Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

LDAP über TLS-Authentifizierung

Der Junos OS unterstützt die LDAP-über-TLS (LDAPS)-Authentifizierung und -Autorisierung für die Junos OS-Benutzeranmeldung mit TLS-Sicherheit zwischen dem Gerät, auf dem Junos OS ausgeführt wird (d. h. dem LDAPS-Client), und dem LDAPS-Server. Weitere Informationen finden Sie in diesem Thema.

LDAP-Authentifizierung über TLS

Junos OS Überblick über die Benutzerauthentifizierung

Junos OS authentifiziert Benutzer, die sich entweder lokal oder über eine zentralisierte Datenbank anmelden möchten. Lokale Authentifizierung oder Autorisierung ist für Benutzer möglich, deren Benutzername und Kennwort mithilfe des RpCs oder Junos OS CLI konfiguriert wurden. Im Junos OS Release 20.2R1 unterstützt Junos OS LDAP mit LDAP-Unterstützung für die Benutzeranmeldung und gewährleistet die sichere Übertragung von Daten zwischen dem LDAPS-Client und dem LDAPS-Server.

In Versionen vor Junos OS Release 20.2R1 unterstützt Junos OS zentralisierte Benutzerauthentifizierung und -autorisierung über Standard-RADIUS- und TACACS-Protokolle.

Abbildung 1: Zentrale Einrichtung von Authentifizierung, Autorisierung und Abrechnung (AAA)Zentrale Einrichtung von Authentifizierung, Autorisierung und Abrechnung (AAA)

Junos OS unterstützt diese Methoden der Benutzerauthentifizierung:

  • Authentifizierung lokaler Kennwörter

  • LDAP über TLS (LDAPS)

  • RADIUS

  • TACACS+

Vorteile der LDAP-Authentifizierung über TLS

  • Encryption and data integrityLDAPS sorgt dafür, dass die Anmeldeinformationen der Benutzer verschlüsselt werden. Dadurch wird die Vertraulichkeit der Kommunikation gewährleistet. Der Benutzer verschlüsselt die Daten mithilfe des privaten Schlüssels. Nur der Empfänger, der den privaten Schlüssel besitzt, kann die signierten Daten mit dem öffentlichen Schlüssel des Signers entschlüsseln. Auf diese Weise wird die Datenintegrität gewährleistet.

  • Enhanced security— Das TLS-Protokoll sorgt dafür, dass die Daten sicher über das Netzwerk gesendet und empfangen werden. Die TLS nutzt Zertifikate zur Authentifizierung und Verschlüsselung der Kommunikation, die modernste Sicherheit bietet.

  • ScalabilityLDAPS bieten eine höhere Leistung und Skalierbarkeit ohne Einbußen bei der Zuverlässigkeit. Die Anzahl der Benutzer, die mit dieser Funktion unterstützt werden können, ist nicht limitiert, da Benutzer ihre eigenen Zertifikate pflegen. Die Zertifikatsauthentifizierung umfasst nur den Austausch von Daten zwischen Client und Server.

Unterstützte und nicht mehr unterstützte Funktionen

  • Junos OS ldaps nur für die Benutzerauthentifizierung und -autorisierung. Junos OS unterstützt kein Accounting. über LDAPS.

  • Der LDAPS-Client wird implementiert und als Teil der Junos OS. Die Implementierung des LDAPS-Servers auf einem Server Junos OS wird jedoch nicht unterstützt. Stattdessen wird diese Funktion mit dem OpenLdap 2.4.46-Server implementiert.

LDAP-Überblick

Lightweight Directory Access Protocol (LDAP) ist ein Standardanwendungsprotokoll für den Zugriff auf und die Verwaltung von Distributed Directory Information Services über ein Internet Protocol (IP)-Netzwerk. Die Authentifizierung und Autorisierung ist mithilfe der folgenden vielfältigen LDAP-Sicherheitsfunktionen möglich:

  • Suche

  • Abrufen

  • Verzeichnisinhaltsbearbeitung

Transportschicht Security (TLS) – Überblick

TLS ist ein Protokoll auf Anwendungsebene, das Verschlüsselungstechnologie für das Internet bietet. Es ist das am häufigsten verwendete Sicherheitsprotokoll für Anwendungen, bei denen ein sicherer Austausch von Daten über ein Netzwerk erforderlich ist. Dies gilt z. B. für Dateiübertragungen, VPN-Verbindungen, Instant Messaging und VoIP (Voice over IP). TLS stützt sich auf Zertifikate und Exchange-Paare mit privatem und öffentlichem Schlüssel, um die Übertragung von Daten zwischen dem LDAPS-Client und dem LDAPS-Server zu sichern. LDAPS verwendet lokale Zertifikate, die dynamisch von der Junos Public Key Infrastructure (PKI) übernommen werden.

TLS sorgt für eine sichere Übertragung von Daten zwischen einem Client und einem Server und gewährleistet die Vertraulichkeit von Kommunikation, Authentifizierung, Vertraulichkeit und Datenintegrität. Sie können das TLS-Protokoll für den Zertifikatsaustausch, die gegenseitige Authentifizierung und Verschlüsselungshandlung verwenden, um den Stream vor potenziellem Manipulation und ethischem Hacking zu schützen.

Wie die LDAP-Authentifizierung funktioniert

Zur Bereitstellung sicherer LDAPS-Unterstützung für Junos OS Operatoranmeldung werden Benutzeranmeldedaten und -konfigurationen entweder auf dem LDAPS-Server oder in den LDAP-unterstützten Datenbanken gespeichert. Ein LDAPS-Client auf dem Gerät, auf dem Junos OS mit einem konfigurierten LDAPS-Server kommuniziert. Um dies zu erreichen, wird der LDAPS-Client implementiert und in das Gerät integriert, auf dem eine Junos OS.

Abbildung 2 zeigt den LDAPS-Authentifizierungsprozess an.

Abbildung 2: LDAP-AuthentifizierungsprozessLDAP-Authentifizierungsprozess
  1. Ein Remotebenutzer meldet sich über ein Gerät an, Junos OS über SSH, TELNET oder ein anderes Anmeldeprogramm ausgeführt wird.

  2. Der LDAPS-Client (das heißt das Gerät, auf dem Junos OS ausgeführt wird) stellt mithilfe einer TLS-Protokollanforderung eine TCP-Verbindung zum LDAPS-Autorisierungsserver fest.

  3. Nachdem der Client die TLS-Antwort erhalten hat, authentifizieren Client und Server ihre Identitäten.

  4. Der LDAPS-Client authentifiziert sich selbst mithilfe des Proxykontos, das über die Bind-Anforderung ( und ) auf dem LDAPS-Server binddn vorkonfiguriert bindpw ist.

  5. Wenn der Bind-Vorgang erfolgreich ist, sendet der LDAPS-Server eine Bestätigung an den LDAPS-Client.

  6. Der LDAPS-Client sendet dann eine Authentifizierungsanforderung an den LDAPS-Server mit den Anmeldeinformationen des Benutzers, der sich anmelden will.

  7. Nach der erfolgreichen Autorisierung benachrichtigt der LDAPS-Client den Benutzer der erfolgreichen Anmeldung. Die Autorisierungsdaten des Benutzers werden in einer Datei gespeichert, die später zur Erzwingung der Autorisierung verwendet wird.

  8. Der Client schließt die Verbindung mit dem LDAPS-Server.

LDAP-Authentifizierung über TLS konfigurieren

LDAP über TLS (LDAPS) ist eine Methode zur Authentifizierung von Benutzern, die versuchen, auf das Junos OS-Gerät mit TLS-Sicherheit zwischen dem LDAPS-Client und dem LDAPS-Server zu zugreifen. In diesem Thema sind die folgenden Aufgaben enthalten:

Konfigurieren der Reihenfolge der Authentifizierung

Junos OS unterstützt die folgenden Methoden der Benutzerauthentifizierung: Authentifizierung lokaler Kennwörter, LDAP über TLS (LDAPS), RADIUS, TACACS+.

Mithilfe der Anweisung können Sie die Reihenfolge priorisieren, in der Junos OS unterschiedliche Authentifizierungsmethoden verwendet, wenn der Benutzerzugriff auf ein Gerät geprüft wird, auf dem authentication-order Junos OS. Wenn Sie keinen Authentifizierungsauftrag festlegen, werden Benutzer standardmäßig Junos OS anhand ihrer konfigurierten Passwörter überprüft.

Wenn ein Benutzer versucht, sich anzumelden, und wenn die Option konfiguriert ist, werden die Anmeldeinformationen des Benutzers zur Benutzervalidierung an den externen authentication-orderldaps LDAP-Server übergeben.

Um die Authentifizierungsauftrag zu konfigurieren, fügen Sie die authentication-order Anweisung auf der [edit system] Hierarchieebene hinzu:

Zum Beispiel:

Im Folgenden finden Sie die möglichen Authentifizierungsauftragseingabeoptionen:

  • ldaps— Verifizieren Sie den Benutzer mithilfe sicherer LDAP-Authentifizierungsserver.

  • password— Verifizieren Sie den Benutzer mithilfe des lokalen Benutzernamens und Kennworts, indem Sie die authentication-order Aussage auf [edit system login user] Hierarchieebene angeben.

  • radius— Verifizieren Sie den Benutzer mithilfe RADIUS Authentifizierungsserver.

  • tacplus— Verifizieren Sie den Benutzer mithilfe von TACACS+-Authentifizierungsservern.

LDAP-Client konfigurieren

So konfigurieren Sie die LDAP-Authentifizierung auf dem Client:

  1. Konfigurieren Sie eine IPv4- oder IPv6-Serveradresse.

    Konfigurieren Sie beispielsweise die folgende IPv4- oder IPv6-Adresse:

    Die Serveradresse ist eine eindeutige IPv4- oder IPv6-Adresse, die einem bestimmten LDAP-Server zugewiesen und zum Routen von Informationen an den Server verwendet wird.

  2. Konfigurieren Sie den ausgezeichneten Namen der Suchbasis (LDAP-Basis), der die Basis des Benutzerverzeichniss angibt. Jeder Eintrag im Verzeichnis hat einen ausgezeichneten Namen (DN). Der DN ist der Name, der einen Eintrag im Verzeichnis eindeutig identifiziert.

    Wenn die Domäne beispielsweise example.com ist, dann ist die Syntax dc=example, dc=com.

  3. Konfigurieren Sie den ausgezeichneten Namen ( binddn ), um den LDAPS-Client an den LDAPS-Server zu binden.

    Wenn die Domäne beispielsweise example.com ist, ist die Syntax dc=example, dc=com. cn der gemeinsame Name.

  4. Konfigurieren Sie das Kennwort für öffentlichen Schlüssel bindpw (LDAP).

    Wenn Sie das Kennwort beispielsweise als Geheimnis festlegen,

  5. Um LDAPS zu aktivieren, müssen Sie den Namen des lokalen Zertifikats angeben. Informationen zur Konfiguration der lokalen Zertifizierungs- und Zertifizierungsstelle (CA) finden Sie unter Konfigurieren digitaler Zertifikate. Geben Sie den Namen des lokalen Zertifikats an, das für die TLS-Kommunikation verwendet werden soll.

    Sie generieren die lokale digitale Zertifikatsanfrage über request security pki generate-certificate-request. Sign the certificates offline und installieren sie auf dem Gerät request security pki ca-certificate load mit.

    Um beispielsweise den Namen des lokalen Zertifikats als ldap-tls-cert anzugeben:

    Anmerkung:

    Der Zertifikatsname ist der Name des Gekoppelten mit öffentlichem und privatem Schlüssel, das dem lokalen digitalen Zertifikat zugeordnet wurde und das mithilfe von request security pki ca-certificate load

  6. Geben Sie einen Port für den LDAPS-Server an, mit dem der LDAPS-Client eine Verbindung herstellen kann.

    Wenn Sie die Portnummer beispielsweise auf 432 für den LDAPS-Server festlegen möchten,

  7. Standardmäßig werden Junos OS Authentifizierungs- und Autorisierungspakete für LDAP über die Standard-Routinginstanz geroutet. LDAPS unterstützt auch eine Verwaltungsschnittstelle in einer nicht abwehrfreien VRF-Instanz.

    Wenn Sie die Option für die und die Managementschnittstellen-Anweisung konfigurieren, routen die Verwaltungsinstanzen mgmt_junosrouting-instance die , mgmt_junos LDAPS-Pakete.

    Zum Beispiel:

LDAP-Server konfigurieren

Der OpenLDAP-Server ist eine der Open-Source-Implementierungen von LDAP und LDAPS. Mit dem OpenLDAP 2.4.46-Server wurde LDAP über TLS-Authentifizierung und -Autorisierung implementiert.

Anmerkung:

Sie können maximal zwei LDAPS-Server konfigurieren.

So konfigurieren Sie einen typischen OpenLDAP-Server:

  1. Definieren Sie Attributtypen für LDAP-Benutzerautorisierungsparameter in der Schemadatei des LDAP-Servers.

    Bei einem typischen OpenLDAP-Server kann das Attribut Teil nis.schema von:

  2. Fügen Sie die als Teil von Schritt 1 definierte Schemadatei in die Konfigurationsdatei des LDAP-Servers ein. Auf einem typischen OpenLDAP-Server können Sie die Definitionen zum LDAP-Server laden, indem Sie Attribute in der Datei definieren und die nis.schemanis.schema Schemadatei in die Datei slapd.conf einführen.
  3. Konfigurieren Sie die Benutzerautorisierungsparameter in einer LDAP-LDIF-Datei (Data Interchange Format).

    Zum Beispiel:

  4. Laden Sie die Benutzerkonfiguration auf einem ausgeführten LDAP-Server. In einer typischen OpenLDAP-Einrichtung können Sie die LDIF-Datei mit folgendem Befehl laden:

Nachdem Sie die vorherigen Schritte abgeschlossen haben, kann sich jeder Client mit dem in der LDIF-Datei angegebenen Benutzernamen und Passwort anmelden.

TLS-Parameter konfigurieren

Das TLS-Protokoll sorgt dafür, dass Daten sicher über das Netzwerk gesendet und empfangen werden. TLS nutzt Zertifikate zur Authentifizierung und Verschlüsselung der Kommunikation. Der Client authentifiziert den Server durch Anfordern des Zertifikats und des öffentlichen Schlüssels. Optional kann der Server auch ein Zertifikat vom Client anfordern, um eine gegenseitige Authentifizierung zu gewährleisten.

Damit der TLS-Handshake erfolgreich ist, muss der Client über das Profil der Server certificate Authority (CA) verfügen, um das Serverzertifikat zu validieren. Möglicherweise verfügen die Client-Clients auf dem Server nicht CA den Einstellungen. Wenn der Server jedoch ein Client-Zertifikat anspricht, muss der Server über den Client-CA verfügen, um das Zertifikat zu validieren. Später werden der öffentliche Schlüssel zur Verschlüsselung und der private Schlüssel zur Entschlüsselung der Daten verwendet.

Das CA-Profil definiert alle Parameter, die mit einem bestimmten Zertifikat verbunden sind, um die sichere Verbindung zwischen zwei Endgeräten herzustellen. Weitere Informationen zur Konfiguration von CA-Profilen finden Sie unter Certificate Authority.

Zur Konfiguration von TLS-Parametern müssen Sie die folgenden Aufgaben ausführen:

  • Konfigurieren Sie Traceoptions für die Security Public Key Infrastructure (PKI).

  • Erstellen Sie ein CA Profil.

  • Erstellen Sie eine Prüfung zur Abnschaffung des Zertifikats, um eine Methode zur Prüfung der Abschaffung des Zertifikats festzulegen.

  1. Konfigurieren Sie PKI-Traceoptions, wenn Sie Silbenmeldungen von der PKI abrufen möchten.
    • Um syslog-Meldungen aus der TLS-Zertifikatsvalidierung während des ersten Handshakes nachverfolgungen zu können:

    • Um die Ausgabe der Syslog-Nachrichten in eine Datei zu verfolgen:

      Sie können die Ausgabe beispielsweise in die Datei ldap_pki verfolgen:

  2. Erstellen Sie ein CA, um das Serverzertifikat zu validieren.

    Ein Root-Zertifikat wird von einem vertrauenswürdigen Unternehmen CA. Eine erste CA ist die CA zwischen den root-CA und den End-Entity-Zertifikaten. Die Root-CA sind selbst signiert und unterzeichnen alle zertifizierungsbasierten Zertifizierungsbehörden unmittelbar darunter. Diese CAs wiederum unterzeichnen die unten stehenden Einheiten, entweder zusätzliche Zertifizierungs-CAs oder die ultimativen Zertifikate der End-Entity.

    So erstellen Sie eine CA:

    So schaffen Sie eine CA:

  3. Erstellen Sie eine Prüfung zur Abnschaffung des Zertifikats, um eine Methode zur Prüfung der Abschaffung des Zertifikats festzulegen.

Konfiguration von Systemverwaltungsparametern für LDAPS-Authentifizierung

Als Teil dieser Konfiguration erstellen Sie administrative Parameter für LDAP-authentifizierte Benutzer.

Sie können ldapS-authentifizierten Benutzern verschiedene Benutzervorlagen und Anmeldeklassen zuweisen. Auf diese Weise können über LDAPS authentifizierte Benutzer verschiedene administrative Berechtigungen auf dem Gerät erhalten, auf dem eine Junos OS. Standardmäßig verwenden LDAPS-authentifizierte Benutzer die Benutzervorlage, wenn sie konfiguriert ist, und den LDAPS-authentifizierten Benutzern werden der in der Benutzervorlage angegebenen Klasse die remote LDAPS-authentifizierten Benutzer remote zugewiesen.

Der Benutzername remote ist ein besonderer Fall für Junos OS. Sie fungiert als Vorlage für Benutzer, die von einem Remoteserver authentifiziert wurden, aber nicht über ein lokal konfiguriertes Benutzerkonto auf dem Gerät verfügen. Bei dieser Methode wendet Junos OS den Benutzern ohne ein lokal definiertes Konto die Berechtigungen der Remotevorlage an. Alle Benutzer, die der Remotevorlage zugeordnet wurden, sind derselben Anmeldeklasse.

In der Junos OS Konfiguration wird eine Benutzervorlage auf dieselbe Weise wie ein reguläres lokales Benutzerkonto konfiguriert. Es ist jedoch kein lokales Authentifizierungskennwort konfiguriert, da die Authentifizierung remote auf dem LDAPS-Server ausgeführt wird.

Führen Sie die folgenden Schritte aus, um Anmeldeklassen, Berechtigungen und verschlüsseltes Kennwort für durch LDAPS authentifizierte Benutzer zu weisen:

  1. Weisen Sie der Anmeldeklasse zu.

    Zum Beispiel:

  2. Weisen Sie der Anmeldeklasse Berechtigungen zu. Sie können allen Berechtigungen für LDAPS-authentifizierte Benutzer oder spezifische Berechtigungen verschiedene Benutzern zuweisen.

    So weisen Sie allen Benutzern, die über LDAPS authentifiziert sind, alle Berechtigungen zu:

    Zum Beispiel:

    Um Berechtigungen für verschiedene Benutzer festzulegen, führen Sie eine der folgenden Aufgaben aus:

    • Erstellen Sie mehrere Benutzervorlagen in der Junos OS Konfigurationskonfiguration.

    • Wenn der LDAPS-Server die Vorlage an den authentifizierten Benutzer anspricht,

    Erstellen Sie mehrere Benutzervorlagen in der Junos OS Konfigurationskonfiguration.

    Jeder Benutzervorlage kann eine andere Anmeldeklasse zugewiesen werden.

    Zum Beispiel:

    Wenn der LDAPS-Server die Vorlage an den authentifizierten Benutzer anspricht,

    Damit ein LDAPS-Server angibt, welche Benutzervorlage angewendet werden soll, muss er das Attribut "juniperLocalUserName" (Hersteller 2636, Typ 1, String) Juniper VSA (anbieterspezifisches Attribut) in die LDAPS hinzufügen Die Nachricht "Access-Accept" gibt an, dass die Benutzervorlage auf dem Junos OS-Gerät verwendet wird. Der Stringwert in juniperLocalUserName muss mit dem Namen einer konfigurierten Benutzervorlage auf dem Gerät übereinstimmen.

    Im Beispiel im vorherigen Schritt wäre die Zeichenfolge RO, OP oder SU. Die Konfiguration des LDAPS-Servers hängt von dem verwendeten Server ab.

    Wenn das Attribut juniperLocalUserName nicht in der Access-Accept-Nachricht enthalten ist oder der String eine Benutzervorlage enthält, die nicht auf dem Gerät vorhanden ist, wird der Benutzer bei Konfiguration der Benutzervorlage remote zugewiesen. Wenn die Authentifizierung nicht konfiguriert ist, schlägt die Authentifizierung für den Benutzer fehl.

    Nach der Anmeldung behält der remote authentifizierte Benutzer denselben Benutzernamen, der für die Anmeldung verwendet wurde, bei. Der Benutzer erbt jedoch die Benutzerklasse aus der zugewiesenen Benutzervorlage.

  3. Zuweisen eines verschlüsselten Kennworts für den Benutzer.

    Sie müssen in der Anweisung ein Kennwort encrypted-password angeben. Wenn das Kennwort Bereiche enthält, schließen Sie es in Anführungszeichen ein. Das vom lokalen Router verwendete "Geheimkennwort" muss dem vom Server verwendeten Kennwort übereinstimmen.

    Zum Beispiel:

Juniper Networks anbieterspezifische RADIUS und LDAP-Attribute

Junos OS unterstützt die Konfiguration Juniper Networks RADIUS und LDAP anbieterspezifische Attribute (VSAs) auf dem Authentifizierungsserver. Diese VSAs werden in einem RADIUS- oder LDAP-anbieterspezifischen Attribut verkapselt, wenn die Anbieter-ID auf die Juniper Networks-ID-Nummer 2636 festgelegt ist.

Tabelle 1 Listen Sie die Juniper Networks VSAs auf, die Sie konfigurieren können.

Einige der Attribute akzeptieren erweiterte reguläre Ausdrücke, wie in POSIX 1003.2 definiert. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Wildcard-Zeichen enthält, fügen Sie ihn in Anführungszeichen ein. Weitere Informationen finden Sie unter:

Tabelle 1: Juniper Networks anbieterspezifische RADIUS und LDAP-Attribute

Name

Beschreibung

Typ

Länge

Schnur

Juniper-Local-User-Name

Gibt den Namen der diesem Benutzer zugewiesenen Benutzervorlage an, wenn der Benutzer sich an einem Gerät anmeldet. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

1

≥3

Mindestens ein Oktett mit druckbaren ASCII-Zeichen.

Juniper Allow-Commands

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Ausführung von Befehlen ermöglicht, die zusätzlich zu den Befehlen ausgeführt werden, die von den Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

2

≥3

Ein oder mehrere Oktetts mit druckbaren ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks.

Juniper-Deny-Commands

Enthält einen erweiterten regelmäßigen Ausdruck, der die Benutzerberechtigung für das Ausführen von Befehlen verweigert, die von den Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

3

≥3

Ein oder mehrere Oktetts mit druckbaren ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks.

Juniper ermöglichte Konfiguration

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer zusätzlich zu den von den Berechtigungsbits des Benutzers autorisierten Anweisungen das Anzeigen und Ändern von Konfigurations anweisungen ermöglicht. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

4

≥3

Ein oder mehrere Oktetts mit druckbaren ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks.

Juniper-Deny-Konfiguration

Enthält einen erweiterten regulären Ausdruck, dem die Benutzerberechtigung für das Anzeigen oder Ändern von Konfigurationserklärungen verweigert wird, die von den Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

5

≥3

Ein oder mehrere Oktetts mit druckbaren ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks.

Juniper Interactive Command

Gibt den vom Benutzer eingegebenen interaktiven Befehl an. Dieses Attribut wird nur in Accounting-Request-Paketen verwendet.

8

≥3

Mindestens ein Oktett mit druckbaren ASCII-Zeichen.

Juniper-Konfiguration ändern

Gibt den interaktiven Befehl an, der zu einer Änderung der Konfiguration (Datenbank) führt. Dieses Attribut wird nur in Accounting-Request-Paketen verwendet.

9

≥3

Mindestens ein Oktett mit druckbaren ASCII-Zeichen.

Juniper Berechtigungen für Benutzer

Enthält Informationen, die der Server zum Angeben von Benutzerberechtigungen verwendet. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

Anmerkung:

Wenn der RADIUS- oder LDAP-Server das Attribut definiert, um einem Benutzer die Berechtigung oder Berechtigung zu gewähren, schließt die Liste der Gruppenmitgliedschaft des Benutzers nicht automatisch die Juniper-User-Permissionsmaintenanceall UNIX-Wheel-Gruppe ein. Einige Vorgänge wie die Ausführung des su root Befehls aus einer lokalen Shell erfordern Berechtigungen für die Mitgliedschaft in der Radgruppe. Wenn das Netzwerkgerät jedoch ein lokales Benutzerkonto mit den Berechtigungen definiert oder , erhält der Benutzer automatisch die Mitgliedschaft in der maintenanceall UNIX-Radgruppe. Daher empfehlen wir Ihnen, ein Benutzervorlagekonto mit den erforderlichen Berechtigungen zu erstellen und einzelne Benutzerkonten mit dem Konto der Benutzervorlage zu verknüpfen.

10

≥3

Mindestens ein Oktett mit druckbaren ASCII-Zeichen.

Der String ist eine Liste von Berechtigungs-Flags, die durch einen Bereich voneinander getrennt sind. Der genaue Name jedes Flags muss vollständig angegeben sein.

Siehe Überblick über die Zugriffsrechte .

Juniper Authentifizierungstyp

Gibt die zur Authentifizierung eines Benutzers verwendete Authentifizierungsmethode an (lokale Datenbank, LDAP RADIUS Server). Wenn der Benutzer mithilfe einer lokalen Datenbank authentifiziert wird, wird der Wert des Attributs als "lokal" angezeigt. Wenn der Benutzer über einen bestimmten Server RADIUS LDAP-Server authentifiziert ist, wird der Attributwert als "remote" angezeigt.

11

≥5

Mindestens ein Oktett mit druckbaren ASCII-Zeichen.

Juniper-Session-Port

Gibt die Quellportnummer der etablierten Sitzung an.

12

Größe der Ganzzahl

Ganzzahl

Juniper-Allow-Configuration-Regexps (RADIUS)

Enthält einen erweiterten regulären Ausdruck, der dem Benutzer zusätzlich zu den von den Berechtigungsbits des Benutzers autorisierten Anweisungen das Anzeigen und Ändern von Konfigurations anweisungen ermöglicht. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

13

≥3

Ein oder mehrere Oktetts mit druckbaren ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks.

Juniper-Deny-Configuration-Regexps (RADIUS)

Enthält einen erweiterten regulären Ausdruck, dem die Benutzerberechtigung für das Anzeigen oder Ändern von Konfigurationserklärungen verweigert wird, die von den Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. Dieses Attribut wird nur in Access-Accept-Paketen verwendet.

14

≥3

Ein oder mehrere Oktetts mit druckbaren ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks.

Weitere Informationen zu VSAs finden Sie unter RFC 2138, Remote Authentication Dial In User Service (RADIUS).