AUF DIESER SEITE
Konfigurieren von Authentifizierungs- und Abrechnungsparametern für den Abonnentenzugriff
Festlegen der Authentifizierungs- und Abrechnungsmethoden für den Abonnentenzugriff
Angeben von RADIUS-Authentifizierungs- und Buchhaltungsservern für den Abonnentenzugriff
Konfigurieren der lokalen Authentifizierung und Autorisierung für Abonnenten
RADIUS-Authentifizierung und Buchhaltung – Basiskonfiguration
Konfigurieren von Authentifizierungs- und Abrechnungsparametern für den Abonnentenzugriff
Sie verwenden ein Zugriffsprofil, um die Authentifizierungs- und Buchhaltungsunterstützung für die Zugriffsverwaltungsfunktion für Abonnenten zu konfigurieren. Mit dem Zugriffsprofil können Sie die Art der methoden angeben, die für Authentifizierung und Buchhaltung verwendet werden. Sie können auch konfigurieren, wie die Abonnentenzugriffsverwaltung Buchhaltungsstatistiken erfasst und verwendet.
So konfigurieren Sie Authentifizierung und Abrechnung für den Abonnentenzugriff:
Festlegen der Authentifizierungs- und Abrechnungsmethoden für den Abonnentenzugriff
Sie können die Authentifizierungs- und Abrechnungsmethoden angeben, die für die Zugriffsverwaltung von Abonnenten verwendet werden.
Sie können mehrere Authentifizierungs- und Abrechnungsmethoden konfigurieren – die und die authentication-order
accounting order
Anweisungen geben die Reihenfolge an, in der die Zugriffsverwaltungsfunktion für Anwender die Methoden verwendet. Beispielsweise gibt ein Authentifizierungseintrag von an radius password
, dass die RADIUS-Authentifizierung zuerst durchgeführt wird. Wenn ein Zeitausfall auftritt (z. B. wenn der RADIUS-Server nicht erreichbar ist), wird ein lokaler Authentifizierungsversuch (password
) versucht. Wenn jedoch eine Methode den Authentifizierungsversuch ablehnt, wird keine nachfolgende Methode versucht. Wenn password
als erste Methode konfiguriert wird, wird die Authentifizierung immer entweder akzeptiert oder abgelehnt; in beiden Fällen wird keine andere Methode versucht.
Sie können die folgenden Authentifizierungsmethoden mit der authentication-order
Anweisung angeben:
radius
– RADIUS-basierte Authentifizierung mit einem externen RADIUS-Server.password
– Lokale Authentifizierung mit lokal konfigurierten und gespeicherten Benutzernamen und Passwörtern.Anwenderzugriffsmanagement unterstützt die
password
Option erst ab Junos OS Version 18.2R1. Ab Junos OS Version 18.2R1 können Sie die Option verwenden, um lokale Authentifizierung für einzelne Abonnenten bereitzustellen, in derpassword
Regel, wenn Sie keine externen Authentifizierungs- und Autorisierungsserver haben oder wenn Sie die lokale Authentifizierung als Backup zur externen Authentifizierung verwenden möchten. In diesem Fall konfigurieren Sie das tatsächliche Abonnentenkennwort mit derpassword
Option dersubscriber username
Anweisung im Zugriffsprofil. In früheren Versionen müssen Sie immer dieradius
Authentifizierungsmethode angeben.
Sie können die folgenden Buchhaltungsmethoden angeben:
radius
— RADIUS-basiertes Accounting mit einem externen RADIUS-Server.
So konfigurieren Sie die Authentifizierungs- und Abrechnungsmethoden für die Benutzerzugriffsverwaltung:
Angeben von RADIUS-Authentifizierungs- und Buchhaltungsservern für den Abonnentenzugriff
Sie können einen oder mehrere RADIUS-Authentifizierungs- oder Buchhaltungsserver angeben, die für die Benutzerzugriffsverwaltung verwendet werden sollen.
So konfigurieren Sie die RADIUS-Authentifizierung und buchhaltungsunterstützung:
So konfigurieren Sie mehrere RADIUS-Authentifizierungs- oder Buchhaltungsserver:
Geben Sie die IP-Adressen aller RADIUS-Server an, die für Authentifizierung oder Buchhaltung verwendet werden.
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.251 192.168.1.252 user@host# set accounting-server 192.168.1.250 192.168.1.251
Konfigurieren der lokalen Authentifizierung und Autorisierung für Abonnenten
Ab Junos OS Version 18.2R1 können Sie lokale Authentifizierung und begrenzte lokale Autorisierung für Anwender konfigurieren. Die lokale Authentifizierung unterstützt alle Abonnententypen, die derzeit von der Anwenderverwaltung und den Services auf den Routern der MX-Serie unterstützt werden. Lokale Authentifizierung und Autorisierung ist unter den folgenden Umständen nützlich:
Wenn Sie keine externen Authentifizierungs- und Autorisierungsserver verwenden möchten.
Wenn Die lokale Authentifizierung und Autorisierung eine Backup-Methode bereitstellen soll, falls die RADIUS-Authentifizierung fehlschlägt.
Wenn Sie ein Netzwerk von Routern der E-Serie mit JunosE-Software zu Routern der MX-Serie migrieren, auf denen Junos OS ausgeführt wird.
Aktivieren Sie die lokale Authentifizierung und Autorisierung für Abonnenten, indem Sie die password
Option konfigurieren, die als authentication-order
Methode für das Zugriffsprofil konfiguriert werden soll. Konfigurieren Sie dann ein Kennwort für jeden Abonnenten, den Sie lokal authentifizieren möchten. Wenn sich ein Anwender anmeldet, der dem Zugriffsprofil zugeordnet ist, wird der Anmeldename mit dem konfigurierten Benutzernamen verglichen. Wenn dies übereinstimmt, wird das Anmeldekennwort mit dem konfigurierten Kennwort verglichen. Fehler bei der lokalen Authentifizierung sind das Ergebnis nicht übereinstimmender Nachweise. das heißt, entweder stimmen Benutzername oder Kennwort des Anwenders nicht überein.
Die lokale Authentifizierung kann die Form eines der folgenden Annehmen annehmen:
Benutzerkennwortauthentifizierung: Das konfigurierte Kennwort wird verwendet, um das Anmeldekennwort des Abonnenten zu überprüfen.
Challenge-Handshake-Authentifizierung (CHAP): Das konfigurierte Kennwort dient als Challenge-Geheimnis, um das Herausforderungskennwort und die Antwortberechtigungen des Teilnehmers zu überprüfen.
Sie können optional auch mehrere Attribute konfigurieren, z. B. Adresspool, logisches System oder Routing-Instanz, um lokal für den Abonnenten autorisiert zu werden, wenn die Authentifizierung erfolgreich ist. Wenn Sie keinen Adress- oder Adresspool für die lokale Autorisierung konfigurieren, basiert die Adresszuweisung auf der Netzwerkzuordnung oder dem ersten Adresspool, der der Routing-Instanz zugewiesen wurde.
Lokale Authentifizierung und Autorisierung unterstützen gehäuseweite maximal 100 Anwender. Wenn Abonnenten in Zugriffsprofilen konfiguriert sind, wo authentication-order password
nicht konfiguriert ist, wird die lokale Authentifizierung nicht durchgeführt, aber diese Abonnenten zählen mit dem Systemlimit von 100 Abonnenten für die lokale Authentifizierung.
So konfigurieren Sie die lokale Authentifizierung und Autorisierung:
Sie können die folgenden show
Befehle verwenden, um Informationen zur lokalen Authentifizierung anzuzeigen:
show network-access aaa statistics authentication detail
– Zeigt Fehlerstatistiken für die lokale Authentifizierung an.show network-access requests statistics
— Zeigt sowohl Statistiken zur lokalen Authentifizierung als auch zur erneuten Authentifizierung an, wie z. B. eingehende Anfragen und die Anzahl der Erfolgs- und Fehlerantworten.show network-access aaa statistics re-authentication
— Zeigt Statistiken zur erneuten Authentifizierung an, aber sie werden sowohl aus der lokalen Authentifizierung als auch aus RADIUS aggregiert.