Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Authentifizierungsreihenfolge für RADIUS, TACACS+ und lokales Kennwort

Junos OS Evolved unterstützt verschiedene Authentifizierungsmethoden, einschließlich lokaler Kennwortauthentifizierung, RADIUS und TACACS+, um den Zugriff auf das Netzwerk zu steuern.

Wenn Sie ein Gerät so konfigurieren, dass es mehrere Authentifizierungsmethoden unterstützt, können Sie die Reihenfolge, in der das Gerät die verschiedenen Methoden ausprobiert, priorisieren. In diesem Thema wird erläutert, wie die Authentifizierungsreihenfolge funktioniert und wie sie auf einem Gerät konfiguriert wird.

Übersicht über die Authentifizierungsreihenfolge

Sie (der Netzwerkadministrator) können die authentication-order Anweisung so konfigurieren, dass die Reihenfolge, in der Junos OS Evolved verschiedene Authentifizierungsmethoden ausprobiert, um den Benutzerzugriff auf einen Router oder Switch zu überprüfen, priorisiert wird. Wenn Sie keine Authentifizierungsreihenfolge festlegen, überprüft Junos OS Evolved die Benutzer standardmäßig anhand ihrer konfigurierten lokalen Kennwörter.

Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst, die Server aber nicht auf eine Anfrage antworten, versucht Junos OS Evolved standardmäßig immer als letzten Ausweg die lokale Kennwortauthentifizierung.

Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst, die Server die Anforderung jedoch ablehnen, ist die Verarbeitung der Anforderung komplizierter.

  • Wenn password (lokale Kennwortauthentifizierung) am Ende der Authentifizierungsreihenfolge enthalten ist und die Remoteauthentifizierungsserver die Authentifizierungsanforderung ablehnen, versucht das Gerät, sich mit dem lokalen Kennwort zu authentifizieren.

  • Wenn password (lokale Kennwortauthentifizierung) nicht in der Authentifizierungsreihenfolge enthalten ist und die Remoteauthentifizierungsserver die Authentifizierungsanforderung ablehnen, endet die Anforderung mit der Ablehnung.

    Anmerkung:

    Wenn in Junos OS Evolved Version 20.4R1 und früheren Versionen die Anforderung von den Remote-Authentifizierungsservern abgelehnt wird, versucht das Gerät weiterhin, eine lokale Kennwortauthentifizierung durchzuführen.

Daher muss das Gerät als endgültige Authentifizierungsreihenfolge die Option enthalten password , dass das Gerät versuchen kann, eine lokale Kennwortauthentifizierung zu versuchen, falls die Remoteauthentifizierungsserver die Anforderung ablehnen.

Wenn die Authentifizierungsreihenfolge auf authentication-order passwordfestgelegt ist, verwendet das Gerät nur die lokale Kennwortauthentifizierung.

Verwenden der Remoteauthentifizierung

Sie können Junos OS Evolved als RADIUS- oder TACACS+-Authentifizierungsclient (oder beides) konfigurieren.

Wenn eine in der authentication-order Anweisung enthaltene Authentifizierungsmethode nicht verfügbar ist oder wenn die Authentifizierungsmethode verfügbar ist, der entsprechende Authentifizierungsserver jedoch eine Reject-Antwort zurückgibt, versucht Junos OS Evolved die nächste in der authentication-order Anweisung enthaltene Authentifizierungsmethode.

Die RADIUS- oder TACACS+-Serverauthentifizierung kann aus einem oder mehreren der folgenden Gründe fehlschlagen:

  • Die Authentifizierungsmethode ist konfiguriert, die entsprechenden Authentifizierungsserver sind jedoch nicht konfiguriert. Beispielsweise sind die Authentifizierungsmethoden RADIUS und TACACS+ in der authentication-order Anweisung enthalten, aber die entsprechenden RADIUS- oder TACACS+-Server sind auf den jeweiligen [edit system radius-server] und [edit system tacplus-server] Hierarchieebenen nicht konfiguriert.

  • Der Authentifizierungsserver antwortet nicht vor dem konfigurierten Timeout-Wert für diesen Server oder vor dem Standard-Timeout, wenn kein Timeout konfiguriert ist.

  • Der Authentifizierungsserver ist aufgrund eines Netzwerkproblems nicht erreichbar.

Der Authentifizierungsserver gibt möglicherweise aus einem oder beiden der folgenden Gründe eine Ablehnungsantwort zurück:

  • Das Benutzerprofil eines Benutzers, der auf einen Router oder Switch zugreift, ist auf dem Authentifizierungsserver nicht konfiguriert.

  • Der Benutzer gibt falsche Anmeldeinformationen ein.

So verwenden Sie die lokale Passwortauthentifizierung

Sie können die password Authentifizierungsmethode in der authentication-order Anweisung explizit konfigurieren oder diese Methode als Fallbackmechanismus verwenden, wenn Remoteauthentifizierungsserver ausfallen. Die password Authentifizierungsmethode konsultiert die lokalen Benutzerprofile, die auf Hierarchieebene [edit system login] konfiguriert sind. Benutzer können sich in den folgenden Szenarien mit ihrem lokalen Benutzernamen und Kennwort bei einem Router oder Switch anmelden:

  • Die Kennwortauthentifizierungsmethode (password) wird explizit als eine der Authentifizierungsmethoden in der authentication-order Anweisung konfiguriert.

    In diesem Fall versucht das Gerät, eine lokale Kennwortauthentifizierung durchzuführen, wenn keine vorherige Authentifizierungsmethode die Anmeldeinformationen akzeptiert. Dies gilt unabhängig davon, ob die vorherigen Authentifizierungsmethoden nicht antworten oder aufgrund eines falschen Benutzernamens oder Kennworts eine Ablehnungsantwort zurückgeben.

  • Die Kennwortauthentifizierungsmethode wird nicht explizit als eine der Authentifizierungsmethoden in der authentication-order Anweisung konfiguriert.

    In diesem Fall versucht das Betriebssystem nur, eine lokale Kennwortauthentifizierung durchzuführen, wenn alle konfigurierten Authentifizierungsmethoden nicht reagieren. Das Betriebssystem verwendet keine lokale Kennwortauthentifizierung, wenn eine konfigurierte Authentifizierungsmethode aufgrund eines falschen Benutzernamens oder Kennworts eine Ablehnungsantwort zurückgibt.

    Anmerkung:

    In Junos OS Evolved Version 20.4R1 und früheren Versionen versucht Junos OS Evolved weiterhin eine lokale Kennwortauthentifizierung, unabhängig davon, ob die anderen Authentifizierungsmethoden eine Ablehnungsantwort zurückgeben oder nicht antworten.

Reihenfolge der Authentifizierungsversuche

Tabelle 1 beschreibt, wie die authentication-order Anweisung auf Hierarchieebene [edit system] das Verfahren bestimmt, das Junos OS verwendet, um Benutzer für den Zugriff auf ein Gerät zu authentifizieren.

Tabelle 1: Reihenfolge der Authentifizierungsversuche

Syntax

Reihenfolge der Authentifizierungsversuche

authentication-order radius;

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn ein RADIUS-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

    Anmerkung:

    Wenn in Junos OS Evolved Version 20.4R1 und früheren Versionen ein RADIUS-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

  4. Wenn keine RADIUS-Server verfügbar sind, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order [ radius password ];

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die RADIUS-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit der lokalen Kennwortauthentifizierung, da diese explizit in der Authentifizierungsreihenfolge konfiguriert ist.

authentication-order [ radius tacplus ];

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die RADIUS-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit konfigurierten TACACS+-Servern.

  4. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  5. Wenn ein TACACS+-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

    Anmerkung:

    Wenn in Junos OS Evolved Version 20.4R1 und früheren Versionen ein TACACS+-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order [ radius tacplus password ];

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die RADIUS-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit konfigurierten TACACS+-Servern.

  4. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  5. Wenn die TACACS+-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit der lokalen Kennwortauthentifizierung, da diese explizit in der Authentifizierungsreihenfolge konfiguriert ist.

authentication-order tacplus;

  1. Probieren Sie konfigurierte TACACS+-Authentifizierungsserver aus.

  2. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  3. Wenn ein TACACS+-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

    Anmerkung:

    Wenn in Junos OS Evolved Version 20.4R1 und früheren Versionen ein TACACS+-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

  4. Wenn keine TACACS+-Server verfügbar sind, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order [ tacplus password ];

  1. Probieren Sie konfigurierte TACACS+-Authentifizierungsserver aus.

  2. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  3. Wenn die TACACS+-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit der lokalen Kennwortauthentifizierung, da diese explizit in der Authentifizierungsreihenfolge konfiguriert ist.

authentication-order [ tacplus radius ];

  1. Probieren Sie konfigurierte TACACS+-Authentifizierungsserver aus.

  2. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  3. Wenn die TACACS+-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit konfigurierten RADIUS-Servern.

  4. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  5. Wenn ein RADIUS-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

    Anmerkung:

    Wenn in Junos OS Evolved Version 20.4R1 und früheren Versionen ein RADIUS-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

  6. Wenn keine TACACS+- oder RADIUS-Server verfügbar sind, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order password;

  1. Versuchen Sie, den Benutzer mit dem auf Hierarchieebene [edit system login] konfigurierten Kennwort zu authentifizieren.

  2. Wenn die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die Authentifizierung abgelehnt wird, verweigern Sie den Zugriff.
Anmerkung:

Wenn öffentliche SSH-Schlüssel konfiguriert sind, versucht die SSH-Benutzerauthentifizierung zunächst, eine Authentifizierung mit öffentlichem Schlüssel durchzuführen, bevor die in der authentication-order Anweisung konfigurierten Authentifizierungsmethoden verwendet werden. Wenn Sie möchten, dass SSH-Anmeldungen die in der authentication-order Anweisung konfigurierten Authentifizierungsmethoden verwenden, ohne zuerst zu versuchen, eine Authentifizierung mit öffentlichem Schlüssel durchzuführen, konfigurieren Sie keine öffentlichen SSH-Schlüssel.

Konfigurieren der Authentifizierungsreihenfolge für RADIUS, TACACS+ und lokale Kennwortauthentifizierung

Mithilfe der authentication-order Anweisung können Sie die Reihenfolge priorisieren, in der Junos OS Evolved die verschiedenen Authentifizierungsmethoden bei der Überprüfung des Benutzerzugriffs auf einen Router oder Switch ausprobiert. Wenn Sie keine Authentifizierungsreihenfolge festlegen, werden Benutzer standardmäßig anhand ihrer lokal konfigurierten Kennwörter überprüft.

Wenn Sie ein Kennwort mit Nur-Text konfigurieren und sich auf Junos OS Evolved verlassen, um es zu verschlüsseln, senden Sie das Kennwort weiterhin im Nur-Text-Format über das Internet. Die Verwendung vorverschlüsselter Passwörter ist sicherer, da der Klartext des Passworts nie über das Internet gesendet werden muss. Außerdem kann bei Kennwörtern jeweils nur ein Benutzer einem Kennwort zugewiesen werden.

Auf der anderen Seite verschlüsseln RADIUS und TACACS+ Passwörter. Mit diesen Authentifizierungsmethoden können Sie eine Reihe von Benutzern gleichzeitig zuweisen, anstatt Benutzer einzeln zuzuweisen. Aber hier ist, wie sich diese Authentifizierungssysteme unterscheiden:

  • RADIUS verwendet UDP; TACACS+ verwendet TCP.

  • RADIUS verschlüsselt nur das Kennwort während der Übertragung, während TACACS+ die gesamte Sitzung verschlüsselt.

  • RADIUS kombiniert Authentifizierung (Gerät) und Autorisierung (Benutzer), während TACACS+ Authentifizierung, Autorisierung und Verantwortlichkeit trennt.

Kurz gesagt, TACACS+ ist sicherer als RADIUS. RADIUS bietet jedoch eine bessere Leistung und ist interoperabler. RADIUS wird weitgehend unterstützt, während TACACS+ ein proprietäres Produkt von Cisco ist und außerhalb von Cisco nicht weit verbreitet ist.

Sie können die Authentifizierungsreihenfolge basierend auf Ihrem System, seinen Einschränkungen sowie Ihrer IT-Richtlinie und Ihren betrieblichen Einstellungen konfigurieren.

Um die Authentifizierungsreihenfolge zu konfigurieren, fügen Sie die authentication-order Anweisung auf Hierarchieebene [edit system] ein.

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.

Im Folgenden sind die möglichen Optionen für die Eingabe von Authentifizierungsreihenfolgen aufgeführt:

  • radius– Verifizieren Sie den Benutzer mithilfe von RADIUS-Authentifizierungsservern.

  • tacplus– Verifizieren Sie den Benutzer mithilfe von TACACS+-Authentifizierungsservern.

  • password– Verifizieren Sie den Benutzer mit dem Benutzernamen und dem Kennwort, die lokal in der Authentifizierungsanweisung auf Hierarchieebene [edit system login user] konfiguriert sind.

Die CHAP-Authentifizierungssequenz (Challenge Handshake Authentication Protocol) darf nicht länger als 30 Sekunden dauern. Wenn die Authentifizierung eines Clients länger als 30 Sekunden dauert, wird die Authentifizierung abgebrochen und eine neue Sequenz eingeleitet.

Angenommen, Sie konfigurieren drei RADIUS-Server so, dass der Router oder Switch dreimal versucht, jeden Server zu kontaktieren. Nehmen Sie weiter an, dass bei jedem Wiederholungsversuch eine Zeitüberschreitung des Servers nach 3 Sekunden auftritt. In diesem Szenario beträgt die maximale Zeit, die der RADIUS-Authentifizierungsmethode zur Verfügung steht, bevor CHAP sie als Fehler betrachtet, 27 Sekunden. Wenn Sie dieser Konfiguration weitere RADIUS-Server hinzufügen, werden diese möglicherweise nicht kontaktiert, da der Authentifizierungsprozess möglicherweise abgebrochen wird, bevor diese Server ausprobiert werden.

Junos OS Evolved erzwingt eine Begrenzung für die Anzahl der ständigen Authentifizierungsserveranforderungen, die die CHAP-Authentifizierung gleichzeitig haben kann. Daher kann eine Authentifizierungsservermethode (z. B. RADIUS) einen Client möglicherweise nicht authentifizieren, wenn dieser Grenzwert überschritten wird. Wenn die Authentifizierung fehlschlägt, wird die Authentifizierungssequenz vom Router oder Switch erneut initiiert, bis die Authentifizierung erfolgreich ist und die Verbindung hergestellt ist. Wenn die RADIUS-Server jedoch nicht verfügbar sind und zusätzliche Authentifizierungsmethoden wie tacplus oder password ebenfalls konfiguriert sind, wird die nächste Authentifizierungsmethode versucht.

Das folgende Beispiel zeigt, wie Sie konfigurieren radius und password authentifizieren:

Das folgende Beispiel zeigt, wie die tacplus Anweisung nach der radius Anweisung eingefügt wird:

Das folgende Beispiel zeigt, wie die radius Anweisung aus der Authentifizierungsreihenfolge gelöscht wird:

Beispiel: Authentifizierungsreihenfolge konfigurieren

In diesem Beispiel wird gezeigt, wie die Authentifizierungsreihenfolge für die Benutzeranmeldung konfiguriert wird.

Anforderungen

Bevor Sie beginnen, führen Sie die Erstkonfiguration des Geräts durch. Weitere Informationen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät.

Überblick

Sie können die Reihenfolge der Authentifizierungsmethode konfigurieren, die ein Gerät verwendet, um den Benutzerzugriff auf das Gerät zu überprüfen. Bei jedem Anmeldeversuch probiert das Gerät die Authentifizierungsmethoden in der konfigurierten Reihenfolge aus, bis das Kennwort übereinstimmt oder alle Authentifizierungsmethoden ausprobiert wurden. Wenn Sie die Remoteauthentifizierung nicht konfigurieren, werden Benutzer anhand ihrer konfigurierten lokalen Kennwörter überprüft.

In diesem Beispiel wird das Gerät so konfiguriert, dass die Benutzerauthentifizierung zuerst mit RADIUS-Authentifizierungsdiensten, dann mit TACACS+-Authentifizierungsdiensten und schließlich mit lokaler Kennwortauthentifizierung versucht wird.

Wenn Sie die lokale Kennwortauthentifizierung verwenden, müssen Sie für jeden Benutzer, der auf das System zugreifen möchte, ein lokales Benutzerkonto erstellen. Wenn Sie jedoch Remoteauthentifizierungsserver verwenden, können Sie Vorlagenkonten (zu Autorisierungszwecken) erstellen, die von einer Gruppe von Benutzern gemeinsam genutzt werden. Wenn ein Benutzer einem Vorlagenkonto zugewiesen wird, ist der Benutzername der Befehlszeilenschnittstelle (CLI) der Anmeldename. Der Benutzer erbt jedoch die Berechtigungen, den Dateibesitz und die effektive Benutzer-ID vom Vorlagenkonto.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Authentifizierungsreihenfolge:

  1. Löschen Sie alle vorhandenen authentication-order Anweisungen.

  2. Fügen Sie der Authentifizierungsreihenfolge die RADIUS-Authentifizierung hinzu.

  3. Fügen Sie der Authentifizierungsreihenfolge die TACACS+-Authentifizierung hinzu.

  4. Fügen Sie der Authentifizierungsreihenfolge die lokale Kennwortauthentifizierung hinzu.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system authentication-order Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.

Anmerkung:

Um die RADIUS- oder TACACS+-Authentifizierung vollständig einzurichten, müssen Sie mindestens einen RADIUS- oder TACACS+-Server konfigurieren und Benutzerkonten oder Benutzervorlagenkonten erstellen.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Konfiguration der Authentifizierungsreihenfolge

Zweck

Stellen Sie sicher, dass das Gerät die Authentifizierungsmethoden in der konfigurierten Reihenfolge verwendet.

Aktion

Erstellen Sie einen Testbenutzer, der für jede Authentifizierungsmethode ein anderes Kennwort hat. Melden Sie sich mit den verschiedenen Passwörtern am Gerät an. Stellen Sie sicher, dass das Gerät nachfolgende Authentifizierungsmethoden abfragt, wenn die vorherigen Methoden das Kennwort ablehnen oder nicht antworten.

Alternativ können Sie in einer Testumgebung die Konfiguration des Authentifizierungsservers oder die Konfiguration des lokalen Benutzerkontos (oder beides) deaktivieren, um die einzelnen Authentifizierungsmethoden zu testen. Um beispielsweise den TACACS+-Server zu testen, können Sie die RADIUS-Serverkonfiguration und das lokale Konto des Benutzers deaktivieren. Wenn Sie jedoch das lokale Konto des Benutzers deaktivieren, müssen Sie sicherstellen, dass der Benutzer weiterhin einem lokalen Benutzervorlagenkonto zugeordnet ist, z. B. der remote Benutzervorlage.

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
20.4R1
Ab Junos OS Evolved Version 20.4R2 und 21.1R1 wird das Verhalten der Kennwortauthentifizierung aktualisiert, um dem Verhalten der Kennwortauthentifizierung von Junos OS zu entsprechen: Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst, die Server aber nicht auf eine Anfrage antworten, versucht Junos OS Evolved standardmäßig immer als letzten Ausweg die lokale Kennwortauthentifizierung.