Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Basiskonfiguration für RADIUS-Authentifizierung und -Abrechnung

Authentifizierungs- und Abrechnungsparameter für den Anwenderzugriff konfigurieren

Sie verwenden ein Zugriffsprofil, um die Unterstützung für Authentifizierung und Kontoführung für die Zugriffsverwaltungsfunktion für Anwender zu konfigurieren. Mit dem Zugriffsprofil können Sie den Typ der Methoden angeben, die für die Authentifizierung und Abrechnung verwendet werden. Sie können auch konfigurieren, wie die Zugriffsverwaltung für Anwender Buchhaltungsstatistiken sammelt und verwendet.

So konfigurieren Sie die Authentifizierung und Abrechnung für den Anwenderzugriff:

  1. Geben Sie die zu verwendenden Authentifizierungs- und Kontoführungsmethoden an.

    Siehe Authentifizierungs- und Kontoführungsmethoden für den Anwenderzugriff angeben.

  2. Geben Sie an, wie Buchhaltungsstatistiken erfasst werden.

    Siehe Konfigurieren der Sitzungsabrechnung pro Abonnent.

Authentifizierungs- und Abrechnungsmethoden für den Anwenderzugriff festlegen

Sie können die Authentifizierungs- und Abrechnungsmethoden angeben, die von der Zugriffsverwaltung für Anwender verwendet werden.

Sie können mehrere Authentifizierungs- und Abrechnungsmethoden konfigurieren – die authentication-order accounting order und-Anweisungen geben die Reihenfolge an, in der die Zugriffsverwaltungsfunktion für den Anwender die Methoden verwendet. Ein Authentifizierung Eintrag von radius password gibt z. B. an, dass RADIUS Authentifizierung zuerst ausgeführt wird. Wenn eine Zeitüberschreitung auftritt (z. B. wenn der RADIUS-Server nicht erreichbar ist), wird versucht, lokal Authentifizierung (password) zu verwenden. Wenn eine Methode jedoch den Authentifizierungsversuch ablehnt, wird keine nachfolgende Methode versucht. Wenn password als erste Methode konfiguriert ist, wird die Authentifizierung immer entweder akzeptiert oder abgelehnt; in beiden Fällen wird keine andere Methode versucht.

Sie können die folgenden Authentifizierungsmethoden mit der authentication-order Anweisung angeben:

  • radius– RADIUS-basierte Authentifizierung mit einem externen RADIUS-Server.

  • password– Lokale Authentifizierung mit lokal konfigurierten und gespeicherten Benutzernamen und Kennwörtern.

    Die Anwenderzugriffsverwaltung unterstützt diese password Option erst ab Junos OS Version 18.2R1. Ab Junos OS Version 18.2R1 können Sie die Option verwenden, um eine lokale Authentifizierung für einzelne Abonnenten bereitzustellen, in der password Regel, wenn Sie keine externen Authentifizierungs- und Autorisierungsserver haben oder wenn Sie die lokale Authentifizierung als Backup für die externe Authentifizierung verwenden möchten. In diesem Fall konfigurieren Sie das tatsächliche Kennwort des Anwenders mit der password Option der subscriber username Anweisung im Zugriffsprofil. In früheren Versionen müssen Sie immer die radius Authentifizierungsmethode angeben.

Sie können die folgenden Abrechnungsmethoden angeben:

  • radius– RADIUS-basierte Buchhaltung mit einem externen RADIUS-Server.

So konfigurieren Sie die Authentifizierungs- und Abrechnungsmethoden für die Verwaltung des Anwender-Zugriffs:

  1. Geben Sie die Authentifizierungsmethoden und die Reihenfolge an, in der sie verwendet werden.
  2. Geben Sie die Abrechnungsmethode an.

Festlegen von RADIUS-Authentifizierungs- und Abrechnungsservern für den Anwenderzugriff

Sie können einen oder mehrere RADIUS-Authentifizierungs- oder Abrechnungsserver angeben, die für die Verwaltung des Anwenderzugriffs verwendet werden sollen.

So konfigurieren Sie die RADIUS-Authentifizierung und die Unterstützung für die Kontoführung:

  1. Geben Sie an, dass Sie die RADIUS-Unterstützung konfigurieren möchten.
  2. Geben Sie die IP-Adresse des RADIUS-Servers an, der für die Authentifizierung verwendet wird.
  3. Geben Sie die IP-Adresse des RADIUS-Servers an, der für die Abrechnung verwendet wird.

So konfigurieren Sie mehrere RADIUS-Authentifizierungs- oder Accounting-Server:

  • Geben Sie die IP-Adressen aller RADIUS-Server an, die für die Authentifizierung oder Abrechnung verwendet werden.

Konfiguration der lokalen Authentifizierung und Autorisierung für Abonnenten

Ab Junos OS Version 18.2R1 können Sie die lokale Authentifizierung und die eingeschränkte lokale Autorisierung für Abonnenten konfigurieren. Die lokale Authentifizierung unterstützt alle Anwendertypen, die derzeit von der Anwenderverwaltung und den Services auf Routern der MX-Serie unterstützt werden. Die lokale Authentifizierung und Autorisierung ist unter folgenden Umständen nützlich:

  • Wenn Sie keine externen Authentifizierungs- und Autorisierungsserver verwenden möchten.

  • Wenn Sie möchten, dass die lokale Authentifizierung und Autorisierung eine Sicherungsmethode bereitstellt, falls die RADIUS-Authentifizierung fehlschlägt.

  • Wenn Sie ein Netzwerk von Routern der E Series mit JunosE-Software auf Router der MX-Serie mit Junos OS migrieren.

Aktivieren Sie die lokale Authentifizierung und Autorisierung für Abonnenten, indem Sie die Option konfigurieren, die password als authentication-order Methode für das Zugriffsprofil konfiguriert werden soll. Konfigurieren Sie dann ein Kennwort für jeden Anwender, den Sie lokal authentifizieren möchten. Wenn sich ein Anwender, der dem Zugriffsprofil zugeordnet ist, anmeldet, wird der Anmeldebenutzername mit dem konfigurierten Benutzernamen verglichen. Wenn das übereinstimmt, wird das Anmeldekennwort mit dem konfigurierten Kennwort verglichen. Fehler bei der lokalen Authentifizierung resultieren aus nicht übereinstimmenden Nachweisen. Das heißt, entweder der Benutzername oder das Kennwort des Anwenders stimmen nicht überein.

Die lokale Authentifizierung kann wie folgt erfolgen:

  • Authentifizierung des Benutzerkennworts: Das konfigurierte Kennwort wird verwendet, um das Anmeldekennwort des Anwenders zu überprüfen.

  • Challenge Handshake Authentifizierung (CHAP): Das konfigurierte Kennwort fungiert als Challenge-Geheimnis, um das Challenge-Passwort und den Challenge-Response-Nachweis des Anwenders zu überprüfen.

Optional können Sie auch mehrere Attribute konfigurieren, wie z. B. Adresspool, logisches System oder Routing-Instanz, die bei erfolgreicher Authentifizierung lokal für den Anwender autorisiert werden. Wenn Sie keine Adresse oder keinen Adresspool für die lokale Autorisierung konfigurieren, basiert die Adresszuweisung auf dem Netzwerkabgleich oder dem ersten Adresspool, der der Routing-Instanz zugewiesen ist.

Hinweis:

Lokale Authentifizierung und Autorisierung unterstützen gehäuseweite maximal 100 Abonnenten. Wenn Abonnenten in Zugriffsprofilen konfiguriert sind, in denen authentication-order password nicht konfiguriert ist, findet keine lokale Authentifizierung statt, aber diese Abonnenten werden auf das Systemlimit von 100 Abonnenten für die lokale Authentifizierung angerechnet.

So konfigurieren Sie die lokale Authentifizierung und Autorisierung:

  1. Aktivieren Sie die lokale Authentifizierung.

    Wenn nur die lokale Authentifizierung verwendet werden soll, konfigurieren password Sie diese als einzige Authentifizierungsmethode. Wenn Sie möchten, dass die lokale Authentifizierung die RADIUS-Authentifizierung sichert, falls die Methode ein Timeout auftritt, müssen Sie als erste Methode und password als zweite Methode konfigurierenradius, wie folgt:

    Wenn Sie als erste Methode konfigurieren password , wird die Authentifizierung immer entweder akzeptiert oder abgelehnt. In beiden Fällen wird nie eine zweite Methode versucht.

  2. Konfigurieren Sie das lokale Kennwort für den Anwender.
  3. (Optional) Konfigurieren Sie eine IPv4-Adresse für den Anwender.
  4. (Optional) Konfigurieren Sie einen Adresspool, um dem Anwender eine IPv4-Adresse zuzuweisen.
  5. (Optional) Konfigurieren Sie einen Adresspool, um dem Anwender ein IPv6-Präfix für Router Werbung oder eine DHCPv6-IA_NA/128-Adresse zuzuweisen.
  6. (Optional) Konfigurieren Sie einen Adresspool, um ein delegiertes IPv6-Präfix lokal zuzuweisen.
  7. (Optional) Konfigurieren Sie ein logisches System und, falls gewünscht, eine Routing-Instanz, die dem Anwender zugewiesen ist.
  8. (Optional) Konfigurieren Sie eine Routing-Instanz für den Anwender.

Mit den folgenden show Befehlen können Sie Informationen zur lokalen Authentifizierung anzeigen:

  • show network-access aaa statistics authentication detail– Zeigt Fehlerstatistiken für die lokale Authentifizierung an.

  • show network-access requests statistics– Zeigt sowohl Statistiken zur lokalen Authentifizierung als auch zur lokalen erneuten Authentifizierung an, z. B. empfangene Anforderungen und die Anzahl der erfolgreichen und fehlgeschlagenen Antworten.

  • show network-access aaa statistics re-authentication– Zeigt Statistiken zur erneuten Authentifizierung an, die jedoch sowohl aus der lokalen Authentifizierung als auch aus RADIUS aggregiert werden.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.2R1
Ab Junos OS Version 18.2R1 können Sie die lokale Authentifizierung und die eingeschränkte lokale Autorisierung für Abonnenten konfigurieren.