Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Authentifizierungsreihenfolge für RADIUS, TACACS+ und lokales Kennwort

Junos OS unterstützt verschiedene Authentifizierungsmethoden, einschließlich lokaler Kennwortauthentifizierung, RADIUS und TACACS+, um den Zugriff auf das Netzwerk zu steuern.

Wenn Sie ein Gerät so konfigurieren, dass es mehrere Authentifizierungsmethoden unterstützt, können Sie die Reihenfolge, in der das Gerät die verschiedenen Methoden ausprobiert, priorisieren. In diesem Thema wird erläutert, wie die Authentifizierungsreihenfolge funktioniert und wie sie auf einem Gerät konfiguriert wird.

Übersicht über die Authentifizierungsreihenfolge

Sie (der Netzwerkadministrator) können die authentication-order Anweisung so konfigurieren, dass die Reihenfolge, in der Junos OS verschiedene Authentifizierungsmethoden ausprobiert werden, um den Benutzerzugriff auf einen Router oder Switch zu überprüfen, priorisiert wird. Wenn Sie keine Authentifizierungsreihenfolge festlegen, werden Benutzer standardmäßig Junos OS anhand ihrer konfigurierten lokalen Kennwörter überprüft.

Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst , die Server jedoch nicht auf eine Anforderung antworten, Junos OS wird standardmäßig immer als letzter Ausweg die lokale Kennwortauthentifizierung versucht.

Wenn die Authentifizierungsreihenfolge RADIUS- oder TACACS+-Server umfasst , die Server die Anforderung jedoch ablehnen, ist die Verarbeitung der Anforderung komplizierter.

  • Wenn password (lokale Kennwortauthentifizierung) am Ende der Authentifizierungsreihenfolge enthalten ist und die Remoteauthentifizierungsserver die Authentifizierungsanforderung ablehnen, versucht das Gerät, sich mit dem lokalen Kennwort zu authentifizieren.

  • Wenn password (lokale Kennwortauthentifizierung) nicht in der Authentifizierungsreihenfolge enthalten ist und die Remoteauthentifizierungsserver die Authentifizierungsanforderung ablehnen, endet die Anforderung mit der Ablehnung.

Daher muss das Gerät als endgültige Authentifizierungsreihenfolge die Option enthalten password , dass das Gerät versuchen kann, eine lokale Kennwortauthentifizierung zu versuchen, falls die Remoteauthentifizierungsserver die Anforderung ablehnen.

Wenn die Authentifizierungsreihenfolge auf authentication-order passwordfestgelegt ist, verwendet das Gerät nur die lokale Kennwortauthentifizierung.

Verwenden der Remoteauthentifizierung

Sie können Junos OS als RADIUS- oder TACACS+-Authentifizierungsclient (oder eine Kombination) konfigurieren.

Wenn eine in der Anweisung enthaltene authentication-order Authentifizierungsmethode nicht verfügbar ist oder wenn die Authentifizierungsmethode verfügbar ist, der entsprechende Authentifizierungsserver jedoch eine Reject-Antwort zurückgibt, Junos OS wird die nächste in der authentication-order Anweisung enthaltene Authentifizierungsmethode versucht.

Die RADIUS- oder TACACS+-Serverauthentifizierung kann aus einem oder mehreren der folgenden Gründe fehlschlagen:

  • Die Authentifizierungsmethode ist konfiguriert, die entsprechenden Authentifizierungsserver sind jedoch nicht konfiguriert. Beispielsweise sind die Authentifizierungsmethoden RADIUS und TACACS+ in der authentication-order Anweisung enthalten, aber die entsprechenden RADIUS- oder TACACS+-Server sind auf den jeweiligen [edit system radius-server] und [edit system tacplus-server] Hierarchieebenen nicht konfiguriert.

  • Der Authentifizierungsserver antwortet nicht vor dem konfigurierten Timeout-Wert für diesen Server oder vor dem Standard-Timeout, wenn kein Timeout konfiguriert ist.

  • Der Authentifizierungsserver ist aufgrund eines Netzwerkproblems nicht erreichbar.

Der Authentifizierungsserver gibt möglicherweise aus einem oder beiden der folgenden Gründe eine Ablehnungsantwort zurück:

  • Das Benutzerprofil eines Benutzers, der auf einen Router oder Switch zugreift, ist auf dem Authentifizierungsserver nicht konfiguriert.

  • Der Benutzer gibt falsche Anmeldeinformationen ein.

So verwenden Sie die lokale Passwortauthentifizierung

Sie können die password Authentifizierungsmethode in der authentication-order Anweisung explizit konfigurieren oder diese Methode als Fallbackmechanismus verwenden, wenn Remoteauthentifizierungsserver ausfallen. Die password Authentifizierungsmethode konsultiert die lokalen Benutzerprofile, die auf Hierarchieebene [edit system login] konfiguriert sind. Benutzer können sich in den folgenden Szenarien mit ihrem lokalen Benutzernamen und Kennwort bei einem Router oder Switch anmelden:

  • Die Kennwortauthentifizierungsmethode (password) wird explizit als eine der Authentifizierungsmethoden in der authentication-order Anweisung konfiguriert.

    In diesem Fall versucht das Gerät, eine lokale Kennwortauthentifizierung durchzuführen, wenn keine vorherige Authentifizierungsmethode die Anmeldeinformationen akzeptiert. Dies gilt unabhängig davon, ob die vorherigen Authentifizierungsmethoden nicht antworten oder aufgrund eines falschen Benutzernamens oder Kennworts eine Ablehnungsantwort zurückgeben.

  • Die Kennwortauthentifizierungsmethode wird nicht explizit als eine der Authentifizierungsmethoden in der authentication-order Anweisung konfiguriert.

    In diesem Fall versucht das Betriebssystem nur, eine lokale Kennwortauthentifizierung durchzuführen, wenn alle konfigurierten Authentifizierungsmethoden nicht reagieren. Das Betriebssystem verwendet keine lokale Kennwortauthentifizierung, wenn eine konfigurierte Authentifizierungsmethode aufgrund eines falschen Benutzernamens oder Kennworts eine Ablehnungsantwort zurückgibt.

Reihenfolge der Authentifizierungsversuche

Tabelle 1 beschreibt, wie die authentication-order Anweisung auf Hierarchieebene [edit system] das Verfahren bestimmt, das Junos OS verwendet, um Benutzer für den Zugriff auf ein Gerät zu authentifizieren.

Tabelle 1: Reihenfolge der Authentifizierungsversuche

Syntax

Reihenfolge der Authentifizierungsversuche

authentication-order radius;

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn ein RADIUS-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

  4. Wenn keine RADIUS-Server verfügbar sind, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order [ radius password ];

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die RADIUS-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit der lokalen Kennwortauthentifizierung, da diese explizit in der Authentifizierungsreihenfolge konfiguriert ist.

authentication-order [ radius tacplus ];

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die RADIUS-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit konfigurierten TACACS+-Servern.

  4. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  5. Wenn ein TACACS+-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

authentication-order [ radius tacplus password ];

  1. Probieren Sie konfigurierte RADIUS-Authentifizierungsserver aus.

  2. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die RADIUS-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit konfigurierten TACACS+-Servern.

  4. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  5. Wenn die TACACS+-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit der lokalen Kennwortauthentifizierung, da diese explizit in der Authentifizierungsreihenfolge konfiguriert ist.

authentication-order tacplus;

  1. Probieren Sie konfigurierte TACACS+-Authentifizierungsserver aus.

  2. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  3. Wenn ein TACACS+-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

  4. Wenn keine TACACS+-Server verfügbar sind, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order [ tacplus password ];

  1. Probieren Sie konfigurierte TACACS+-Authentifizierungsserver aus.

  2. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  3. Wenn die TACACS+-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit der lokalen Kennwortauthentifizierung, da diese explizit in der Authentifizierungsreihenfolge konfiguriert ist.

authentication-order [ tacplus radius ];

  1. Probieren Sie konfigurierte TACACS+-Authentifizierungsserver aus.

  2. Wenn ein TACACS+-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie den Zugriff.

  3. Wenn die TACACS+-Server nicht antworten oder die Server eine Ablehnungsantwort zurückgeben, versuchen Sie es mit konfigurierten RADIUS-Servern.

  4. Wenn ein RADIUS-Server verfügbar ist und die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  5. Wenn ein RADIUS-Server verfügbar ist, die Authentifizierung jedoch abgelehnt wird, verweigern Sie den Zugriff.

  6. Wenn keine TACACS+- oder RADIUS-Server verfügbar sind, versuchen Sie es mit der lokalen Kennwortauthentifizierung.

authentication-order password;

  1. Versuchen Sie, den Benutzer mit dem auf Hierarchieebene [edit system login] konfigurierten Kennwort zu authentifizieren.

  2. Wenn die Authentifizierung akzeptiert wird, gewähren Sie Zugriff.

  3. Wenn die Authentifizierung abgelehnt wird, verweigern Sie den Zugriff.
HINWEIS:

Wenn öffentliche SSH-Schlüssel konfiguriert sind, versucht die SSH-Benutzerauthentifizierung zunächst, eine Authentifizierung mit öffentlichem Schlüssel durchzuführen, bevor die in der authentication-order Anweisung konfigurierten Authentifizierungsmethoden verwendet werden. Wenn Sie möchten, dass SSH-Anmeldungen die in der authentication-order Anweisung konfigurierten Authentifizierungsmethoden verwenden, ohne zuerst zu versuchen, eine Authentifizierung mit öffentlichem Schlüssel durchzuführen, konfigurieren Sie keine öffentlichen SSH-Schlüssel.

Konfigurieren der Authentifizierungsreihenfolge für RADIUS, TACACS+ und lokale Kennwortauthentifizierung

Mit der authentication-order Anweisung können Sie die Reihenfolge priorisieren, in der Junos OS die verschiedenen Authentifizierungsmethoden bei der Überprüfung des Benutzerzugriffs auf einen Router oder Switch ausprobiert werden. Wenn Sie keine Authentifizierungsreihenfolge festlegen, werden Benutzer standardmäßig anhand ihrer lokal konfigurierten Kennwörter überprüft.

Wenn Sie ein Kennwort mit Nur-Text konfigurieren und sich darauf verlassen Junos OS , dass es verschlüsselt wird, senden Sie das Kennwort weiterhin im Klartext über das Internet. Die Verwendung vorverschlüsselter Passwörter ist sicherer, da der Klartext des Passworts nie über das Internet gesendet werden muss. Außerdem kann bei Kennwörtern jeweils nur ein Benutzer einem Kennwort zugewiesen werden.

Auf der anderen Seite verschlüsseln RADIUS und TACACS+ Passwörter. Mit diesen Authentifizierungsmethoden können Sie eine Reihe von Benutzern gleichzeitig zuweisen, anstatt Benutzer einzeln zuzuweisen. Aber hier ist, wie sich diese Authentifizierungssysteme unterscheiden:

  • RADIUS verwendet UDP; TACACS+ verwendet TCP.

  • RADIUS verschlüsselt nur das Kennwort während der Übertragung, während TACACS+ die gesamte Sitzung verschlüsselt.

  • RADIUS kombiniert Authentifizierung (Gerät) und Autorisierung (Benutzer), während TACACS+ Authentifizierung, Autorisierung und Verantwortlichkeit trennt.

Kurz gesagt, TACACS+ ist sicherer als RADIUS. RADIUS bietet jedoch eine bessere Leistung und ist interoperabler. RADIUS wird weitgehend unterstützt, während TACACS+ ein proprietäres Produkt von Cisco ist und außerhalb von Cisco nicht weit verbreitet ist.

Sie können die Authentifizierungsreihenfolge basierend auf Ihrem System, seinen Einschränkungen sowie Ihrer IT-Richtlinie und Ihren betrieblichen Einstellungen konfigurieren.

Um die Authentifizierungsreihenfolge zu konfigurieren, fügen Sie die authentication-order Anweisung auf Hierarchieebene [edit system] ein.

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.

Im Folgenden sind die möglichen Optionen für die Eingabe von Authentifizierungsreihenfolgen aufgeführt:

  • radius– Verifizieren Sie den Benutzer mithilfe von RADIUS-Authentifizierungsservern.

  • tacplus– Verifizieren Sie den Benutzer mithilfe von TACACS+-Authentifizierungsservern.

  • password– Verifizieren Sie den Benutzer mit dem Benutzernamen und dem Kennwort, die lokal in der Authentifizierungsanweisung auf Hierarchieebene [edit system login user] konfiguriert sind.

Die CHAP-Authentifizierungssequenz (Challenge Handshake Authentication Protocol) darf nicht länger als 30 Sekunden dauern. Wenn die Authentifizierung eines Clients länger als 30 Sekunden dauert, wird die Authentifizierung abgebrochen und eine neue Sequenz eingeleitet.

Angenommen, Sie konfigurieren drei RADIUS-Server so, dass der Router oder Switch dreimal versucht, jeden Server zu kontaktieren. Nehmen Sie weiter an, dass bei jedem Wiederholungsversuch eine Zeitüberschreitung des Servers nach 3 Sekunden auftritt. In diesem Szenario beträgt die maximale Zeit, die der RADIUS-Authentifizierungsmethode zur Verfügung steht, bevor CHAP sie als Fehler betrachtet, 27 Sekunden. Wenn Sie dieser Konfiguration weitere RADIUS-Server hinzufügen, werden diese möglicherweise nicht kontaktiert, da der Authentifizierungsprozess möglicherweise abgebrochen wird, bevor diese Server ausprobiert werden.

Junos OS Erzwingt eine Begrenzung für die Anzahl der ständigen Authentifizierungsserveranforderungen, die die CHAP-Authentifizierung gleichzeitig haben kann. Daher kann eine Authentifizierungsservermethode (z. B. RADIUS) einen Client möglicherweise nicht authentifizieren, wenn dieser Grenzwert überschritten wird. Wenn die Authentifizierung fehlschlägt, wird die Authentifizierungssequenz vom Router oder Switch erneut initiiert, bis die Authentifizierung erfolgreich ist und die Verbindung hergestellt ist. Wenn die RADIUS-Server jedoch nicht verfügbar sind und zusätzliche Authentifizierungsmethoden wie tacplus oder password ebenfalls konfiguriert sind, wird die nächste Authentifizierungsmethode versucht.

Das folgende Beispiel zeigt, wie Sie konfigurieren radius und password authentifizieren:

Das folgende Beispiel zeigt, wie die tacplus Anweisung nach der radius Anweisung eingefügt wird:

Das folgende Beispiel zeigt, wie die radius Anweisung aus der Authentifizierungsreihenfolge gelöscht wird:

Beispiel: Authentifizierungsreihenfolge konfigurieren

In diesem Beispiel wird gezeigt, wie die Authentifizierungsreihenfolge für die Benutzeranmeldung konfiguriert wird.

Anforderungen

Bevor Sie beginnen, führen Sie die Erstkonfiguration des Geräts durch. Weitere Informationen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät.

Überblick

Sie können die Reihenfolge der Authentifizierungsmethode konfigurieren, die ein Gerät verwendet, um den Benutzerzugriff auf das Gerät zu überprüfen. Bei jedem Anmeldeversuch probiert das Gerät die Authentifizierungsmethoden in der konfigurierten Reihenfolge aus, bis das Kennwort übereinstimmt oder alle Authentifizierungsmethoden ausprobiert wurden. Wenn Sie die Remoteauthentifizierung nicht konfigurieren, werden Benutzer anhand ihrer konfigurierten lokalen Kennwörter überprüft.

In diesem Beispiel wird das Gerät so konfiguriert, dass die Benutzerauthentifizierung zuerst mit RADIUS-Authentifizierungsdiensten, dann mit TACACS+-Authentifizierungsdiensten und schließlich mit lokaler Kennwortauthentifizierung versucht wird.

Wenn Sie die lokale Kennwortauthentifizierung verwenden, müssen Sie für jeden Benutzer, der auf das System zugreifen möchte, ein lokales Benutzerkonto erstellen. Wenn Sie jedoch Remoteauthentifizierungsserver verwenden, können Sie Vorlagenkonten (zu Autorisierungszwecken) erstellen, die von einer Gruppe von Benutzern gemeinsam genutzt werden. Wenn ein Benutzer einem Vorlagenkonto zugewiesen wird, ist der Benutzername der Befehlszeilenschnittstelle (CLI) der Anmeldename. Der Benutzer erbt jedoch die Berechtigungen, den Dateibesitz und die effektive Benutzer-ID vom Vorlagenkonto.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Authentifizierungsreihenfolge:

  1. Wählen Sie in der J-Web-Benutzeroberfläche die Option aus Configure>System Properties>User Management.

  2. Klicken Sie auf Edit. Das Dialogfeld "Benutzerverwaltung bearbeiten" wird angezeigt.

  3. Wählen Sie die Authentication Method and Order Registerkarte aus.

  4. Wählen Sie unter Verfügbare Methoden die Authentifizierungsmethode aus, die das Gerät zur Authentifizierung von Benutzern verwenden soll. Verwenden Sie die Pfeilschaltfläche, um das Element in die Liste "Ausgewählte Methoden" zu verschieben. Zu den verfügbaren Methoden gehören:

    • RADIUS

    • TACACS+

    • Lokales Passwort

    Wenn Sie mehrere Methoden zur Authentifizierung von Benutzern verwenden möchten, wiederholen Sie diesen Schritt, um die anderen Methoden zur Liste Ausgewählte Methoden hinzuzufügen.

  5. Verwenden Sie unter Ausgewählte Methoden den Aufwärtspfeil und den Abwärtspfeil, um die Reihenfolge anzugeben, in der das Gerät die Authentifizierungsmethoden ausführen soll.

  6. Klicken Sie auf diese Schaltfläche OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.

  7. Nachdem Sie das Gerät konfiguriert haben, klicken Sie auf Commit Options>Commit.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Authentifizierungsreihenfolge:

  1. Löschen Sie alle vorhandenen authentication-order Anweisungen.

  2. Fügen Sie der Authentifizierungsreihenfolge die RADIUS-Authentifizierung hinzu.

  3. Fügen Sie der Authentifizierungsreihenfolge die TACACS+-Authentifizierung hinzu.

  4. Fügen Sie der Authentifizierungsreihenfolge die lokale Kennwortauthentifizierung hinzu.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system authentication-order Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.

HINWEIS:

Um die RADIUS- oder TACACS+-Authentifizierung vollständig einzurichten , müssen Sie mindestens einen RADIUS- oder TACACS+-Server konfigurieren und Benutzerkonten oder Benutzervorlagenkonten erstellen.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Konfiguration der Authentifizierungsreihenfolge

Zweck

Stellen Sie sicher, dass das Gerät die Authentifizierungsmethoden in der konfigurierten Reihenfolge verwendet.

Action!

Erstellen Sie einen Testbenutzer, der für jede Authentifizierungsmethode ein anderes Kennwort hat. Melden Sie sich mit den verschiedenen Passwörtern am Gerät an. Stellen Sie sicher, dass das Gerät nachfolgende Authentifizierungsmethoden abfragt, wenn die vorherigen Methoden das Kennwort ablehnen oder nicht antworten.

Alternativ können Sie in einer Testumgebung die Konfiguration des Authentifizierungsservers oder die Konfiguration des lokalen Benutzerkontos (oder beides) deaktivieren, um die einzelnen Authentifizierungsmethoden zu testen. Um beispielsweise den TACACS+-Server zu testen, können Sie die RADIUS-Serverkonfiguration und das lokale Konto des Benutzers deaktivieren. Wenn Sie jedoch das lokale Konto des Benutzers deaktivieren, müssen Sie sicherstellen, dass der Benutzer weiterhin einem lokalen Benutzervorlagenkonto zugeordnet ist, z. B. der remote Benutzervorlage.

Beispiel: Konfigurieren der Systemauthentifizierung für RADIUS-, TACACS+- und Kennwortauthentifizierung

Das folgende Beispiel zeigt, wie die Systemauthentifizierung für RADIUS, TACACS+ und die Kennwortauthentifizierung auf einem Gerät mit Junos OS konfiguriert wird.

In diesem Beispiel können sich nur der Benutzer Philip und Benutzer, die von einem RADIUS-Server authentifiziert wurden, anmelden. Wenn sich ein Benutzer anmeldet und nicht vom RADIUS-Server authentifiziert wird, wird ihm der Zugriff auf den Router oder Switch verweigert. Wenn der RADIUS-Server nicht verfügbar ist, wird der Benutzer mit der password Authentifizierungsmethode authentifiziert und erhält Zugriff auf den Router oder Switch. Weitere Informationen zur Kennwortauthentifizierungsmethode finden Sie unter Übersicht über die Authentifizierungsreihenfolge.

Wenn Philip versucht, sich beim System anzumelden und der RADIUS-Server ihn authentifiziert, erhält er Zugriff und Berechtigungen für die super-user Klasse. Lokale Konten sind nicht für andere Benutzer konfiguriert. Wenn sie sich beim System anmelden und der RADIUS-Server sie authentifiziert, erhalten sie Zugriff mit derselben Benutzer-ID (UID) 9999 und den Berechtigungen, die der operator Klasse zugeordnet sind.

HINWEIS:

Zu Autorisierungszwecken können Sie ein Vorlagenkonto verwenden, um ein einzelnes Konto zu erstellen, das von einer Gruppe von Benutzern gleichzeitig gemeinsam genutzt werden kann. Wenn Sie z. B. ein Remotevorlagenkonto erstellen, kann eine Gruppe von Remotebenutzern gleichzeitig eine einzelne UID gemeinsam nutzen. Weitere Informationen zu Vorlagenkonten finden Sie unter Beispiel: Authentifizierungsreihenfolge konfigurieren.

Wenn sich ein Benutzer bei einem Gerät anmeldet, verwendet der RADIUS- oder TACACS+-Server den Anmeldenamen des Benutzers zur Authentifizierung. Wenn der Authentifizierungsserver den Benutzer erfolgreich authentifiziert und der Benutzer nicht auf Hierarchieebene [edit system login user] konfiguriert ist, ist dies das Ergebnis: Das Gerät verwendet das standardmäßige Remotevorlagenbenutzerkonto für den Benutzer, sofern ein Remotevorlagenkonto auf Hierarchieebene edit system login user remote konfiguriert ist. Das Remote-Vorlagenkonto dient als Standardvorlagenbenutzerkonto für alle Benutzer, die vom Authentifizierungsserver authentifiziert werden, aber kein lokal konfiguriertes Benutzerkonto auf dem Gerät haben. Diese Benutzer verwenden dieselbe Anmeldeklasse und UID.

Um einen alternativen Vorlagenbenutzer zu konfigurieren, geben Sie den Parameter an, der user-name im Antwortpaket für die RADIUS-Authentifizierung zurückgegeben wird. Nicht auf allen RADIUS-Servern können Sie diesen Parameter ändern. Im Folgenden sehen Sie ein Beispiel für eine Junos OS-Konfiguration:

Angenommen, Ihr RADIUS-Server ist mit den folgenden Informationen konfiguriert:

  • Benutzer Philip mit dem Passwort "olympia"

  • Benutzer Alexander mit Passwort "bucephalus" und Benutzername "operator"

  • Benutzer Darius mit Passwort "redhead" und Benutzername "operator"

  • Benutzer Roxane mit Passwort "athena"

Philip würde den Zugriff als Superuser (super-user) erhalten, da er ein eindeutiges, lokales Benutzerkonto hat. Alexander und Darius teilen sich die UID 9990 und haben als Betreiber Zugriff. Roxane hat keine Template-User-Überschreibung und teilt daher den Zugriff mit allen anderen Remote-Benutzern, wobei sie schreibgeschützten Zugriff erhält.