sie keinen Adress- oder Adresspool für die lokale Autorisierung konfigurieren, basiert die Adresszuweisung auf der Netzwerkzuordnung oder dem ersten Adresspool, der der Routing-Instanz zugewiesen wurde.

Hinweis:

Lokale Authentifizierung und Autorisierung unterstützen gehäuseweite maximal 100 Anwender. Wenn Abonnenten in Zugriffsprofilen konfiguriert sind, wo authentication-order password nicht konfiguriert ist, wird die lokale Authentifizierung nicht durchgeführt, aber diese Abonnenten zählen mit dem Systemlimit von 100 Abonnenten für die lokale Authentifizierung.

So konfigurieren Sie die lokale Authentifizierung und Autorisierung:

  1. Aktivieren Sie die lokale Authentifizierung.

    Wenn Sie nur lokale Authentifizierung verwenden möchten, konfigurieren Sie die Konfiguration password als einzige Authentifizierungsmethode. Wenn Die lokale Authentifizierung die RADIUS-Authentifizierung für den Fall eines Zeitausfalls sichern soll, müssen Sie die Konfiguration als erste Methode und password als zweite Methode wie folgt konfigurierenradius:

    Wenn Sie als erste Methode konfigurieren password , wird die Authentifizierung immer entweder akzeptiert oder abgelehnt. In beiden Fällen wird niemals eine zweite Methode versucht.

  2. Konfigurieren Sie das lokale Kennwort für den Abonnenten.
  3. (Optional) Konfigurieren Sie eine IPv4-Adresse für den Abonnenten.
  4. (Optional) Konfigurieren Sie einen Adresspool, um dem Abonnenten eine IPv4-Adresse zuzuweisen.
  5. (Optional) Konfigurieren Sie einen Adresspool, um ein Router-Ankündigungs-Präfix oder eine DHCPv6-IA_NA/128-Adresse für den Abonnenten zuzuweisen.
  6. (Optional) Konfigurieren Sie einen Adresspool, um ein delegiertes IPv6-Präfix lokal zuzuweisen.
  7. (Optional) Konfigurieren Sie ein logisches System und falls gewünscht eine Dem Anwender zugewiesene Routing-Instanz.
  8. (Optional) Konfigurieren Sie eine Routing-Instanz für den Anwender.

Sie können die folgenden show Befehle verwenden, um Informationen zur lokalen Authentifizierung anzuzeigen:

  • show network-access aaa statistics authentication detail– Zeigt Fehlerstatistiken für die lokale Authentifizierung an.

  • show network-access requests statistics— Zeigt sowohl Statistiken zur lokalen Authentifizierung als auch zur erneuten Authentifizierung an, wie z. B. eingehende Anfragen und die Anzahl der Erfolgs- und Fehlerantworten.

  • show network-access aaa statistics re-authentication— Zeigt Statistiken zur erneuten Authentifizierung an, aber sie werden sowohl aus der lokalen Authentifizierung als auch aus RADIUS aggregiert.

Tabelle "Versionshistorie"
Release
Beschreibung
18.2R1
Ab Junos OS Version 18.2R1 können Sie lokale Authentifizierung und begrenzte lokale Autorisierung für Anwender konfigurieren.