Übersicht über die Benutzerauthentifizierung
Junos OS unterstützt verschiedene Authentifizierungsmethoden, mit denen Sie (der Netzwerkadministrator) den Benutzerzugriff auf das Netzwerk steuern. Zu diesen Methoden gehören lokale Kennwortauthentifizierung, RADIUS und TACACS+. Sie verwenden eine dieser Authentifizierungsmethoden, um Benutzer und Geräte zu validieren, die versuchen, auf den Router oder Switch zuzugreifen, indem Sie SSH und Telnet. Die Authentifizierung verhindert, dass nicht autorisierte Geräte und Benutzer Zugriff auf Ihr LAN erhalten.
Methoden zur Benutzerauthentifizierung
Junos OS unterstützt drei Methoden der Benutzerauthentifizierung: lokale Passwortauthentifizierung, RADIUS und TACACS+.
Bei der lokalen Kennwortauthentifizierung konfigurieren Sie ein Kennwort für jeden Benutzer, der sich am Router oder Switch anmelden darf.
RADIUS und TACACS+ sind Authentifizierungsmethoden zur Validierung von Benutzern, die versuchen, mit einer der Anmeldemethoden auf den Router oder Switch zuzugreifen. Es handelt sich um verteilte Client/Server-Systeme: Die RADIUS- und TACACS+-Clients werden auf dem Router oder Switch ausgeführt, und der Server wird auf einem Remote-Netzwerksystem ausgeführt.
Sie können den Router oder Switch als RADIUS- oder TACACS+-Client oder als eine Kombination davon konfigurieren. Sie können Authentifizierungskennwörter auch in der Konfigurationsdatei des Junos-Betriebssystems konfigurieren. Sie können die Methoden priorisieren, um die Reihenfolge zu konfigurieren, in der die Software die verschiedenen Authentifizierungsmethoden bei der Überprüfung des Benutzerzugriffs ausprobiert.
Konfigurieren lokaler Benutzervorlagenkonten für die Benutzerauthentifizierung
Sie verwenden lokale Benutzervorlagenkonten, um Benutzern, die über einen Remoteauthentifizierungsserver authentifiziert werden, unterschiedliche Anmeldeklassen zuzuweisen und somit unterschiedliche Berechtigungen zu erteilen. Jede Vorlage kann einen anderen Satz von Berechtigungen definieren, der für die Benutzer geeignet ist, die dieser Vorlage zugewiesen sind. Sie definieren die Vorlagen lokal auf dem Router oder Switch, und die TACACS+- und RADIUS-Authentifizierungsserver verweisen auf die Vorlagen. Wenn ein authentifizierter Benutzer einem Vorlagenkonto zugewiesen wird, ist der CLI-Benutzername der Anmeldename, aber der Benutzer erbt die Berechtigungen, den Dateibesitz und die effektive Benutzer-ID vom Vorlagenkonto.
Wenn Sie lokale Benutzervorlagen konfigurieren und sich ein Benutzer anmeldet, sendet Junos OS eine Anforderung an den Authentifizierungsserver, um den Anmeldenamen des Benutzers zu authentifizieren. Wenn der Benutzer authentifiziert ist, gibt der Server den lokalen Benutzernamen an Junos OS zurück ( für TACACS+ und für RADIUS ).local-user-nameJuniper-Local-User-Name Junos OS bestimmt dann, ob für diesen Anmeldenamen ein lokaler Benutzername angegeben ist, und wenn ja, weist Junos OS den Benutzer dieser lokalen Benutzervorlage zu. Wenn für den authentifizierten Benutzer keine lokale Benutzervorlage vorhanden ist, verwendet der Router oder Switch standardmäßig die Vorlage, sofern konfiguriert.remote
Um eine lokale Benutzervorlage zu konfigurieren, definieren Sie den Vorlagenbenutzernamen auf Hierarchieebene .[edit system login] Weisen Sie eine Klasse zu, um die Berechtigungen anzugeben, die Sie den lokalen Benutzern erteilen möchten, für die die Vorlage gilt:
[edit system login]
user local-username {
full-name "Local user account";
uid uid-value;
class class-name;
}
Um der lokalen Benutzervorlage einen Benutzer zuzuweisen, konfigurieren Sie den Remoteauthentifizierungsserver mit dem entsprechenden Parameter ( für TACACS+ und für RADIUS), und geben Sie den Benutzernamen an, der für die lokale Benutzervorlage definiert ist.local-user-nameJuniper-Local-User-Name Um unterschiedliche Zugriffsrechte für Benutzer zu konfigurieren, die das lokale Benutzervorlagenkonto gemeinsam nutzen, können Sie herstellerspezifische Attribute in der Konfigurationsdatei des Authentifizierungsservers verwenden, um bestimmte Befehle und Konfigurationshierarchien für einen Benutzer zuzulassen oder zu verweigern.
In diesem Beispiel werden die Vorlagen und die Benutzervorlagen auf dem lokalen Gerät konfiguriert.salesengineering Die Konfigurationsdatei des TACACS+-Servers weist die Benutzer dann bestimmten Vorlagen zu.
[edit]
system {
login {
user sales {
uid 6003;
class sales-class;
}
user engineering {
uid 6004;
class super-user;
}
}
}
Wenn die Benutzer Simon und Rob authentifiziert sind, wendet der Router oder Switch die lokale Benutzervorlage an.sales Wenn die angemeldeten Benutzer Harold und Jim authentifiziert sind, wendet der Router oder Switch die lokale Benutzervorlage an.engineering
user = simon {
...
service = junos-exec {
local-user-name = sales
allow-commands = "configure"
deny-commands = "shutdown"
}
}
user = rob {
...
service = junos-exec {
local-user-name = sales
allow-commands = "(request system) | (show rip neighbor)"
deny-commands = "clear"
}
}
user = harold {
...
service = junos-exec {
local-user-name = engineering
allow-commands = "monitor | help | show | ping | traceroute"
deny-commands = "configure"
}
}
user = jim {
...
service = junos-exec {
local-user-name = engineering
allow-commands = "show bgp neighbor"
deny-commands = "telnet | ssh"
}
}
Konfigurieren von Remotebenutzervorlagenkonten für die Benutzerauthentifizierung
Das Netzwerkgerät kann remote authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Autorisierung bestimmt. Das Vorlagenkonto ist eine spezielle Benutzervorlage.remote Standardmäßig Junos OS werden dem Vorlagenkonto remote authentifizierte Benutzer zugewiesen, sofern konfiguriert, wenn:remote
-
Für den authentifizierten Benutzer ist auf dem lokalen Gerät kein Benutzerkonto konfiguriert.
-
Der Remoteauthentifizierungsserver weist den Benutzer entweder keiner lokalen Benutzervorlage zu, oder die Vorlage, die der Server zuweist, ist auf dem lokalen Gerät nicht konfiguriert.
Um das Vorlagenkonto zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein, und geben Sie die Anmeldeklasse für Benutzer an, die der Vorlage zugewiesen sind:remoteuser remote[edit system login]remote
[edit system login]
user remote {
full-name "remote users";
uid uid-value;
class class-name;
}
Um unterschiedliche Zugriffsrechte für Benutzer zu konfigurieren, die das Vorlagenkonto gemeinsam nutzen, können Sie herstellerspezifische Attribute in der Konfigurationsdatei des Authentifizierungsservers verwenden, um bestimmte Befehle und Konfigurationshierarchien für einen Benutzer zuzulassen oder zu verweigern.remote
Beispiel: Vorlagenkonten erstellen
In diesem Beispiel wird gezeigt, wie Vorlagenkonten erstellt werden.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Sie können Vorlagenkonten erstellen, die von einer Gruppe von Benutzern gemeinsam genutzt werden, wenn Sie RADIUS oder TACACS+-Authentifizierung verwenden . Wenn ein authentifizierter Benutzer einem Vorlagenkonto zugewiesen wird, ist der CLI-Benutzername der Anmeldename, aber der Benutzer erbt die Berechtigungen, den Dateibesitz und die effektive Benutzer-ID vom Vorlagenkonto.
Standardmäßig werden dem Vorlagenkonto remote authentifizierte Benutzer zugewiesen, Junos OS wenn:remote
-
Für den authentifizierten Benutzer ist auf dem lokalen Gerät kein Benutzerkonto konfiguriert.
-
Der Remoteauthentifizierungsserver weist den Benutzer entweder keiner lokalen Benutzervorlage zu, oder die Vorlage, die der Server zuweist, ist auf dem lokalen Gerät nicht konfiguriert.
In diesem Beispiel erstellen Sie das Vorlagenkonto und legen den Benutzernamen und die Anmeldeklasse für den Benutzer als fest .remoteremoteoperator Das Gerät weist die Vorlage Benutzern zu, die von RADIUS oder TACACS+ authentifiziert wurden, aber kein lokales Benutzerkonto haben oder einem anderen lokalen Vorlagenkonto angehören.remote
Anschließend erstellen Sie ein lokales Vorlagenkonto und legen den Benutzernamen als admin und die Anmeldeklasse als superuser fest. Sie verwenden lokale Vorlagenkonten, wenn Sie remote authentifizierte Benutzer verschiedenen Anmeldeklassen zuweisen müssen. Daher kann jede Vorlage einen anderen Satz von Berechtigungen erteilen, die für die Benutzer geeignet sind, die dieser Benutzervorlage zugewiesen sind.
Konfiguration
Erstellen eines Remotevorlagenkontos
Schritt-für-Schritt-Anleitung
So erstellen Sie das Vorlagenkonto:remote
-
Legen Sie den Benutzernamen und die Anmeldeklasse für den Benutzer fest.
remote[edit system login] user@host# set user remote class operator
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show system login Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show system login
user remote {
class operator;
}
Nachdem Sie das Gerät konfiguriert haben, wechseln Sie in den Konfigurationsmodus.commit
Erstellen eines lokalen Vorlagenkontos
Schritt-für-Schritt-Anleitung
So erstellen Sie ein lokales Vorlagenkonto:
-
Legen Sie den Benutzernamen und die Anmeldeklasse für die Benutzervorlage fest.
[edit system login] user@host# set user admin class superuser
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show system login Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show system login
user admin {
class super-user;
}
Nachdem Sie das Gerät konfiguriert haben, wechseln Sie in den Konfigurationsmodus.commit
Um die RADIUS- oder TACACS+-Authentifizierung vollständig einzurichten , müssen Sie mindestens einen RADIUS- oder TACACS+-Server konfigurieren und eine Systemauthentifizierungsreihenfolge angeben. Weitere Informationen finden Sie in den folgenden Aufgaben:
-
Konfigurieren Sie einen RADIUS-Server. Siehe .Beispiel: Konfigurieren eines RADIUS-Servers für die Systemauthentifizierung
-
Konfigurieren Sie einen TACACS+-Server. Siehe .Beispiel: Konfigurieren eines TACACS+-Servers für die Systemauthentifizierung
-
Konfigurieren Sie die Reihenfolge der Systemauthentifizierung. Siehe .Beispiel: Authentifizierungsreihenfolge konfigurieren
Was sind Remote-Authentifizierungsserver?
Wahrscheinlich verwenden Sie bereits einen oder mehrere Remoteauthentifizierungsserver in Ihrem Netzwerk. Die Verwendung dieser Server ist eine bewährte Methode, da sie es Ihnen ermöglichen, einen konsistenten Satz von Benutzerkonten zentral für alle Geräte in Ihrem Netzwerk zu erstellen. Die Verwaltung von Benutzerkonten ist viel einfacher, wenn Sie Remoteauthentifizierungsserver verwenden, um eine AAA-Lösung (Authentifizierung, Autorisierung und Rechenschaftspflicht) in Ihrem Netzwerk zu implementieren.
Die meisten Unternehmen verwenden eine oder mehrere von drei grundlegenden Remote-Authentifizierungsmethoden: RADIUS und TACACS+. Junos OS unterstützt alle drei Methoden, und Sie können Junos OS so konfigurieren, dass jede Art von Remote-Authentifizierungsserver abgefragt wird. Die Idee hinter einem RADIUS oder TACACS+ Server ist einfach: Jeder fungiert als zentraler Authentifizierungsserver, den Router, Switches, Sicherheitsgeräte und Server verwenden können, um Benutzer zu authentifizieren, wenn sie versuchen, auf diese Systeme zuzugreifen. Denken Sie an die Vorteile, die ein zentrales Benutzerverzeichnis für die Authentifizierungsprüfung und Zugriffskontrolle in einem Client/Server-Modell bietet. Die Authentifizierungsmethoden RADIUS und TACACS+ bieten vergleichbare Vorteile für Ihre Netzwerkinfrastruktur.
Die Verwendung eines zentralen Servers hat mehrere Vorteile gegenüber der Alternative, lokale Benutzer auf jedem Gerät anzulegen, eine zeitaufwändige und fehleranfällige Aufgabe. Ein zentrales Authentifizierungssystem vereinfacht zudem den Einsatz von Einmalpasswortsystemen wie SecureID, die Schutz vor Passwort-Sniffing und Passwort-Replay-Angriffen bieten. Bei solchen Angriffen kann sich jemand mit einem erbeuteten Passwort als Systemadministrator ausgeben.
-
RADIUS: Sie sollten RADIUS verwenden, wenn Ihre Prioritäten Interoperabilität und Leistung sind.
-
Interoperabilität: RADIUS ist interoperabler als TACACS+, was vor allem auf den proprietären Charakter von TACACS+ zurückzuführen ist. Während TACACS+ mehr Protokolle unterstützt, wird RADIUS universell unterstützt.
-
Leistung: RADIUS ist viel schonender für Ihre Router und Switches als TACACS+. Aus diesem Grund bevorzugen Netzwerktechniker im Allgemeinen RADIUS gegenüber TACACS+.
-
-
TACACS+: Sie sollten TACACS+ verwenden, wenn Sicherheit und Flexibilität Ihre Priorität sind.
-
Sicherheit – TACACS+ ist sicherer als RADIUS. Nicht nur die gesamte Sitzung wird verschlüsselt, sondern Autorisierung und Authentifizierung werden separat durchgeführt, um zu verhindern, dass jemand versucht, sich Zugang zu Ihrem Netzwerk zu verschaffen.
-
Flexibilität: TCP (Transmission Control Protocol) ist ein flexibleres Transportprotokoll als UDP. In moderneren Netzwerken können Sie mit TCP mehr erreichen. Darüber hinaus unterstützt TACACS+ mehr Enterprise-Protokolle, wie z. B. NetBIOS.
-