Auf dieser Seite
Authentifizierungsreihenfolge für RADIUS, TACACS+ und lokales Kennwort
Junos OS unterstützt verschiedene Authentifizierungsmethoden, einschließlich lokaler Kennwortauthentifizierung, RADIUS und TACACS+, um den Zugriff auf das Netzwerk zu steuern.
Wenn Sie ein Gerät so konfigurieren, dass es mehrere Authentifizierungsmethoden unterstützt, können Sie die Reihenfolge, in der das Gerät die verschiedenen Methoden ausprobiert, priorisieren. In diesem Thema wird erläutert, wie die Authentifizierungsreihenfolge funktioniert und wie sie auf einem Gerät konfiguriert wird.
Übersicht über die Authentifizierungsreihenfolge
Sie (der Netzwerkadministrator) können die Anweisung so konfigurieren, dass die Reihenfolge, in der verschiedene Authentifizierungsmethoden ausprobiert werden, um den Benutzerzugriff auf einen Router oder Switch zu überprüfen, authentication-order priorisiert wird.Junos OS Wenn Sie keine Authentifizierungsreihenfolge festlegen, werden Benutzer standardmäßig anhand ihrer konfigurierten lokalen Kennwörter überprüft.Junos OS
Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst , die Server jedoch nicht auf eine Anforderung antworten, wird standardmäßig immer als letzter Ausweg die lokale Kennwortauthentifizierung versucht.Junos OS
Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst , die Server die Anforderung jedoch ablehnen, ist die Verarbeitung der Anforderung komplizierter.
-
Wenn (lokale Kennwortauthentifizierung) am Ende der Authentifizierungsreihenfolge enthalten ist und die Remoteauthentifizierungsserver die Authentifizierungsanforderung ablehnen, versucht das Gerät, sich mit dem lokalen Kennwort zu authentifizieren.
password -
Wenn (lokale Kennwortauthentifizierung) nicht in der Authentifizierungsreihenfolge enthalten ist und die Remoteauthentifizierungsserver die Authentifizierungsanforderung ablehnen, endet die Anforderung mit der Ablehnung.
password
Daher muss das Gerät als endgültige Authentifizierungsreihenfolge die Option enthalten , dass das Gerät versuchen kann, eine lokale Kennwortauthentifizierung zu versuchen, falls die Remoteauthentifizierungsserver die Anforderung ablehnen.password
Wenn die Authentifizierungsreihenfolge auf festgelegt ist, verwendet das Gerät nur die lokale Kennwortauthentifizierung.authentication-order password
- Verwenden der Remoteauthentifizierung
- So verwenden Sie die lokale Passwortauthentifizierung
- Reihenfolge der Authentifizierungsversuche
Verwenden der Remoteauthentifizierung
Sie können Junos OS als RADIUS- oder TACACS+-Authentifizierungsclient (oder eine Kombination) konfigurieren.
Wenn eine in der Anweisung enthaltene Authentifizierungsmethode nicht verfügbar ist oder wenn die Authentifizierungsmethode verfügbar ist, der entsprechende Authentifizierungsserver jedoch eine Reject-Antwort zurückgibt, wird die nächste in der Anweisung enthaltene Authentifizierungsmethode versucht.authentication-orderJunos OSauthentication-order
Die RADIUS- oder TACACS+-Serverauthentifizierung kann aus einem oder mehreren der folgenden Gründe fehlschlagen:
-
Die Authentifizierungsmethode ist konfiguriert, die entsprechenden Authentifizierungsserver sind jedoch nicht konfiguriert. Beispielsweise sind die Authentifizierungsmethoden RADIUS und TACACS+ in der Anweisung enthalten, aber die entsprechenden RADIUS- oder TACACS+-Server sind auf den jeweiligen und Hierarchieebenen nicht konfiguriert.
authentication-order[edit system radius-server][edit system tacplus-server] -
Der Authentifizierungsserver antwortet nicht vor dem konfigurierten Timeout-Wert für diesen Server oder vor dem Standard-Timeout, wenn kein Timeout konfiguriert ist.
-
Der Authentifizierungsserver ist aufgrund eines Netzwerkproblems nicht erreichbar.
Der Authentifizierungsserver gibt möglicherweise aus einem oder beiden der folgenden Gründe eine Ablehnungsantwort zurück:
-
Das Benutzerprofil eines Benutzers, der auf einen Router oder Switch zugreift, ist auf dem Authentifizierungsserver nicht konfiguriert.
-
Der Benutzer gibt falsche Anmeldeinformationen ein.
So verwenden Sie die lokale Passwortauthentifizierung
Sie können die Authentifizierungsmethode in der Anweisung explizit konfigurieren oder diese Methode als Fallbackmechanismus verwenden, wenn Remoteauthentifizierungsserver ausfallen.passwordauthentication-order Die Authentifizierungsmethode konsultiert die lokalen Benutzerprofile, die auf Hierarchieebene konfiguriert sind.password[edit system login] Benutzer können sich in den folgenden Szenarien mit ihrem lokalen Benutzernamen und Kennwort bei einem Router oder Switch anmelden:
-
Die Kennwortauthentifizierungsmethode () wird explizit als eine der Authentifizierungsmethoden in der Anweisung konfiguriert.
passwordauthentication-orderIn diesem Fall versucht das Gerät, eine lokale Kennwortauthentifizierung durchzuführen, wenn keine vorherige Authentifizierungsmethode die Anmeldeinformationen akzeptiert. Dies gilt unabhängig davon, ob die vorherigen Authentifizierungsmethoden nicht antworten oder aufgrund eines falschen Benutzernamens oder Kennworts eine Ablehnungsantwort zurückgeben.
-
Die Kennwortauthentifizierungsmethode wird nicht explizit als eine der Authentifizierungsmethoden in der Anweisung konfiguriert.
authentication-orderIn diesem Fall versucht das Betriebssystem nur, eine lokale Kennwortauthentifizierung durchzuführen, wenn alle konfigurierten Authentifizierungsmethoden nicht reagieren. Das Betriebssystem verwendet keine lokale Kennwortauthentifizierung, wenn eine konfigurierte Authentifizierungsmethode aufgrund eines falschen Benutzernamens oder Kennworts eine Ablehnungsantwort zurückgibt.
Reihenfolge der Authentifizierungsversuche
beschreibt, wie die Anweisung auf Hierarchieebene das Verfahren bestimmt, das Junos OS verwendet, um Benutzer für den Zugriff auf ein Gerät zu authentifizieren.Tabelle 1authentication-order[edit system]
|
Syntax |
Reihenfolge der Authentifizierungsversuche |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wenn öffentliche SSH-Schlüssel konfiguriert sind, versucht die SSH-Benutzerauthentifizierung zunächst, eine Authentifizierung mit öffentlichem Schlüssel durchzuführen, bevor die in der Anweisung konfigurierten Authentifizierungsmethoden verwendet werden.authentication-order Wenn Sie möchten, dass SSH-Anmeldungen die in der Anweisung konfigurierten Authentifizierungsmethoden verwenden, ohne zuerst zu versuchen, eine Authentifizierung mit öffentlichem Schlüssel durchzuführen, konfigurieren Sie keine öffentlichen SSH-Schlüssel.authentication-order
Konfigurieren der Authentifizierungsreihenfolge für RADIUS, TACACS+ und lokale Kennwortauthentifizierung
Mit der Anweisung können Sie die Reihenfolge priorisieren, in der die verschiedenen Authentifizierungsmethoden bei der Überprüfung des Benutzerzugriffs auf einen Router oder Switch ausprobiert werden.authentication-orderJunos OS Wenn Sie keine Authentifizierungsreihenfolge festlegen, werden Benutzer standardmäßig anhand ihrer lokal konfigurierten Kennwörter überprüft.
Wenn Sie ein Kennwort mit Nur-Text konfigurieren und sich darauf verlassen , dass es verschlüsselt wird, senden Sie das Kennwort weiterhin im Klartext über das Internet.Junos OS Die Verwendung vorverschlüsselter Passwörter ist sicherer, da der Klartext des Passworts nie über das Internet gesendet werden muss. Außerdem kann bei Kennwörtern jeweils nur ein Benutzer einem Kennwort zugewiesen werden.
Auf der anderen Seite verschlüsseln RADIUS und TACACS+ Passwörter. Mit diesen Authentifizierungsmethoden können Sie eine Reihe von Benutzern gleichzeitig zuweisen, anstatt Benutzer einzeln zuzuweisen. Aber hier ist, wie sich diese Authentifizierungssysteme unterscheiden:
-
RADIUS verwendet UDP; TACACS+ verwendet TCP.
-
RADIUS verschlüsselt nur das Kennwort während der Übertragung, während TACACS+ die gesamte Sitzung verschlüsselt.
-
RADIUS kombiniert Authentifizierung (Gerät) und Autorisierung (Benutzer), während TACACS+ Authentifizierung, Autorisierung und Verantwortlichkeit trennt.
Kurz gesagt, TACACS+ ist sicherer als RADIUS. RADIUS bietet jedoch eine bessere Leistung und ist interoperabler. RADIUS wird weitgehend unterstützt, während TACACS+ ein proprietäres Produkt von Cisco ist und außerhalb von Cisco nicht weit verbreitet ist.
Sie können die Authentifizierungsreihenfolge basierend auf Ihrem System, seinen Einschränkungen sowie Ihrer IT-Richtlinie und Ihren betrieblichen Einstellungen konfigurieren.
Um die Authentifizierungsreihenfolge zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein.authentication-order[edit system]
[edit system] user@host# set authentication-order [authentication-methods ]
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.
Im Folgenden sind die möglichen Optionen für die Eingabe von Authentifizierungsreihenfolgen aufgeführt:
-
radius– Verifizieren Sie den Benutzer mithilfe von RADIUS-Authentifizierungsservern. -
tacplus– Verifizieren Sie den Benutzer mithilfe von TACACS+-Authentifizierungsservern. -
– Verifizieren Sie den Benutzer mit dem Benutzernamen und dem Kennwort, die lokal in der Authentifizierungsanweisung auf Hierarchieebene konfiguriert sind.
password[edit system login user]
Die CHAP-Authentifizierungssequenz (Challenge Handshake Authentication Protocol) darf nicht länger als 30 Sekunden dauern. Wenn die Authentifizierung eines Clients länger als 30 Sekunden dauert, wird die Authentifizierung abgebrochen und eine neue Sequenz eingeleitet.
Angenommen, Sie konfigurieren drei RADIUS-Server so, dass der Router oder Switch dreimal versucht, jeden Server zu kontaktieren. Nehmen Sie weiter an, dass bei jedem Wiederholungsversuch eine Zeitüberschreitung des Servers nach 3 Sekunden auftritt. In diesem Szenario beträgt die maximale Zeit, die der RADIUS-Authentifizierungsmethode zur Verfügung steht, bevor CHAP sie als Fehler betrachtet, 27 Sekunden. Wenn Sie dieser Konfiguration weitere RADIUS-Server hinzufügen, werden diese möglicherweise nicht kontaktiert, da der Authentifizierungsprozess möglicherweise abgebrochen wird, bevor diese Server ausprobiert werden.
Junos OS Erzwingt eine Begrenzung für die Anzahl der ständigen Authentifizierungsserveranforderungen, die die CHAP-Authentifizierung gleichzeitig haben kann. Daher kann eine Authentifizierungsservermethode (z. B. RADIUS) einen Client möglicherweise nicht authentifizieren, wenn dieser Grenzwert überschritten wird. Wenn die Authentifizierung fehlschlägt, wird die Authentifizierungssequenz vom Router oder Switch erneut initiiert, bis die Authentifizierung erfolgreich ist und die Verbindung hergestellt ist. Wenn die RADIUS-Server jedoch nicht verfügbar sind und zusätzliche Authentifizierungsmethoden wie oder ebenfalls konfiguriert sind, wird die nächste Authentifizierungsmethode versucht.tacpluspassword
Das folgende Beispiel zeigt, wie Sie konfigurieren und authentifizieren:radiuspassword
[edit system] user@switch# set authentication-order [ radius password ]
Das folgende Beispiel zeigt, wie die Anweisung nach der Anweisung eingefügt wird:tacplusradius
[edit system] user@switch# insert authentication-order tacplus after radius
Das folgende Beispiel zeigt, wie die Anweisung aus der Authentifizierungsreihenfolge gelöscht wird:radius
[edit system] user@switch# delete authentication-order radius
Beispiel: Authentifizierungsreihenfolge konfigurieren
In diesem Beispiel wird gezeigt, wie die Authentifizierungsreihenfolge für die Benutzeranmeldung konfiguriert wird.
Anforderungen
Bevor Sie beginnen, führen Sie die Erstkonfiguration des Geräts durch. Weitere Informationen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät.
Überblick
Sie können die Reihenfolge der Authentifizierungsmethode konfigurieren, die ein Gerät verwendet, um den Benutzerzugriff auf das Gerät zu überprüfen. Bei jedem Anmeldeversuch probiert das Gerät die Authentifizierungsmethoden in der konfigurierten Reihenfolge aus, bis das Kennwort übereinstimmt oder alle Authentifizierungsmethoden ausprobiert wurden. Wenn Sie die Remoteauthentifizierung nicht konfigurieren, werden Benutzer anhand ihrer konfigurierten lokalen Kennwörter überprüft.
In diesem Beispiel wird das Gerät so konfiguriert, dass die Benutzerauthentifizierung zuerst mit RADIUS-Authentifizierungsdiensten, dann mit TACACS+-Authentifizierungsdiensten und schließlich mit lokaler Kennwortauthentifizierung versucht wird.
Wenn Sie die lokale Kennwortauthentifizierung verwenden, müssen Sie für jeden Benutzer, der auf das System zugreifen möchte, ein lokales Benutzerkonto erstellen. Wenn Sie jedoch Remoteauthentifizierungsserver verwenden, können Sie Vorlagenkonten (zu Autorisierungszwecken) erstellen, die von einer Gruppe von Benutzern gemeinsam genutzt werden. Wenn ein Benutzer einem Vorlagenkonto zugewiesen wird, ist der Benutzername der Befehlszeilenschnittstelle (CLI) der Anmeldename. Der Benutzer erbt jedoch die Berechtigungen, den Dateibesitz und die effektive Benutzer-ID vom Vorlagenkonto.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene in die CLI ein, und wechseln Sie dann in den Konfigurationsmodus.[edit]commit
delete system authentication-order set system authentication-order radius insert system authentication-order tacplus after radius insert system authentication-order password after tacplus
GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Authentifizierungsreihenfolge:
-
Wählen Sie in der J-Web-Benutzeroberfläche die Option aus .
Configure>System Properties>User Management -
Klicken Sie auf .
EditDas Dialogfeld "Benutzerverwaltung bearbeiten" wird angezeigt. -
Wählen Sie die Registerkarte aus.
Authentication Method and Order -
Wählen Sie unter Verfügbare Methoden die Authentifizierungsmethode aus, die das Gerät zur Authentifizierung von Benutzern verwenden soll. Verwenden Sie die Pfeilschaltfläche, um das Element in die Liste "Ausgewählte Methoden" zu verschieben. Zu den verfügbaren Methoden gehören:
-
RADIUS
-
TACACS+
-
Lokales Passwort
Wenn Sie mehrere Methoden zur Authentifizierung von Benutzern verwenden möchten, wiederholen Sie diesen Schritt, um die anderen Methoden zur Liste Ausgewählte Methoden hinzuzufügen.
-
-
Verwenden Sie unter Ausgewählte Methoden den Aufwärtspfeil und den Abwärtspfeil, um die Reihenfolge anzugeben, in der das Gerät die Authentifizierungsmethoden ausführen soll.
-
Klicken Sie auf diese Schaltfläche , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
OK -
Nachdem Sie das Gerät konfiguriert haben, klicken Sie auf .
Commit Options>Commit
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Authentifizierungsreihenfolge:
-
Löschen Sie alle vorhandenen Anweisungen.
authentication-order[edit] user@host# delete system authentication-order
-
Fügen Sie der Authentifizierungsreihenfolge die RADIUS-Authentifizierung hinzu.
[edit] user@host# set system authentication-order radius
-
Fügen Sie der Authentifizierungsreihenfolge die TACACS+-Authentifizierung hinzu.
[edit] user@host# insert system authentication-order tacplus after radius
-
Fügen Sie der Authentifizierungsreihenfolge die lokale Kennwortauthentifizierung hinzu.
[edit] user@host# insert system authentication-order password after tacplus
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show system authentication-order Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show system authentication-order authentication-order [ radius tacplus password ];
Nachdem Sie das Gerät konfiguriert haben, wechseln Sie in den Konfigurationsmodus.commit
Um die RADIUS- oder TACACS+-Authentifizierung vollständig einzurichten , müssen Sie mindestens einen RADIUS- oder TACACS+-Server konfigurieren und Benutzerkonten oder Benutzervorlagenkonten erstellen.
-
Konfigurieren Sie einen RADIUS-Server. Siehe .Beispiel: Konfigurieren eines RADIUS-Servers für die Systemauthentifizierung
-
Konfigurieren Sie einen TACACS+-Server. Siehe .Beispiel: Konfigurieren eines TACACS+-Servers für die Systemauthentifizierung
-
Konfigurieren Sie einen Benutzer. Siehe .Beispiel: Neue Benutzerkonten konfigurieren
-
Konfigurieren Sie Vorlagenkonten. Siehe .Beispiel: Vorlagenkonten erstellen
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Konfiguration der Authentifizierungsreihenfolge
Zweck
Stellen Sie sicher, dass das Gerät die Authentifizierungsmethoden in der konfigurierten Reihenfolge verwendet.
Was
Erstellen Sie einen Testbenutzer, der für jede Authentifizierungsmethode ein anderes Kennwort hat. Melden Sie sich mit den verschiedenen Passwörtern am Gerät an. Stellen Sie sicher, dass das Gerät nachfolgende Authentifizierungsmethoden abfragt, wenn die vorherigen Methoden das Kennwort ablehnen oder nicht antworten.
Alternativ können Sie in einer Testumgebung die Konfiguration des Authentifizierungsservers oder die Konfiguration des lokalen Benutzerkontos (oder beides) deaktivieren, um die einzelnen Authentifizierungsmethoden zu testen. Um beispielsweise den TACACS+-Server zu testen, können Sie die RADIUS-Serverkonfiguration und das lokale Konto des Benutzers deaktivieren. Wenn Sie jedoch das lokale Konto des Benutzers deaktivieren, müssen Sie sicherstellen, dass der Benutzer weiterhin einem lokalen Benutzervorlagenkonto zugeordnet ist, z. B. der Benutzervorlage.remote
Beispiel: Konfigurieren der Systemauthentifizierung für RADIUS-, TACACS+- und Kennwortauthentifizierung
Das folgende Beispiel zeigt, wie die Systemauthentifizierung für RADIUS, TACACS+ und die Kennwortauthentifizierung auf einem Gerät mit Junos OS konfiguriert wird.
In diesem Beispiel können sich nur der Benutzer Philip und Benutzer, die von einem RADIUS-Server authentifiziert wurden, anmelden. Wenn sich ein Benutzer anmeldet und nicht vom RADIUS-Server authentifiziert wird, wird ihm der Zugriff auf den Router oder Switch verweigert. Wenn der RADIUS-Server nicht verfügbar ist, wird der Benutzer mit der Authentifizierungsmethode authentifiziert und erhält Zugriff auf den Router oder Switch.password Weitere Informationen zur Kennwortauthentifizierungsmethode finden Sie unter .Übersicht über die Authentifizierungsreihenfolge
Wenn Philip versucht, sich beim System anzumelden und der RADIUS-Server ihn authentifiziert, erhält er Zugriff und Berechtigungen für die Klasse.super-user Lokale Konten sind nicht für andere Benutzer konfiguriert. Wenn sie sich beim System anmelden und der RADIUS-Server sie authentifiziert, erhalten sie Zugriff mit derselben Benutzer-ID (UID) 9999 und den Berechtigungen, die der Klasse zugeordnet sind.operator
[edit]
system {
authentication-order radius;
login {
user philip {
full-name "Philip";
uid 1001;
class super-user;
}
user remote {
full-name "All remote users";
uid 9999;
class operator;
}
}
}
Zu Autorisierungszwecken können Sie ein Vorlagenkonto verwenden, um ein einzelnes Konto zu erstellen, das von einer Gruppe von Benutzern gleichzeitig gemeinsam genutzt werden kann. Wenn Sie z. B. ein Remotevorlagenkonto erstellen, kann eine Gruppe von Remotebenutzern gleichzeitig eine einzelne UID gemeinsam nutzen. Weitere Informationen zu Vorlagenkonten finden Sie unter .Beispiel: Authentifizierungsreihenfolge konfigurieren
Wenn sich ein Benutzer bei einem Gerät anmeldet, verwendet der RADIUS- oder TACACS+-Server den Anmeldenamen des Benutzers zur Authentifizierung. Wenn der Authentifizierungsserver den Benutzer erfolgreich authentifiziert und der Benutzer nicht auf Hierarchieebene konfiguriert ist, ist dies das Ergebnis:[edit system login user] Das Gerät verwendet das standardmäßige Remotevorlagenbenutzerkonto für den Benutzer, sofern ein Remotevorlagenkonto auf Hierarchieebene konfiguriert ist.edit system login user remote Das Remote-Vorlagenkonto dient als Standardvorlagenbenutzerkonto für alle Benutzer, die vom Authentifizierungsserver authentifiziert werden, aber kein lokal konfiguriertes Benutzerkonto auf dem Gerät haben. Diese Benutzer verwenden dieselbe Anmeldeklasse und UID.
Um einen alternativen Vorlagenbenutzer zu konfigurieren, geben Sie den Parameter an, der im Antwortpaket für die RADIUS-Authentifizierung zurückgegeben wird.user-name Nicht auf allen RADIUS-Servern können Sie diesen Parameter ändern. Im Folgenden sehen Sie ein Beispiel für eine Junos OS-Konfiguration:
[edit]
system {
authentication-order radius;
login {
user philip {
full-name "Philip";
uid 1001;
class super-user;
}
user operator {
full-name "All operators";
uid 9990;
class operator;
}
user remote {
full-name "All remote users";
uid 9999;
class read-only;
}
}
}
Angenommen, Ihr RADIUS-Server ist mit den folgenden Informationen konfiguriert:
Benutzer Philip mit dem Passwort "olympia"
Benutzer Alexander mit Passwort "bucephalus" und Benutzername "operator"
Benutzer Darius mit Passwort "redhead" und Benutzername "operator"
Benutzer Roxane mit Passwort "athena"
Philip würde den Zugriff als Superuser () erhalten, da er ein eindeutiges, lokales Benutzerkonto hat.super-user Alexander und Darius teilen sich die UID 9990 und haben als Betreiber Zugriff. Roxane hat keine Template-User-Überschreibung und teilt daher den Zugriff mit allen anderen Remote-Benutzern, wobei sie schreibgeschützten Zugriff erhält.