Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

RADIUS-Authentifizierung

Junos OS Evolved unterstützt RADIUS für die zentrale Authentifizierung von Benutzern auf Netzwerkgeräten. Um die RADIUS-Authentifizierung auf dem Gerät verwenden zu können, müssen Sie (der Netzwerkadministrator) Informationen zu einem oder mehreren RADIUS-Servern im Netzwerk konfigurieren. Sie können auch die RADIUS-Buchhaltung auf dem Gerät konfigurieren, um statistische Daten über die Benutzer zu sammeln, die sich bei einem LAN an- oder abmelden, und die Daten an einen RADIUS-Abrechnungsserver zu senden.

Konfigurieren der RADIUS-Serverauthentifizierung

Die RADIUS-Authentifizierung ist eine Methode zur Authentifizierung von Benutzern, die versuchen, auf ein Netzwerkgerät zuzugreifen. In den folgenden Abschnitten wird beschrieben, warum Sie RADIUS verwenden und wie Sie es konfigurieren.

Was spricht für RADIUS?

Sie (der Netzwerkadministrator) können verschiedene Protokolle für die zentrale Authentifizierung von Benutzern auf Netzwerkgeräten verwenden, einschließlich RADIUS und TACACS+. Wir empfehlen RADIUS, da es sich um einen Standard mehrerer Anbieter IETF handelt und seine Funktionen breiter akzeptiert werden als die von TACACS+ oder anderen proprietären Systemen. Darüber hinaus empfehlen wir die Verwendung eines Einmalkennwortsystems für erhöhte Sicherheit, und alle Anbieter dieser Systeme unterstützen RADIUS.

Sie sollten RADIUS verwenden, wenn Ihre Prioritäten auf Interoperabilität und Leistung liegen:

  • Interoperabilität: RADIUS ist interoperabler als TACACS+, was vor allem auf die proprietäre Natur von TACACS+ zurückzuführen ist. Während TACACS+ mehr Protokolle unterstützt, wird RADIUS universell unterstützt.

  • Leistung: RADIUS schont Ihre Router und Switches erheblich. Aus diesem Grund bevorzugen Netzwerktechniker im Allgemeinen RADIUS gegenüber TACACS+.

Konfigurieren von RADIUS-Serverdetails

Um die RADIUS-Authentifizierung auf dem Gerät zu verwenden, konfigurieren Sie Informationen zu einem oder mehreren RADIUS-Servern im Netzwerk, indem Sie für jeden RADIUS-Server eine radius-server Anweisung auf Hierarchieebene [edit system] einfügen. Das Gerät fragt die RADIUS-Server in der Reihenfolge ab, in der sie konfiguriert sind. Wenn der primäre Server (der zuerst konfigurierte) nicht verfügbar ist, versucht das Gerät, jeden Server in der Liste zu kontaktieren, bis es eine Antwort erhält.

Das Netzwerkgerät kann RADIUS-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, wodurch die Autorisierung bestimmt wird. Standardmäßig weist Junos OS Evolved dem Benutzervorlagenkonto remote(falls konfiguriert) RADIUS-authentifizierte Benutzer zu, wenn:

  • Für den authentifizierten Benutzer ist kein Benutzerkonto auf dem lokalen Gerät konfiguriert.

  • Der RADIUS-Server weist den Benutzer entweder keiner lokalen Benutzervorlage zu, oder die Vorlage, die der Server zuweist, ist nicht auf dem lokalen Gerät konfiguriert.

Der RADIUS-Server kann einen authentifizierten Benutzer einer anderen Benutzervorlage zuweisen, um diesem Benutzer unterschiedliche Administratorberechtigungen zu erteilen. Der Benutzer behält denselben Anmeldenamen in der CLI bei, erbt jedoch die Anmeldeklasse, die Zugriffsrechte und die effektive Benutzer-ID von der zugewiesenen Vorlage. Wenn der RADIUS-authentifizierte Benutzer keinem lokal definierten Benutzerkonto oder einer Benutzervorlage zugeordnet ist und die remote Vorlage nicht konfiguriert ist, schlägt die Authentifizierung fehl.

Hinweis:

Der remote Benutzername ist ein Sonderfall in Junos OS Evolved und muss immer in Kleinbuchstaben geschrieben werden. Sie dient als Vorlage für Benutzer, die von einem Remoteserver authentifiziert werden, aber nicht über ein lokal konfiguriertes Benutzerkonto auf dem Gerät verfügen. Junos OS Evolved wendet die Berechtigungen der remote Vorlage auf authentifizierte Benutzer ohne lokal definiertes Konto an. Alle Benutzer, die der remote Vorlage zugeordnet sind, befinden sich in derselben Anmeldeklasse.

Da Sie Remote-Authentifizierung auf mehreren Geräten konfigurieren, ist es üblich, sie innerhalb einer Konfigurationsgruppe zu konfigurieren. Die hier gezeigten Schritte befinden sich in einer Konfigurationsgruppe namens global. Die Verwendung einer Konfigurationsgruppe ist optional.

So konfigurieren Sie die Authentifizierung durch einen RADIUS-Server:

  1. Konfigurieren Sie die IPv4-Adresse oder die IPv6-Adresse des RADIUS-Authentifizierungsservers.

    Zum Beispiel:

  2. (Optional) Konfigurieren Sie die Paketquelladresse für Anforderungen, die an den RADIUS-Server gesendet werden.

    Zum Beispiel:

    Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Router- oder Switch-Schnittstellen konfiguriert ist. Wenn das Netzwerkgerät über mehrere Schnittstellen verfügt, die den RADIUS-Server erreichen können, weisen Sie eine IP-Adresse zu, die das Gerät für seine gesamte Kommunikation mit dem RADIUS-Server verwenden kann. Dadurch wird eine feste Adresse als Quelladresse für lokal generierte IP-Pakete festgelegt.

  3. Konfigurieren Sie das Kennwort für den gemeinsamen geheimen Schlüssel, das das Netzwerkgerät für die Authentifizierung beim RADIUS-Server verwendet.

    Das konfigurierte Kennwort muss mit dem Kennwort übereinstimmen, das auf dem RADIUS-Server konfiguriert ist. Wenn das Kennwort Leerzeichen enthält, schließen Sie es in Anführungszeichen ein. Das Gerät speichert das Kennwort als verschlüsselten Wert in der Konfigurationsdatenbank.

    Zum Beispiel:

  4. (Optional) Geben Sie den Port an, über den der RADIUS-Server kontaktiert werden soll, falls dieser von der Standardeinstellung abweicht.

    Der Standardport ist 1812 (wie in RFC 2865 angegeben).

    Zum Beispiel:

    Hinweis:

    Sie können die accounting-port Anweisung auch so konfigurieren, dass angegeben wird, an welchen RADIUS-Serverport Buchhaltungspakete gesendet werden sollen. Der Standardwert ist 1813 (wie in RFC 2866 angegeben).
  5. (Optional) Konfigurieren Sie die Häufigkeit, mit der das Gerät versucht, den RADIUS-Server zu kontaktieren, und die Zeit, die das Gerät auf den Empfang einer Antwort vom Server wartet.

    Standardmäßig versucht das Gerät dreimal, den Server zu kontaktieren, und wartet drei Sekunden. Sie können den retry Wert von 1 bis 100 Mal und den timeout Wert von 1 bis 1000 Sekunden konfigurieren.

    So kontaktieren Sie beispielsweise einen RADIUS-Server 2 Mal und warten 10 Sekunden auf eine Antwort:

  6. Geben Sie die Reihenfolge der Authentifizierung an und schließen Sie die radius Option ein.

    Im folgenden Beispiel fragt Junos OS Evolved bei jedem Anmeldeversuch eines Benutzers zuerst den RADIUS-Server zur Authentifizierung ab. Wenn dies fehlschlägt, fragt es den TACACS+-Server ab. Wenn dies fehlschlägt, wird die Authentifizierung mit lokal konfigurierten Benutzerkonten versucht.

  7. Konfigurieren Sie, ob der RADIUS-Server das Message Authenticator-Attribut in Antworten auf Access-Request-Nachrichten enthalten muss.

    • Das Message Authenticator-Attribut bietet zusätzlichen Schutz vor Man-in-the-Middle-Angriffen. Wir empfehlen, dass Sie diese Funktion aktivieren. So aktivieren Sie diese Funktion:

    • Deaktivieren Sie dieses Feature aus Gründen der Abwärtskompatibilität mit RADIUS-Servern, die dieses Attribut nicht unterstützen, wie folgt:

    Hinweis:

    Diese Einstellungen schließen sich gegenseitig aus. Es wird empfohlen, das eine oder das andere explizit festzulegen. Verlassen Sie sich nicht auf die Standardwerte.
  8. Weisen Sie RADIUS-authentifizierten Benutzern, die nicht über ein lokal definiertes Benutzerkonto verfügen, eine Anmeldeklasse zu.

    Sie konfigurieren ein Benutzervorlagenkonto auf die gleiche Weise wie ein lokales Benutzerkonto, mit der Ausnahme, dass Sie kein Kennwort für die lokale Authentifizierung konfigurieren, da der RADIUS-Server den Benutzer authentifiziert.

    • Um die gleichen Berechtigungen für alle Benutzer mit RADIUS-Authentifizierung zu verwenden, konfigurieren Sie die remote Benutzervorlage.

      Zum Beispiel:

    • So verwenden Sie unterschiedliche Anmeldeklassen für verschiedene Benutzer mit RADIUS-Authentifizierung und erteilen ihnen unterschiedliche Berechtigungen:

      1. Erstellen Sie mehrere Benutzervorlagen in der Junos OS Evolved-Konfiguration . Zum Beispiel:

      2. Konfigurieren Sie den RADIUS-Server so, dass der authentifizierte Benutzer der entsprechenden Benutzervorlage zugeordnet wird.

        Legen Sie den Juniper-Local-User-Name Juniper VSA (anbieterspezifisches Attribut) (Anbieter 2636, Typ 1, Zeichenfolge) auf den Namen einer auf dem Gerät konfigurierten Benutzervorlage fest, die im vorherigen Beispiel RO, OP oder SU ist. Der RADIUS-Server schließt das Attribut in die RADIUS Access-Accept-Nachricht ein. Die Authentifizierung schlägt fehl, wenn das Gerät keinem lokalen Benutzerkonto oder einer lokalen Benutzervorlage einen Benutzer zuweisen kann und die remote Benutzervorlage nicht konfiguriert ist.

Konfigurieren von RADIUS über TLS (RADSEC) für die Systemauthentifizierung

RADIUS over TLS (RADSEC) bietet eine sichere, verschlüsselte Kommunikation zwischen dem Junos-Gerät und den RADIUS-Servern für die System-Authentifizierung und -Abrechnung. Das System verwendet OpenSSL-APIs, um SSL/TLS-Sitzungen einzurichten und Zertifikate zu validieren.

Wichtig: Diese Konfiguration gilt für die Authentifizierung auf Systemebene (Administratorzugriff) unter der system Hierarchie. Konfigurieren Sie für die RADSEC-Konfiguration für die Netzwerkzugriffssteuerung RADSEC unter der access Hierarchie.

RADSEC sichert den Datenverkehr zur administrativen Authentifizierung mit TLS-Verschlüsselung auf TCP-Port 2083 (anstelle der UDP-Ports 1812/1813). RADSEC unterstützt zwei Authentifizierungsmodi:

  • Einweg-TLS: Der Client überprüft das Zertifikat des Servers mithilfe vertrauenswürdiger CA-Zertifikate.
  • Gegenseitiges TLS (mTLS): Client und Server authentifizieren sich gegenseitig mithilfe von Zertifikaten.

Bevor Sie beginnen:

Stellen Sie Folgendes sicher:

  • CA-Zertifikate sind für die Servervalidierung verfügbar
  • Client-Zertifikate sind verfügbar (nur für die gegenseitige Authentifizierung erforderlich)

Konfigurieren von CA-Zertifikaten:

Sie können die Datei kopieren und in den Betreff <hash>.0 unter /var/tmp/certs/<trusted-ca-group>/umbenennen. Alternativ können Sie auch einen symbolischen Link mit dem Betreff <hash>.0 unter /var/tmp/certs/<trusted-ca-group> erstellen und diesen mit der eigentlichen Zertifikatsdatei verknüpfen.

  1. Generieren Sie den Hash für den Betreffnamen:
  2. Erstellen Sie eine symbolische Verknüpfung:
Hinweis:

Wenn es mehr als eine CA-Datei mit demselben Hashwert für den Antragstellernamen gibt, sollten ihre Erweiterungen unterschiedlich sein. z. B. "E5D93F80.1" und so weiter. Es wird danach gesucht, wie die Nebenstellennummern entsprechend angeordnet sind.

Beispiel:

Client-Zertifikate konfigurieren (nur gegenseitige Authentifizierung):

Für die gegenseitige Authentifizierung legen Sie das Clientzertifikat und den privaten Schlüssel in /var/tmp/certs/<certificate-id>/.

Der Ordner muss Folgendes enthalten:

  • client.crt - Client-Zertifikatsdatei
  • client.key - Datei mit dem privaten Schlüssel des Clients

Beispiel:

So konfigurieren Sie RADSEC für System Authentifizierung:

  1. Konfigurieren Sie den RADIUS-Authentifizierungsserver mit TLS-Unterstützung.

    Für unidirektionales TLS (reine Server-Authentifizierung):

    Für gegenseitiges TLS (bidirektionale Authentifizierung):

    Beispiel:

  2. (Optional) Konfigurieren Sie den RADIUS-Accounting-Server mit TLS-Unterstützung.

    Für unidirektionales TLS:

    Für gegenseitiges TLS:

    Beispiel:

  3. Konfigurieren Sie die Authentifizierungsreihenfolge.
  4. Konfigurieren Sie die Remotebenutzervorlage.
  5. Überprüfen Sie die Konfiguration.
  6. Bestätigen Sie die Konfiguration.

Das folgende Beispiel zeigt eine vollständige RADSEC-Konfiguration mit gegenseitiger Authentifizierung:

Verifizierung:

Melden Sie sich beim Netzwerkgerät an und überprüfen Sie die erfolgreiche Authentifizierung. Um zu bestätigen, dass RADSEC funktioniert, versuchen Sie, sich mit einem Konto anzumelden, für das kein lokales Kennwort konfiguriert ist.

Konfigurationsparameter:

  • trusted-ca-group– Name der vertrauenswürdigen CA-Gruppe, der dem Ordner mit den CA-Zertifikaten unter /var/tmp/certs/entspricht. OpenSSL verwendet diese CA-Zertifikate, um das Zertifikat des RADIUS-Servers zu validieren.
  • certificate-id– Zertifikats-ID, die dem Ordner entspricht, der das Client-Zertifikat und den privaten Schlüssel unter /var/tmp/certs/enthält. Erforderlich für die gegenseitige Authentifizierung.

Konfigurieren von RADIUS für die Verwendung der Verwaltungsinstanz

Standardmäßig leitet Junos OS Evolved Authentifizierungs-, Autorisierungs- und Abrechnungspakete für RADIUS über die Standard-Routing-Instanz weiter. Sie können RADIUS-Pakete auch über eine Verwaltungsschnittstelle in einer nicht standardmäßigen VRF-Instanz routen.

So leiten Sie RADIUS-Pakete durch die mgmt_junos Verwaltungsinstanz:

  1. Aktivieren Sie die mgmt_junos Verwaltungsinstanz.

  2. Konfigurieren Sie die routing-instance mgmt_junos Anweisung für den RADIUS-Authentifizierungsserver und den RADIUS-Accounting-Server, falls konfiguriert.

Beispiel: Konfigurieren eines RADIUS-Servers für die Systemauthentifizierung

In diesem Beispiel wird die System Authentifizierung über einen RADIUS Server konfiguriert.

Anforderungen

Bevor Sie beginnen:

  • Führen Sie die Erstkonfiguration des Geräts durch. Weitere Informationen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät.

  • Richten Sie mindestens einen RADIUS-Server in Ihrem Netzwerk ein.

Überblick

In diesem Beispiel fügen Sie einen neuen RADIUS-Server mit der IP-Adresse 172.16.98.1 hinzu. Sie geben das Kennwort für den gemeinsamen geheimen Schlüssel des RADIUS-Servers als Radiussecret1 an. Das Gerät speichert den geheimen Schlüssel in der Konfigurationsdatenbank als verschlüsselten Wert. Schließlich geben Sie die Quelladresse an, die das Gerät in RADIUS-Serveranforderungen verwendet. In den meisten Fällen können Sie die Loopback-Adresse des Geräts verwenden, in diesem Beispiel 10.0.0.1.

Sie können die Unterstützung für mehrere Benutzer-Authentifizierung-Methoden konfigurieren, z. B. lokale Kennwort-Authentifizierung, RADIUS und TACACS+, auf dem Netzwerkgerät. Wenn Sie mehrere Authentifizierung-Methoden konfigurieren, können Sie die Reihenfolge priorisieren, in der das Gerät die verschiedenen Methoden ausprobiert. In diesem Beispiel konfigurieren Sie das Gerät so, dass es zuerst die RADIUS-Authentifizierung verwendet und dann, wenn dies fehlschlägt, die lokale Kennwort-Authentifizierung versucht.

Ein RADIUS-authentifizierter Benutzer muss einem lokalen Benutzerkonto oder einem lokalen Benutzervorlagenkonto auf dem Netzwerkgerät zugeordnet werden, wodurch die Autorisierung bestimmt wird. Wenn ein RADIUS-authentifizierter Benutzer nicht einem lokalen Benutzerkonto oder einer bestimmten Benutzervorlage zugeordnet ist, wird der Benutzer standardmäßig der remote Benutzervorlage zugewiesen, sofern konfiguriert. In diesem Beispiel wird die remote Benutzervorlage konfiguriert.

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

So konfigurieren Sie einen RADIUS Server für System Authentifizierung:

  1. Fügen Sie einen neuen RADIUS-Server hinzu und legen Sie seine IP-Adresse fest.

  2. Geben Sie den gemeinsamen geheimen Schlüssel (Kennwort) des RADIUS-Servers an.

  3. Geben Sie die Loopback-Adresse des Geräts als Quelladresse an.

  4. Geben Sie die Reihenfolge der Authentifizierung des Geräts an und schließen Sie die radius Option ein.

  5. Konfigurieren Sie die remote Benutzervorlage und ihre Anmeldeklasse.
Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show system Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Die folgende Ausgabe enthält nur die Teile der Konfigurationshierarchie, die für dieses Beispiel relevant sind.

Wechseln Sie commit nach der Konfiguration des Geräts in den Konfigurationsmodus.

Verifizierung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Konfiguration des RADIUS-Servers

Zweck

Stellen Sie sicher, dass der RADIUS-Server Benutzer authentifiziert.

Aktion

Melden Sie sich beim Netzwerkgerät an, und überprüfen Sie, ob die Anmeldung erfolgreich war. Um zu überprüfen, ob das Gerät den RADIUS-Server für die Authentifizierung verwendet, können Sie versuchen, sich mit einem Konto anzumelden, das in der Konfiguration kein lokales Authentifizierungskennwort definiert.

Anbieterspezifische RADIUS-Attribute von Juniper Networks

Junos OS Evolved unterstützt die Konfiguration von Juniper Networks RADIUS Vendor-Specific Attributes (VSAs) auf dem RADIUS-Server. Diese VSAs sind in einem herstellerspezifischen RADIUS-Attribut gekapselt, wobei die Hersteller-ID auf die Juniper Networks-ID-Nummer 2636 festgelegt ist.

Tabelle 1 listet die Juniper Networks VSAs auf, die Sie konfigurieren können.

Einige der Attribute akzeptieren erweiterte reguläre Ausdrücke, wie in POSIX 1003.2 definiert. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Weitere Informationen finden Sie unter:

Tabelle 1: Anbieterspezifische RADIUS-Attribute von Juniper Networks

Bezeichnung

Beschreibung

Typ

Länge

Zeichenfolge

Juniper-Local-Username

Gibt den Namen der Benutzervorlage an, die diesem Benutzer zugewiesen ist, wenn sich der Benutzer bei einem Gerät anmeldet. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

1

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

Juniper-Allow-Befehle

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, zusätzlich zu den Befehlen, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind, Befehle auszuführen. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

2

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

Juniper-Deny-Befehle

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Ausführen von Befehlen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

3

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

Juniper-Allow-Konfiguration

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Konfigurationsanweisungen zusätzlich zu den Anweisungen anzuzeigen und zu ändern, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

4

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

Juniper-Deny-Konfiguration

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Anzeigen oder Ändern von Konfigurationsanweisungen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

5

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

Juniper-Interactive-Command

Gibt den interaktiven Befehl an, den der Benutzer eingegeben hat. Dieses Attribut wird nur in Accounting-Request-Paketen verwendet.

8

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

Juniper-Konfigurationsänderung

Gibt den interaktiven Befehl an, der zu einer Konfigurationsänderung (Datenbankänderung) führt. Dieses Attribut wird nur in Accounting-Request-Paketen verwendet.

9

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

Juniper-Benutzerberechtigungen

Enthält Informationen, die der Server zum Angeben von Benutzerberechtigungen verwendet. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

Hinweis:

Wenn der RADIUS-Server das Juniper-User-Permissions Attribut definiert, um einem Benutzer die Berechtigung oder all Berechtigung maintenance zu erteilen, enthält die Liste der Gruppenmitgliedschaften des Benutzers nicht automatisch die UNIX-Radgruppe. Einige Vorgänge, wie z. B. das Ausführen des su root Befehls von einer lokalen Shell, erfordern Mitgliedschaftsberechtigungen für Radgruppen. Wenn das Netzwerkgerät jedoch ein lokales Benutzerkonto mit den Berechtigungen maintenance oder alldefiniert, wird dem Benutzer automatisch die Mitgliedschaft in der UNIX-Radgruppe gewährt. Daher wird empfohlen, ein Benutzervorlagenkonto mit den erforderlichen Berechtigungen zu erstellen und dem Benutzervorlagenkonto einzelne Benutzerkonten zuzuordnen.

10

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

Die Zeichenfolge ist eine Liste von Berechtigungsflags, die durch ein Leerzeichen getrennt sind. Der genaue Name jeder Flagge muss vollständig angegeben werden.

Siehe .. /Konzept/.. /topic-map/junos-os-access-privileges.html#id-understanding-junos-os-access-privilege-levels.

Juniper-Authentifizierungstyp

Gibt die Authentifizierung Methode (lokale Datenbank oder RADIUS Server) an, die zur Authentifizierung eines Benutzers verwendet wird. Wenn der Benutzer mit einer lokalen Datenbank authentifiziert wird, zeigt der Attributwert "local" an. Wenn der Benutzer mit einem RADIUS- oder LDAP-Server authentifiziert wird, zeigt der Attributwert "remote" an.

11

≥5

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

Juniper-Session-Port

Gibt die Quellportnummer der eingerichteten Sitzung an.

12

Größe der ganzen Zahl

Ganzzahl

Juniper-Allow-Configuration-Regexps
(nur RADIUS)

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Konfigurationsanweisungen zusätzlich zu den Anweisungen anzuzeigen und zu ändern, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

13

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

Juniper-Deny-Configuration-Regexps
(nur RADIUS)

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Anzeigen oder Ändern von Konfigurationsanweisungen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

14

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

Weitere Informationen zu den VSAs finden Sie unter RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Verwenden Sie reguläre Ausdrücke auf einem RADIUS- oder TACACS+-Server, um Befehle zuzulassen oder abzulehnen

Junos OS Evolved kann RADIUS- und TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Zugriffsrechte des Benutzers definiert. Optional können Sie die Zugriffsrechte eines Benutzers auch konfigurieren, indem Sie Juniper Networks RADIUS- und TACACS+-anbieterspezifische Attribute (VSAs) auf dem jeweiligen Authentifizierung Server definieren.

Die Anmeldeklasse eines Benutzers definiert den Satz von Berechtigungen, die bestimmen, zu welchen Befehlen im Betriebsmodus und Konfigurationsmodus ein Benutzer berechtigt ist und welche Bereiche der Konfiguration ein Benutzer anzeigen und ändern kann. Eine Anmeldeklasse kann auch reguläre Ausdrücke definieren, die einem Benutzer die Möglichkeit erlauben oder verweigern, bestimmte Befehle auszuführen oder bestimmte Bereiche der Konfiguration anzuzeigen und zu ändern, zusätzlich zu dem, was die Berechtigungsflags autorisieren. Eine Login-Klasse kann die folgenden Anweisungen enthalten, um die Benutzerberechtigung zu definieren:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Ebenso kann eine RADIUS- oder TACACS+-Serverkonfiguration VSAs von Juniper Networks verwenden, um bestimmte Berechtigungen oder reguläre Ausdrücke zu definieren, die die Zugriffsrechte eines Benutzers bestimmen. Eine Liste der unterstützten RADIUS- und TACACS+-VSAs finden Sie unter:

Sie können Benutzerberechtigungen auf dem RADIUS- oder TACACS+-Server als Liste von durch Leerzeichen getrennten Werten definieren.

  • Ein RADIUS-Server verwendet das folgende Attribut und die folgende Syntax:

    Zum Beispiel:

  • Ein TACACS+-Server verwendet das folgende Attribut und die folgende Syntax:

    Zum Beispiel:

Ein RADIUS- oder TACACS+-Server kann auch VSAs von Juniper Networks definieren, die einen einzigen erweiterten regulären Ausdruck (wie in POSIX 1003.2 definiert) verwenden, um einem Benutzer die Möglichkeit zu erlauben oder zu verweigern, bestimmte Befehle auszuführen oder Bereiche der Konfiguration anzuzeigen und zu ändern. Sie schließen mehrere Befehle oder Konfigurationshierarchien in Klammern ein und trennen sie durch ein Pipe-Symbol. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Wenn Sie Autorisierungsparameter sowohl lokal als auch remote konfigurieren, führt das Gerät die regulären Ausdrücke, die während der TACACS+- oder RADIUS-Autorisierung empfangen werden, mit allen regulären Ausdrücken zusammen, die auf dem lokalen Gerät definiert sind.

  • Ein RADIUS-Server verwendet die folgenden Attribute und die folgende Syntax:

    Zum Beispiel:

  • Ein TACACS+-Server verwendet die folgenden Attribute und Syntax:

    Zum Beispiel:

RADIUS- und TACACS+-Server unterstützen auch die Konfiguration von Attributen, die denselben *-regexps Anweisungen entsprechen, die Sie auf dem lokalen Gerät konfigurieren können. Die *-regexps TACACS+-Attribute und die *-Regexps RADIUS-Attribute verwenden dieselbe Syntax für reguläre Ausdrücke wie die vorherigen Attribute, ermöglichen jedoch die Konfiguration regulärer Ausdrücke mit Variablen.

  • Ein RADIUS-Server verwendet die folgenden Attribute und die folgende Syntax:

  • Ein TACACS+-Server verwendet die folgenden Attribute und Syntax:

    Die TACACS+-Serverkonfiguration kann beispielsweise die folgenden Attribute definieren:

Auf einem RADIUS- oder TACACS+-Server können Sie die Attribute auch mit einer vereinfachten Syntax definieren, bei der Sie jeden einzelnen Ausdruck in einer separaten Zeile angeben.

Geben Sie für einen RADIUS-Server die einzelnen regulären Ausdrücke mit der folgenden Syntax an:

Geben Sie für einen TACACS+-Server die einzelnen regulären Ausdrücke mit der folgenden Syntax an:

Hinweis:

  • In der TACACS+-Serversyntax müssen die numerischen Werte 1 bis n eindeutig, aber nicht sequenziell sein. Beispielsweise ist die folgende Syntax gültig:

  • Der RADIUS- oder TACACS+-Server begrenzt die Anzahl der einzelnen Zeilen für reguläre Ausdrücke.

  • Wenn Sie den show cli authorization Befehl ausgeben, zeigt die Befehlsausgabe den regulären Ausdruck in einer einzelnen Zeile an, auch wenn Sie jeden einzelnen Ausdruck in einer separaten Zeile angeben.

Benutzer können ihre Klasse, Berechtigungen sowie Befehls- und Konfigurationsautorisierung überprüfen, indem sie den show cli authorization Befehl "Betriebsmodus" ausgeben.

Hinweis:

Wenn Sie die Autorisierungsparameter sowohl lokal auf dem Netzwerkgerät als auch remote auf dem RADIUS- oder TACACS+-Server konfigurieren, führt das Gerät die regulären Ausdrücke, die während der TACACS+- oder RADIUS-Autorisierung empfangen wurden, mit allen lokal konfigurierten regulären Ausdrücken zusammen. Wenn der endgültige Ausdruck einen Syntaxfehler enthält, ist das Gesamtergebnis ein ungültiger regulärer Ausdruck.

RADIUS Accounting verstehen

Netzwerkgeräte unterstützen IETF RFC 2866, RADIUS Accounting. Sie können RADIUS-Accounting auf einem Gerät konfigurieren, um statistische Daten über Benutzer zu sammeln, die sich bei einem LAN an- oder abmelden, und die Daten an einen RADIUS-Accounting-Server zu senden. Die statistischen Daten können für die allgemeine Netzwerküberwachung, die Analyse und Verfolgung von Nutzungsmustern oder die Abrechnung mit einem Benutzer auf der Grundlage der Dauer der Sitzung oder der Art der abgerufenen Dienste verwendet werden.

Geben Sie zum Konfigurieren von RADIUS Accounting Folgendes an:

  • Mindestens ein RADIUS-Abrechnungsserver, der die statistischen Daten vom Gerät empfängt

  • Die Art der zu erfassenden Buchhaltungsdaten

Sie können denselben Server sowohl für die RADIUS-Abrechnung als auch für die Authentifizierung oder separate Server verwenden. Sie können eine Liste von RADIUS-Accounting-Servern angeben. Das Gerät fragt die Server in der Reihenfolge ab, in der sie konfiguriert sind. Wenn der primäre Server (der zuerst konfigurierte) nicht verfügbar ist, versucht das Gerät, jeden Server in der Liste zu kontaktieren, bis es eine Antwort erhält.

Der RADIUS-Abrechnungsprozess zwischen dem Gerät und einem RADIUS-Server funktioniert folgendermaßen:

  1. Ein RADIUS-Abrechnungsserver überwacht UDP-Pakete (User Datagram Protocol) an einem bestimmten Port. Der Standardport für die RADIUS-Buchhaltung ist 1813.

  2. Das Gerät leitet ein Accounting-Request-Paket mit einem Ereignisdatensatz an den Accounting-Server weiter. Der Ereignisdatensatz, der diesem Supplicant zugeordnet ist, enthält ein Acct-Status-Type-Attribut , dessen Wert den Beginn des Benutzerdiensts für diesen Supplicant angibt. Wenn die Sitzung des Supplicants beendet ist, enthält die Kontoführungsanforderung einen Acct-Status-Type-Attributwert , der das Ende des Benutzerdiensts angibt. Der RADIUS-Abrechnungsserver zeichnet dies als Stop-Accounting-Datensatz auf, der Sitzungsinformationen und die Länge der Sitzung enthält.

  3. Der RADIUS-Accounting-Server protokolliert diese Ereignisse in einer Datei als Start-Accounting- oder Stop-Accounting-Datensätze. Unter FreeRADIUS ist der Dateiname die Adresse des Servers, z. B. 192.0.2.0.

  4. Der Accounting-Server sendet ein Accounting-Response-Paket an das Gerät, um zu bestätigen, dass es die Accounting-Anforderung erhalten hat.

  5. Wenn das Gerät kein Accounting-Response-Paket vom Server empfängt, sendet es weiterhin Accounting-Requests, bis der Server eine Antwort zurückgibt.

Sie können die durch diesen Prozess gesammelten Statistiken auf dem RADIUS-Server anzeigen. Um diese Statistiken anzuzeigen, greifen Sie auf die Protokolldatei zu, die für den Empfang konfiguriert ist.

Konfigurieren der RADIUS-Systembuchhaltung

Wenn Sie RADIUS Accounting aktivieren, können Geräte von Juniper Networks, die als RADIUS-Clients fungieren, den RADIUS-Server über Benutzeraktivitäten wie Softwareanmeldungen, Konfigurationsänderungen und interaktive Befehle benachrichtigen. Das Framework für die RADIUS-Buchhaltung wird in RFC 2866, RADIUS Accounting, beschrieben.

Konfigurieren der Überwachung von Benutzerereignissen auf einem RADIUS-Server

So konfigurieren Sie RADIUS Accounting:

  1. Konfigurieren Sie die zu überwachenden Ereignisse.

    Zum Beispiel:

    events kann einen oder mehrere der folgenden Punkte umfassen:

    • login– Anmeldungen prüfen

    • change-log– Konfigurationsänderungen prüfen

    • interactive-commands– Interaktive Befehle prüfen (beliebige Befehlszeileneingaben)

  2. Aktivieren Sie die RADIUS-Buchhaltung.
  3. Konfigurieren Sie die Adresse für einen oder mehrere RADIUS-Accounting-Server.

    Zum Beispiel:

    Hinweis:

    Wenn Sie keine RADIUS-Server auf Hierarchieebene [edit system accounting destination radius] konfigurieren, verwendet das Gerät die auf Hierarchieebene [edit system radius-server] konfigurierten RADIUS-Server.
  4. (Optional) Konfigurieren Sie die Quelladresse für RADIUS-Kontoführungsanforderungen.

    Zum Beispiel:

    Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Router- oder Switch-Schnittstellen konfiguriert ist. Wenn das Netzwerkgerät über mehrere Schnittstellen verfügt, die den RADIUS-Server erreichen können, weisen Sie eine IP-Adresse zu, die das Gerät für seine gesamte Kommunikation mit dem RADIUS-Server verwenden kann. Dadurch wird eine feste Adresse als Quelladresse für lokal generierte IP-Pakete festgelegt.

  5. Konfigurieren Sie das Kennwort für den gemeinsamen geheimen Schlüssel, das das Netzwerkgerät für die Authentifizierung beim RADIUS-Kontoführungsserver verwendet.

    Das konfigurierte Kennwort muss mit dem Kennwort übereinstimmen, das auf dem RADIUS-Server konfiguriert ist. Wenn das Kennwort Leerzeichen enthält, schließen Sie es in Anführungszeichen ein. Das Gerät speichert das Kennwort als verschlüsselten Wert in der Konfigurationsdatenbank.

    Zum Beispiel:

  6. (Optional) Geben Sie bei Bedarf an, an welchen Port des RADIUS-Accounting-Servers Buchhaltungspakete gesendet werden sollen, falls abweichend vom Standardport (1813).
    Hinweis:

    Wenn Sie die RADIUS-Accounting auf Hierarchieebene [edit access profile profile-name accounting-order] aktivieren, wird die Accounting auf dem Standardport 1813 ausgelöst, auch wenn Sie keinen Wert für die accounting-port Anweisung angeben.
  7. (Optional) Konfigurieren Sie die Häufigkeit, mit der das Gerät versucht, einen RADIUS-Abrechnungsserver zu kontaktieren, und die Zeit, die das Gerät auf den Empfang einer Antwort von einem Server wartet.

    Standardmäßig versucht das Gerät dreimal, den Server zu kontaktieren, und wartet drei Sekunden. Sie können den retry Wert von 1 bis 100 Mal und den timeout Wert von 1 bis 1000 Sekunden konfigurieren.

    So kontaktieren Sie beispielsweise einen Server 2 Mal und warten 10 Sekunden auf eine Antwort:

  8. (Optional) Konfigurieren Sie die routing-instance mgmt_junos Anweisung, um RADIUS-Accounting-Pakete über die nicht standardmäßige Verwaltungsinstanz anstelle der Standardrouting-Instanz weiterzuleiten.
  9. (Optional) Konfigurieren Sie die enhanced-accounting Anweisung auf Hierarchieebene [edit system radius-options] so, dass sie zusätzliche Buchhaltungsattribute wie Zugriffsmethode, Remote-Port und Zugriffsberechtigungen für Benutzeranmeldeereignisse enthält.
    Hinweis:

    Um die Anzahl der zu überwachenden Attributwerte zu begrenzen, konfigurieren Sie die enhanced-avs-max <number> Anweisung auf Hierarchieebene [edit system accounting] .

Im folgenden Beispiel werden drei Server (10.5.5.5, 10.6.6.6 und 10.7.7.7) für RADIUS Accounting konfiguriert: