Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

TACACS+-Authentifizierung

Junos OS Evolved unterstützt TACACS+ für die zentrale Authentifizierung von Benutzern auf Netzwerkgeräten. Um die TACACS+-Authentifizierung auf dem Gerät verwenden zu können, müssen Sie (der Netzwerkadministrator) Informationen zu einem oder mehreren TACACS+-Servern im Netzwerk konfigurieren. Sie können die TACACS+-Abrechnung auf dem Gerät auch so konfigurieren, dass statistische Daten über die Benutzer erfasst werden, die sich bei einem LAN an- oder abmelden, und die Daten an einen TACACS+-Abrechnungsserver senden.

Konfigurieren der TACACS+-Authentifizierung

Die TACACS+-Authentifizierung ist eine Methode zur Authentifizierung von Benutzern, die versuchen, auf ein Netzwerkgerät zuzugreifen.

Führen Sie die folgenden Aufgaben aus, um TACACS+ zu konfigurieren:

Konfigurieren der TACACS+-Serverdetails

Um die TACACS+-Authentifizierung auf dem Gerät zu verwenden, konfigurieren Sie Informationen zu einem oder mehreren TACACS+-Servern im Netzwerk, indem Sie für jeden TACACS+-Server eine tacplus-server Anweisung auf Hierarchieebene [edit system] einfügen. Das Gerät fragt die TACACS+-Server in der Reihenfolge ab, in der sie konfiguriert sind. Wenn der primäre Server (der erste konfigurierte) nicht verfügbar ist, versucht das Gerät, jeden Server in der Liste zu kontaktieren, bis es eine Antwort erhält.

Das Netzwerkgerät kann TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Autorisierung bestimmt. Standardmäßig weist Junos OS Evolved dem Benutzervorlagenkonto remoteTACACS+-authentifizierte Benutzer zu, sofern konfiguriert, wenn:

  • Für den authentifizierten Benutzer ist auf dem lokalen Gerät kein Benutzerkonto konfiguriert.

  • Der TACACS+-Server weist den Benutzer entweder keiner lokalen Benutzervorlage zu, oder die Vorlage, die der Server zuweist, ist auf dem lokalen Gerät nicht konfiguriert.

Der TACACS+-Server kann einen authentifizierten Benutzer einer anderen Benutzervorlage zuweisen, um diesem Benutzer unterschiedliche Administratorberechtigungen zu erteilen. Der Benutzer behält denselben Anmeldenamen in der CLI bei, erbt jedoch die Anmeldeklasse, die Zugriffsrechte und die effektive Benutzer-ID von der zugewiesenen Vorlage. Wenn der TACACS+-authentifizierte Benutzer keinem lokal definierten Benutzerkonto oder keiner Benutzervorlage zugeordnet ist und die remote Vorlage nicht konfiguriert ist, schlägt die Authentifizierung fehl.

Anmerkung:

Der remote Benutzername ist ein Sonderfall in Junos OS Evolved und muss immer in Kleinbuchstaben geschrieben werden. Sie dient als Vorlage für Benutzer, die von einem Remoteserver authentifiziert werden, aber kein lokal konfiguriertes Benutzerkonto auf dem Gerät haben. Junos OS Evolved wendet die Berechtigungen der remote Vorlage auf authentifizierte Benutzer ohne lokal definiertes Konto an. Alle Benutzer, die der remote Vorlage zugeordnet sind, befinden sich in derselben Anmeldeklasse.

Da die Remoteauthentifizierung auf mehreren Geräten konfiguriert wird, wird sie in der Regel innerhalb einer Konfigurationsgruppe konfiguriert. Die hier gezeigten Schritte finden in einer Konfigurationsgruppe namens global. Die Verwendung einer Konfigurationsgruppe ist optional.

So konfigurieren Sie die Authentifizierung durch einen TACACS+-Server:

  1. Konfigurieren Sie die IPv4- oder IPv6-Adresse des TACACS+-Authentifizierungsservers.

    Zum Beispiel:

  2. (Optional) Konfigurieren Sie die Paketquelladresse für Anforderungen, die an den TACACS+-Server gesendet werden.

    Zum Beispiel:

    Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Router- oder Switch-Schnittstellen konfiguriert ist. Wenn das Netzwerkgerät über mehrere Schnittstellen verfügt, die den TACACS+-Server erreichen können, weisen Sie eine IP-Adresse zu, die das Gerät für die gesamte Kommunikation mit dem TACACS+-Server verwenden kann. Dadurch wird eine feste Adresse als Quelladresse für lokal generierte IP-Pakete festgelegt.

  3. Konfigurieren Sie das gemeinsame geheime Kennwort, das das Netzwerkgerät zur Authentifizierung beim TACACS+-Server verwendet.

    Das konfigurierte Kennwort muss mit dem Kennwort übereinstimmen, das auf dem TACACS+-Server konfiguriert ist. Wenn das Kennwort Leerzeichen enthält, schließen Sie es in Anführungszeichen ein. Das Gerät speichert das Kennwort als verschlüsselten Wert in der Konfigurationsdatenbank.

    Zum Beispiel:

  4. (Optional) Geben Sie den Port an, über den der TACACS+-Server kontaktiert werden soll, falls dieser vom Standardport (49) abweicht.

    Zum Beispiel:

  5. (Optional) Konfigurieren Sie die Zeitspanne, die das Gerät auf eine Antwort vom TACACS+-Server wartet.

    Standardmäßig wartet das Gerät 3 Sekunden. Sie können den timeout Wert zwischen 1 und 90 Sekunden konfigurieren.

    Gehen Sie beispielsweise wie folgt vor, um 15 Sekunden auf eine Antwort vom Server zu warten:

  6. (Optional) Konfigurieren Sie das Gerät so, dass eine offene TCP-Verbindung zum Server für mehrere Anforderungen aufrechterhalten wird, anstatt für jeden Verbindungsversuch eine separate Verbindung zu öffnen.
    Anmerkung:

    Frühe Versionen des TACACS+-Servers unterstützen diese single-connection Option nicht. Wenn Sie diese Option angeben und der Server sie nicht unterstützt, kann das Gerät nicht mit diesem TACACS+-Server kommunizieren.
  7. (Optional) Um TACACS+-Pakete über eine bestimmte Routing-Instanz zu leiten, konfigurieren Sie die routing-instance Anweisung und geben Sie eine gültige Routing-Instanz an.

    Standardmäßig leitet Junos OS Evolved Authentifizierungs-, Autorisierungs- und Abrechnungspakete für TACACS+ über die Standard-Routing-Instanz weiter.

  8. Geben Sie die Authentifizierungsreihenfolge an, und schließen Sie die tacplus Option ein.

    Im folgenden Beispiel fragt Junos OS Evolved jedes Mal, wenn ein Benutzer versucht, sich anzumelden, zuerst den TACACS+-Server zur Authentifizierung ab. Wenn dies fehlschlägt, wird der RADIUS-Server abgefragt. Wenn dies fehlschlägt, wird versucht, sich mit lokal konfigurierten Benutzerkonten zu authentifizieren.

  9. Weisen Sie TACACS+-authentifizierten Benutzern, die kein lokal definiertes Benutzerkonto haben, eine Anmeldeklasse zu.

    Sie konfigurieren ein Benutzervorlagenkonto auf die gleiche Weise wie ein lokales Benutzerkonto, mit der Ausnahme, dass Sie kein lokales Authentifizierungskennwort konfigurieren, da der TACACS+-Server den Benutzer authentifiziert.

    • Um dieselben Berechtigungen für alle TACACS+-authentifizierten Benutzer zu verwenden, konfigurieren Sie die remote Benutzervorlage.

      Zum Beispiel:

    • So verwenden Sie unterschiedliche Anmeldeklassen für verschiedene TACACS+-authentifizierte Benutzer und erteilen ihnen unterschiedliche Berechtigungen:

      1. Erstellen Sie mehrere Benutzervorlagen in der Junos OS Evolved-Konfiguration . Zum Beispiel:

      2. Konfigurieren Sie den TACACS+-Server so, dass der authentifizierte Benutzer der entsprechenden Benutzervorlage zugeordnet wird.

        Legen Sie z. B. das local-user-name anbieterspezifische Attribut (VSA) von Juniper auf den Namen einer auf dem Gerät konfigurierten Benutzervorlage fest, der im vorherigen Beispiel RO, OP oder SU lautet. Die Authentifizierung schlägt fehl, wenn das Gerät keinen Benutzer einem lokalen Benutzerkonto oder einer Benutzervorlage zuweisen kann und die remote Benutzervorlage nicht konfiguriert ist.

Konfigurieren von TACACS+ für die Verwendung der Verwaltungsinstanz

Standardmäßig leitet Junos OS Evolved Authentifizierungs-, Autorisierungs- und Abrechnungspakete für TACACS+ über die Standard-Routing-Instanz weiter. Sie können TACACS+-Pakete auch über eine Verwaltungsschnittstelle in einer nicht standardmäßigen VRF-Instanz weiterleiten.

So leiten Sie TACACS+-Pakete über die mgmt_junos Verwaltungsinstanz weiter:

  1. Aktivieren Sie die mgmt_junos Verwaltungsinstanz.

  2. Konfigurieren Sie die routing-instance mgmt_junos Anweisung für den TACACS+-Authentifizierungsserver und den TACACS+-Kontoführungsserver, sofern konfiguriert.

Konfigurieren desselben Authentifizierungsdienstes für mehrere TACACS+-Server

Sie können denselben Authentifizierungsdienst für mehrere TACACS+-Server konfigurieren, indem Sie Anweisungen auf der [edit system tacplus-server] Hierarchieebene und [edit system tacplus-options] einschließen.

So weisen Sie denselben Authentifizierungsdienst mehreren TACACS+-Servern zu:

  1. Konfigurieren Sie die TACACS+-Server wie unter Konfigurieren der TACACS+-Authentifizierung beschrieben.
  2. Konfigurieren Sie die service-name Anweisung auf Hierarchieebene [edit system tacplus-options] .
    service-name ist der Name des Authentifizierungsdienstes, der standardmäßig . junos-exec

    Zum Beispiel:

Das folgende Beispiel zeigt, wie derselbe Authentifizierungsdienst für mehrere TACACS+-Server konfiguriert wird:

Konfigurieren der herstellerspezifischen TACACS+-Attribute von Juniper Networks

Junos OS Evolved kann TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Autorisierung bestimmt. Optional können Sie auch die Zugriffsrechte eines Benutzers konfigurieren, indem Sie herstellerspezifische TACACS+-Attribute von Juniper Networks auf dem TACACS+-Server definieren. Sie definieren die Attribute in der Konfigurationsdatei des TACACS+-Servers auf Benutzerbasis. Das Netzwerkgerät ruft diese Attribute durch eine Autorisierungsanfrage des TACACS+-Servers nach der Authentifizierung eines Benutzers ab.

Um diese Attribute anzugeben, fügen Sie eine service Anweisung des folgenden Formulars in die TACACS+-Serverkonfigurationsdatei ein:

Sie können die service Anweisung in einer user Anweisung oder einer group Anweisung definieren.

Konfigurieren der regelmäßigen Aktualisierung des TACACS+-Autorisierungsprofils

Wenn Sie ein Gerät mit Junos OS Evolved für die Verwendung eines TACACS+-Servers für die Authentifizierung konfigurieren, fordert das Gerät die Benutzer zur Eingabe von Anmeldeinformationen auf, die vom TACACS+-Server überprüft werden. Nachdem ein Benutzer erfolgreich authentifiziert wurde, sendet das Netzwerkgerät eine Autorisierungsanforderung an den TACACS+-Server, um das Autorisierungsprofil für den Benutzer abzurufen. Berechtigungsprofile geben die Zugriffsberechtigungen für authentifizierte Benutzer oder Geräte an.

Der TACACS+-Server sendet das Berechtigungsprofil als Teil einer Autorisierungs-REPLY-Nachricht. Der auf dem TACACS+-Server konfigurierte Remote-Benutzer wird einem lokalen Benutzer oder einer Benutzervorlage zugeordnet, der bzw. die auf dem Gerät konfiguriert ist, auf dem Junos OS Evolved ausgeführt wird. Junos OS Evolved kombiniert das Remote-Autorisierungsprofil des Benutzers und das lokal konfigurierte Autorisierungsprofil, wobei letzteres auf der Hierarchieebene [edit system login class] konfiguriert wird.

Standardmäßig erfolgt der Austausch von Autorisierungsanforderungs- und Antwortnachrichten nur einmal, und zwar nach erfolgreicher Authentifizierung. Sie können die Geräte so konfigurieren, dass Junos OS Evolved in regelmäßigen Abständen das Remote-Autorisierungsprofil vom TACACS+-Server abruft und das lokal gespeicherte Autorisierungsprofil aktualisiert. Diese regelmäßige Aktualisierung stellt sicher, dass das lokale Gerät jede Änderung der Autorisierungsparameter widerspiegelt, ohne dass der Benutzer den Authentifizierungsprozess neu starten muss.

Um die regelmäßige Aktualisierung des Autorisierungsprofils zu aktivieren, müssen Sie das Zeitintervall festlegen, in dem das lokale Gerät das remote auf dem TACACS+-Server konfigurierte Autorisierungsprofil überprüft. Wenn sich das Remote-Autorisierungsprofil ändert, ruft das Gerät das Autorisierungsprofil vom TACACS+-Server und das in der Anmeldeklassenhierarchie konfigurierte Autorisierungsprofil ab. Das Gerät aktualisiert das lokal gespeicherte Autorisierungsprofil, indem es die Remote- und die lokal konfigurierten Autorisierungsprofile kombiniert.

Sie können das Aktualisierungszeitintervall lokal auf dem Gerät konfigurieren, auf dem Junos OS Evolved ausgeführt wird, oder direkt auf dem TACACS+-Server. Das Zeitintervall kann zwischen 15 und 1440 Minuten liegen.

  • Um die regelmäßige Aktualisierung des Autorisierungsprofils auf dem lokalen Gerät zu konfigurieren, fügen Sie die authorization-time-interval Anweisung auf Hierarchieebene [edit system tacplus-options] wie folgt ein:
  • Um die regelmäßige Aktualisierung auf dem TACACS+-Server zu konfigurieren, fügen Sie den refresh-time-interval Parameter im Autorisierungsprofil mit der folgenden Syntax hinzu:

Verwenden Sie die folgenden Richtlinien, um zu bestimmen, welche Zeitintervallkonfiguration Vorrang hat:

  • Wenn das Aktualisierungszeitintervall nur auf dem TACACS+-Server oder nur auf dem Gerät mit Junos OS Evolved konfiguriert ist, wird der konfigurierte Wert wirksam.

  • Wenn das Aktualisierungszeitintervall sowohl auf dem TACACS+-Server als auch auf dem Gerät mit Junos OS Evolved konfiguriert ist, hat der auf dem TACACS+-Server konfigurierte Wert Vorrang.

  • Wenn auf dem TACACS+-Server oder dem Gerät, auf dem Junos OS Evolved ausgeführt wird, kein Aktualisierungszeitintervall konfiguriert ist, findet keine regelmäßige Aktualisierung statt.

  • Wenn das auf dem TACACS+-Server konfigurierte Aktualisierungszeitintervall außerhalb des gültigen Bereichs liegt oder ungültig ist, wird das lokal konfigurierte Aktualisierungszeitintervall wirksam. Wenn lokal kein Aktualisierungszeitintervall konfiguriert ist, findet keine regelmäßige Aktualisierung statt.

Wenn der Benutzer nach dem Festlegen des periodischen Aktualisierungszeitintervalls das Aktualisierungsintervall ändert, bevor die Autorisierungsanforderung vom lokalen Gerät gesendet wird, wird das aktualisierte Aktualisierungsintervall nach der nächsten sofortigen regelmäßigen Aktualisierung wirksam.

Beispiel: Konfigurieren eines TACACS+-Servers für die Systemauthentifizierung

In diesem Beispiel wird die Systemauthentifizierung über einen TACACS+-Server konfiguriert.

Anforderungen

Bevor Sie beginnen:

  • Führen Sie die Erstkonfiguration des Geräts durch. Weitere Informationen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät.

  • Richten Sie mindestens einen TACACS+-Server in Ihrem Netzwerk ein.

Überblick

In diesem Beispiel fügen Sie einen neuen TACACS+-Server mit der IP-Adresse 172.16.98.1 hinzu. Sie geben das gemeinsame geheime Kennwort des TACACS+-Servers als Tacacssecret1 an. Das Gerät speichert den geheimen Schlüssel als verschlüsselten Wert in der Konfigurationsdatenbank. Schließlich geben Sie die Quelladresse an, die das Gerät in TACACS+-Serveranforderungen verwendet. In den meisten Fällen können Sie die Loopback-Adresse des Geräts verwenden, die in diesem Beispiel 10.0.0.1 lautet.

Sie können die Unterstützung für mehrere Benutzerauthentifizierungsmethoden, z. B. lokale Kennwortauthentifizierung, TACACS+ und RADIUS, auf dem Netzwerkgerät konfigurieren. Wenn Sie mehrere Authentifizierungsmethoden konfigurieren, können Sie die Reihenfolge, in der das Gerät die verschiedenen Methoden ausprobiert, priorisieren. In diesem Beispiel konfigurieren Sie das Gerät so, dass es zuerst TACACS+-Authentifizierungsdienste verwendet und, falls dies fehlschlägt, dann die lokale Kennwortauthentifizierung versucht.

Ein TACACS+-authentifizierter Benutzer muss einem lokalen Benutzerkonto oder einem lokalen Benutzervorlagenkonto auf dem Netzwerkgerät zugeordnet werden, wodurch die Autorisierung bestimmt wird. Wenn ein TACACS+-authentifizierter Benutzer keinem lokalen Benutzerkonto oder einer bestimmten Benutzervorlage zugeordnet ist, wird der Benutzer standardmäßig der remote Benutzervorlage zugewiesen, sofern konfiguriert. In diesem Beispiel wird die remote Benutzervorlage konfiguriert.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie einen TACACS+-Server für die Systemauthentifizierung:

  1. Fügen Sie einen neuen TACACS+-Server hinzu und legen Sie dessen IP-Adresse fest.

  2. Geben Sie den gemeinsamen geheimen Schlüssel (Kennwort) des TACACS+-Servers an.

  3. Geben Sie die Loopback-Adresse des Geräts als Quelladresse an.

  4. Geben Sie die Reihenfolge der Authentifizierung des Geräts an, und fügen Sie die tacplus Option hinzu.

  5. Konfigurieren Sie die remote Benutzervorlage und ihre Anmeldeklasse.
Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Die folgende Ausgabe enthält nur die Teile der Konfigurationshierarchie, die für dieses Beispiel relevant sind:

Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der TACACS+-Serverkonfiguration

Zweck

Vergewissern Sie sich, dass der TACACS+-Server die Benutzer authentifiziert.

Aktion

Melden Sie sich beim Netzwerkgerät an, und überprüfen Sie, ob die Anmeldung erfolgreich war. Um zu überprüfen, ob das Gerät den TACACS+-Server für die Authentifizierung verwendet, können Sie versuchen, sich mit einem Konto anzumelden, das in der Konfiguration kein lokales Authentifizierungskennwort definiert.

Herstellerspezifische TACACS+-Attribute von Juniper Networks

Junos OS Evolved unterstützt die Konfiguration der herstellerspezifischen Attribute (VSAs) (TACACS+) von Juniper Networks auf dem TACACS+-Server. Tabelle 1 listet die unterstützten VSAs von Juniper Networks auf.

Einige der Attribute akzeptieren erweiterte reguläre Ausdrücke, wie sie in POSIX 1003.2 definiert sind. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Weitere Informationen finden Sie unter:

Tabelle 1: Herstellerspezifische TACACS+-Attribute von Juniper Networks

Name

Beschreibung

Länge

Schnur

local-user-name

Gibt den Namen der Benutzervorlage an, die diesem Benutzer zugewiesen wird, wenn sich der Benutzer bei einem Gerät anmeldet.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

allow-commands

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Befehle zusätzlich zu den Befehlen auszuführen, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.
allow-commands-regexps

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Befehle zusätzlich zu den Befehlen auszuführen, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

allow-configuration

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Konfigurationsanweisungen zusätzlich zu den Anweisungen anzuzeigen und zu ändern, die durch die Anmeldeklassenberechtigungsbits des Benutzers autorisiert wurden.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

allow-configuration-regexps

Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Konfigurationsanweisungen zusätzlich zu den Anweisungen anzuzeigen und zu ändern, die durch die Anmeldeklassenberechtigungsbits des Benutzers autorisiert wurden.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

deny-commands

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Ausführen von Befehlen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.
deny-commands-regexps

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Ausführen von Befehlen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

deny-configuration

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Anzeigen oder Ändern von Konfigurationsanweisungen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

deny-configuration-regexps

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Anzeigen oder Ändern von Konfigurationsanweisungen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten.

user-permissions

Enthält Informationen, die der Server zum Angeben von Benutzerberechtigungen verwendet.

Anmerkung:

Wenn der TACACS+-Server das Attribut definiert, um user-permissions einem Benutzer die Berechtigung oder all Berechtigung maintenance zu erteilen, enthält die Liste der Gruppenmitgliedschaften des Benutzers nicht automatisch die UNIX-Radgruppe. Für einige Vorgänge, z. B. das Ausführen des su root Befehls von einer lokalen Shell, sind Berechtigungen für die Mitgliedschaft in einer Radgruppe erforderlich. Wenn das Netzwerkgerät jedoch ein lokales Benutzerkonto mit den Berechtigungen maintenance oder alldefiniert, wird dem Benutzer automatisch die Mitgliedschaft in der UNIX-Radgruppe gewährt. Daher wird empfohlen, ein Benutzervorlagenkonto mit den erforderlichen Berechtigungen zu erstellen und dem Benutzervorlagenkonto einzelne Benutzerkonten zuzuordnen.

≥3

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

Weitere Informationen finden Sie unter Übersicht über Zugriffsberechtigungsstufen.

authentication-type

Gibt die Authentifizierungsmethode (lokale Datenbank oder TACACS+-Server) an, die zur Authentifizierung eines Benutzers verwendet wird. Wenn der Benutzer über eine lokale Datenbank authentifiziert wird, wird im Attributwert "local" angezeigt. Wenn der Benutzer über einen TACACS+-Server authentifiziert wird, wird im Attributwert "remote" angezeigt.

≥5

Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten.

session-port

Gibt die Quellportnummer der eingerichteten Sitzung an.

Größe der ganzen Zahl

Ganze Zahl

Verwenden Sie reguläre Ausdrücke auf einem RADIUS- oder TACACS+-Server, um Befehle zuzulassen oder zu verweigern

Junos OS Evolved kann RADIUS- und TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Zugriffsrechte des Benutzers definiert. Optional können Sie auch die Zugriffsrechte eines Benutzers konfigurieren, indem Sie auf dem jeweiligen Authentifizierungsserver RADIUS- und TACACS+-Anbieterspezifische Attribute (VSAs) von Juniper Networks definieren.

Die Anmeldeklasse eines Benutzers definiert den Satz von Berechtigungen, der bestimmt, welche Betriebsmodus- und Konfigurationsmodusbefehle ein Benutzer ausführen darf und welche Bereiche der Konfiguration ein Benutzer anzeigen und ändern kann. Eine Anmeldeklasse kann auch reguläre Ausdrücke definieren, die einem Benutzer zusätzlich zu dem, was die Berechtigungsflags autorisieren, die Ausführung bestimmter Befehle oder das Anzeigen und Ändern bestimmter Bereiche der Konfiguration ermöglichen oder verweigern. Eine login-Klasse kann die folgenden Anweisungen enthalten, um die Benutzerautorisierung zu definieren:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Ebenso kann eine RADIUS- oder TACACS+-Serverkonfiguration VSAs von Juniper Networks verwenden, um bestimmte Berechtigungen oder reguläre Ausdrücke zu definieren, die die Zugriffsrechte eines Benutzers bestimmen. Eine Liste der unterstützten RADIUS- und TACACS+-VSAs finden Sie unter:

Sie können Benutzerberechtigungen auf dem RADIUS- oder TACACS+-Server als eine Liste von durch Leerzeichen getrennten Werten definieren.

  • Ein RADIUS-Server verwendet das folgende Attribut und die folgende Syntax:

    Zum Beispiel:

  • Ein TACACS+-Server verwendet das folgende Attribut und die folgende Syntax:

    Zum Beispiel:

Ein RADIUS- oder TACACS+-Server kann auch VSAs von Juniper Networks definieren, die einen einzelnen erweiterten regulären Ausdruck (wie in POSIX 1003.2 definiert) verwenden, um einem Benutzer die Ausführung bestimmter Befehle oder das Anzeigen und Ändern von Bereichen der Konfiguration zu erlauben oder zu verweigern. Sie schließen mehrere Befehle oder Konfigurationshierarchien in Klammern ein und trennen sie durch ein Pipe-Symbol. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Wenn Sie Autorisierungsparameter sowohl lokal als auch remote konfigurieren, führt das Gerät die regulären Ausdrücke, die während der TACACS+- oder RADIUS-Autorisierung empfangen wurden, mit allen regulären Ausdrücken zusammen, die auf dem lokalen Gerät definiert sind.

  • Ein RADIUS-Server verwendet die folgenden Attribute und Syntax:

    Zum Beispiel:

  • Ein TACACS+-Server verwendet die folgenden Attribute und Syntax:

    Zum Beispiel:

RADIUS- und TACACS+-Server unterstützen auch die Konfiguration von Attributen, die denselben *-regexps Anweisungen entsprechen, die Sie auf dem lokalen Gerät konfigurieren können. Die *-regexps Attribute TACACS+ und RADIUS *-Regexps verwenden die gleiche Syntax für reguläre Ausdrücke wie die vorherigen Attribute, ermöglichen es Ihnen jedoch, reguläre Ausdrücke mit Variablen zu konfigurieren.

  • Ein RADIUS-Server verwendet die folgenden Attribute und Syntax:

  • Ein TACACS+-Server verwendet die folgenden Attribute und Syntax:

    Beispielsweise kann die TACACS+-Serverkonfiguration die folgenden Attribute definieren:

Auf einem RADIUS- oder TACACS+-Server können Sie die Attribute auch mit einer vereinfachten Syntax definieren, bei der Sie jeden einzelnen Ausdruck in einer separaten Zeile angeben.

Geben Sie für einen RADIUS-Server die einzelnen regulären Ausdrücke mit der folgenden Syntax an:

Geben Sie für einen TACACS+-Server die einzelnen regulären Ausdrücke mit der folgenden Syntax an:

Anmerkung:

  • In der TACACS+-Serversyntax müssen die numerischen Werte 1 bis n eindeutig sein, dürfen aber nicht sequenziell sein. Die folgende Syntax ist z. B. gültig:

  • Der RADIUS- oder TACACS+-Server erzwingt eine Begrenzung für die Anzahl der einzelnen Zeilen mit regulären Ausdrücken.

  • Wenn Sie den show cli authorization Befehl ausgeben, wird der reguläre Ausdruck in der Befehlsausgabe in einer einzigen Zeile angezeigt, auch wenn Sie jeden einzelnen Ausdruck in einer separaten Zeile angeben.

Benutzer können ihre Klasse, Berechtigungen sowie Befehls- und Konfigurationsautorisierung überprüfen, indem sie den show cli authorization Befehl Betriebsmodus ausgeben.

Anmerkung:

Wenn Sie die Autorisierungsparameter sowohl lokal auf dem Netzwerkgerät als auch remote auf dem RADIUS- oder TACACS+-Server konfigurieren, führt das Gerät die regulären Ausdrücke, die während der TACACS+- oder RADIUS-Autorisierung empfangen wurden, mit allen lokal konfigurierten regulären Ausdrücken zusammen. Wenn der letzte Ausdruck einen Syntaxfehler enthält, ist das Gesamtergebnis ein ungültiger regulärer Ausdruck.

TACACS+ Systemabrechnung konfigurieren

Sie können die TACACS+-Abrechnung auf einem Gerät so konfigurieren, dass statistische Daten über Benutzer erfasst werden, die sich bei einem LAN an- oder abmelden, und die Daten an einen TACACS+-Abrechnungsserver senden. Die statistischen Daten können für die allgemeine Netzwerküberwachung, die Analyse und Nachverfolgung von Nutzungsmustern oder die Abrechnung eines Benutzers auf der Grundlage der Dauer der Sitzung oder der Art der aufgerufenen Dienste verwendet werden.

Um die TACACS+-Abrechnung zu konfigurieren, geben Sie Folgendes an:

  • Einen oder mehrere TACACS+-Abrechnungsserver, um die statistischen Daten vom Gerät zu empfangen

  • Die Art der zu erfassenden Buchhaltungsdaten

Sie können denselben Server sowohl für die TACACS+-Abrechnung als auch für die Authentifizierung verwenden, oder Sie können separate Server verwenden. Sie können eine Liste von TACACS+-Abrechnungsservern angeben. Das Gerät fragt die Server in der Reihenfolge ab, in der sie konfiguriert sind. Wenn der primäre Server (der erste konfigurierte) nicht verfügbar ist, versucht das Gerät, jeden Server in der Liste zu kontaktieren, bis es eine Antwort erhält.

Wenn Sie TACACS+-Abrechnung aktivieren, können Geräte von Juniper Networks, die als TACACS+-Clients fungieren, den TACACS+-Server über Benutzeraktivitäten wie Softwareanmeldungen, Konfigurationsänderungen und interaktive Befehle informieren.

Konfigurieren der TACACS+-Serverabrechnung

So konfigurieren Sie die TACACS+-Serverabrechnung:

  1. Konfigurieren Sie die zu überwachenden Ereignisse.

    Zum Beispiel:

    events kann einen oder mehrere der folgenden Punkte umfassen:

    • login—Audit-Anmeldungen

    • change-log—Konfigurationsänderungen prüfen

    • interactive-commands—Interaktive Befehle prüfen (beliebige Befehlszeileneingaben)

  2. Aktivieren Sie die TACACS+-Buchhaltung.
  3. Konfigurieren Sie die Adresse für einen oder mehrere TACACS+-Abrechnungsserver.

    Zum Beispiel:

    Anmerkung:

    Wenn Sie keine TACACS+-Server auf Hierarchieebene [edit system accounting destination tacplus] konfigurieren, verwendet das Gerät die TACACS+-Server, die auf der [edit system tacplus-server] Hierarchieebene konfiguriert sind.
  4. (Optional) Konfigurieren Sie die Quelladresse für TACACS+-Abrechnungsanforderungen.

    Zum Beispiel:

    Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Router- oder Switch-Schnittstellen konfiguriert ist. Wenn das Netzwerkgerät über mehrere Schnittstellen verfügt, die den TACACS+-Server erreichen können, weisen Sie eine IP-Adresse zu, die das Gerät für die gesamte Kommunikation mit dem TACACS+-Server verwenden kann. Dadurch wird eine feste Adresse als Quelladresse für lokal generierte IP-Pakete festgelegt.

  5. Konfigurieren Sie das Kennwort für den gemeinsamen geheimen Schlüssel, das das Netzwerkgerät zur Authentifizierung beim TACACS+-Kontoführungsserver verwendet.

    Das konfigurierte Kennwort muss mit dem Kennwort übereinstimmen, das auf dem TACACS+-Server konfiguriert ist. Wenn das Kennwort Leerzeichen enthält, schließen Sie es in Anführungszeichen ein. Das Gerät speichert das Kennwort als verschlüsselten Wert in der Konfigurationsdatenbank.

    Zum Beispiel:

  6. (Optional) Geben Sie ggf. an, an welchen TACACS+-Accounting-Server-Port Accounting-Pakete gesendet werden sollen, falls dieser vom Standardwert abweicht (49).
  7. (Optional) Konfigurieren Sie die Zeitspanne, die das Gerät auf eine Antwort vom TACACS+-Abrechnungsserver wartet.

    Standardmäßig wartet das Gerät drei Sekunden. Sie können den timeout Wert zwischen 1 und 90 Sekunden konfigurieren.

    Gehen Sie beispielsweise wie folgt vor, um 15 Sekunden auf eine Antwort vom Server zu warten:

  8. (Optional) Konfigurieren Sie das Gerät so, dass eine offene TCP-Verbindung zum Server für mehrere Anforderungen aufrechterhalten wird, anstatt für jeden Verbindungsversuch eine separate Verbindung zu öffnen.
    Anmerkung:

    Frühe Versionen des TACACS+-Servers unterstützen diese single-connection Option nicht. Wenn Sie diese Option angeben und der Server sie nicht unterstützt, kann das Gerät nicht mit diesem TACACS+-Server kommunizieren.
  9. (Optional) Um TACACS+-Abrechnungspakete über die nicht standardmäßige Verwaltungsinstanz oder eine andere Routing-Instanz anstelle der Standard-Routing-Instanz weiterzuleiten, konfigurieren Sie die routing-instance Anweisung und geben Sie die Routing-Instanz an.
    Zum Beispiel:
  10. Um sicherzustellen, dass Start- und Stoppanforderungen für Anmeldeereignisse korrekt in der TACACS+-Server-Accounting-Protokolldatei und nicht in der Administrationsprotokolldatei protokolliert werden, fügen Sie entweder die no-cmd-attribute-value Anweisung oder die exclude-cmd-attribute Anweisung auf Hierarchieebene [edit system tacplus-options] ein.
    Anmerkung:

    Beide Anweisungen unterstützen die korrekte Protokollierung von Buchhaltungsanforderungen in der Buchhaltungsdatei anstelle der Administrationsdatei. Wenn Sie die no-cmd-attribute-value Anweisung konfigurieren, wird der Wert des cmd Attributs in den Start- und Stoppanforderungen auf eine NULL-Zeichenfolge festgelegt. Wenn Sie die exclude-cmd-attribute Anweisung konfigurieren, wird das cmd Attribut vollständig von den Start- und Stoppanforderungen ausgeschlossen.