TACACS+-Authentifizierung
Junos OS unterstützt TACACS+ zur zentralen Authentifizierung von Benutzern auf Netzwerkgeräten. Um die TACACS+-Authentifizierung auf dem Gerät verwenden zu können, müssen Sie (der Netzwerkadministrator) Informationen zu einem oder mehreren TACACS+-Servern im Netzwerk konfigurieren. Sie können die TACACS+-Abrechnung auf dem Gerät auch so konfigurieren, dass statistische Daten über die Benutzer erfasst werden, die sich bei einem LAN an- oder abmelden, und die Daten an einen TACACS+-Abrechnungsserver senden.
Konfigurieren der TACACS+-Authentifizierung
Die TACACS+-Authentifizierung ist eine Methode zur Authentifizierung von Benutzern, die versuchen, auf ein Netzwerkgerät zuzugreifen.
Führen Sie die folgenden Aufgaben aus, um TACACS+ zu konfigurieren:
- Konfigurieren der TACACS+-Serverdetails
- Konfigurieren von TACACS+ für die Verwendung der Verwaltungsinstanz
- Konfigurieren desselben Authentifizierungsdienstes für mehrere TACACS+-Server
- Konfigurieren der herstellerspezifischen TACACS+-Attribute von Juniper Networks
Konfigurieren der TACACS+-Serverdetails
Um die TACACS+-Authentifizierung auf dem Gerät zu verwenden, konfigurieren Sie Informationen zu einem oder mehreren TACACS+-Servern im Netzwerk, indem Sie für jeden TACACS+-Server eine Anweisung auf Hierarchieebene einfügen.tacplus-server
[edit system]
Das Gerät fragt die TACACS+-Server in der Reihenfolge ab, in der sie konfiguriert sind. Wenn der primäre Server (der erste konfigurierte) nicht verfügbar ist, versucht das Gerät, jeden Server in der Liste zu kontaktieren, bis es eine Antwort erhält.
Das Netzwerkgerät kann TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Autorisierung bestimmt. Weist dem Benutzervorlagenkonto standardmäßig TACACS+-authentifizierte Benutzer zu, falls konfiguriert, wenn:Junos OSremote
-
Für den authentifizierten Benutzer ist auf dem lokalen Gerät kein Benutzerkonto konfiguriert.
-
Der TACACS+-Server weist den Benutzer entweder keiner lokalen Benutzervorlage zu, oder die Vorlage, die der Server zuweist, ist auf dem lokalen Gerät nicht konfiguriert.
Der TACACS+-Server kann einen authentifizierten Benutzer einer anderen Benutzervorlage zuweisen, um diesem Benutzer unterschiedliche Administratorberechtigungen zu erteilen. Der Benutzer behält denselben Anmeldenamen in der CLI bei, erbt jedoch die Anmeldeklasse, die Zugriffsrechte und die effektive Benutzer-ID von der zugewiesenen Vorlage. Wenn der TACACS+-authentifizierte Benutzer keinem lokal definierten Benutzerkonto oder keiner Benutzervorlage zugeordnet ist und die Vorlage nicht konfiguriert ist, schlägt die Authentifizierung fehl.remote
Der Benutzername ist ein Sonderfall und muss immer in Kleinbuchstaben geschrieben werden.remote
Junos OS Sie dient als Vorlage für Benutzer, die von einem Remoteserver authentifiziert werden, aber kein lokal konfiguriertes Benutzerkonto auf dem Gerät haben. Wendet die Berechtigungen der Vorlage auf authentifizierte Benutzer ohne lokal definiertes Konto an.Junos OSremote
Alle Benutzer, die der Vorlage zugeordnet sind, befinden sich in derselben Anmeldeklasse.remote
Da die Remoteauthentifizierung auf mehreren Geräten konfiguriert wird, wird sie in der Regel innerhalb einer Konfigurationsgruppe konfiguriert. Die hier gezeigten Schritte finden in einer Konfigurationsgruppe namens .global
Die Verwendung einer Konfigurationsgruppe ist optional.
So konfigurieren Sie die Authentifizierung durch einen TACACS+-Server:
Konfigurieren von TACACS+ für die Verwendung der Verwaltungsinstanz
Standardmäßig werden Authentifizierungs-, Autorisierungs- und Abrechnungspakete für TACACS+ über die Standard-Routing-Instanz geleitet.Junos OS Sie können TACACS+-Pakete auch über eine Verwaltungsschnittstelle in einer nicht standardmäßigen VRF-Instanz weiterleiten.
So leiten Sie TACACS+-Pakete über die Verwaltungsinstanz weiter:mgmt_junos
-
Aktivieren Sie die Verwaltungsinstanz.
mgmt_junos
[edit system] user@host# set management-instance
-
Konfigurieren Sie die Anweisung für den TACACS+-Authentifizierungsserver und den TACACS+-Kontoführungsserver, sofern konfiguriert.
routing-instance mgmt_junos
[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
Konfigurieren desselben Authentifizierungsdienstes für mehrere TACACS+-Server
Sie können denselben Authentifizierungsdienst für mehrere TACACS+-Server konfigurieren, indem Sie Anweisungen auf der Hierarchieebene und einschließen.[edit system tacplus-server]
[edit system tacplus-options]
So weisen Sie denselben Authentifizierungsdienst mehreren TACACS+-Servern zu:
Das folgende Beispiel zeigt, wie derselbe Authentifizierungsdienst für mehrere TACACS+-Server konfiguriert wird:
[edit system] tacplus-server { 10.2.2.2 secret "$ABC123"; ## SECRET-DATA 10.3.3.3 secret "$ABC123"; ## SECRET-DATA } tacplus-options { service-name bob; }
Konfigurieren der herstellerspezifischen TACACS+-Attribute von Juniper Networks
Junos OS kann TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Autorisierung bestimmt. Optional können Sie auch die Zugriffsrechte eines Benutzers konfigurieren, indem Sie herstellerspezifische TACACS+-Attribute von Juniper Networks auf dem TACACS+-Server definieren. Sie definieren die Attribute in der Konfigurationsdatei des TACACS+-Servers auf Benutzerbasis. Das Netzwerkgerät ruft diese Attribute durch eine Autorisierungsanfrage des TACACS+-Servers nach der Authentifizierung eines Benutzers ab.
Um diese Attribute anzugeben, fügen Sie eine Anweisung des folgenden Formulars in die TACACS+-Serverkonfigurationsdatei ein:service
service = junos-exec { local-user-name = <username-local-to-router> allow-commands = "<allow-commands-regex>" allow-configuration-regexps = "<allow-configuration-regex>" deny-commands = "<deny-commands-regex>" deny-configuration-regexps = "<deny-configuration-regex>" }
Sie können die Anweisung in einer Anweisung oder einer Anweisung definieren.service
user
group
Konfigurieren der regelmäßigen Aktualisierung des TACACS+-Autorisierungsprofils
Wenn Sie ein ausgeführtes Gerät so konfigurieren, dass es einen TACACS+-Server für die Authentifizierung verwendet, fordert das Gerät Junos OS die Benutzer zur Eingabe von Anmeldeinformationen auf, die vom TACACS+-Server überprüft werden. Nachdem ein Benutzer erfolgreich authentifiziert wurde, sendet das Netzwerkgerät eine Autorisierungsanforderung an den TACACS+-Server, um das Autorisierungsprofil für den Benutzer abzurufen. Berechtigungsprofile geben die Zugriffsberechtigungen für authentifizierte Benutzer oder Geräte an.
Der TACACS+-Server sendet das Berechtigungsprofil als Teil einer Autorisierungs-REPLY-Nachricht. Der auf dem TACACS+-Server konfigurierte Remote-Benutzer wird einem lokalen Benutzer oder einer Benutzervorlage zugeordnet, der bzw. die auf dem Gerät konfiguriert ist, auf dem ausgeführt wird. Kombiniert das Remote-Autorisierungsprofil des Benutzers und das lokal konfigurierte Autorisierungsprofil, wobei letzteres auf der Hierarchieebene [] konfiguriert wirdJunos OS. Junos OS
edit system login class
Standardmäßig erfolgt der Austausch von Autorisierungsanforderungs- und Antwortnachrichten nur einmal, und zwar nach erfolgreicher Authentifizierung. Sie können die Geräte so konfigurieren, dass das Remote-Autorisierungsprofil in regelmäßigen Abständen vom TACACS+-Server abgerufen und das lokal gespeicherte Autorisierungsprofil aktualisiert wird.Junos OS Diese regelmäßige Aktualisierung stellt sicher, dass das lokale Gerät jede Änderung der Autorisierungsparameter widerspiegelt, ohne dass der Benutzer den Authentifizierungsprozess neu starten muss.
Um die regelmäßige Aktualisierung des Autorisierungsprofils zu aktivieren, müssen Sie das Zeitintervall festlegen, in dem das lokale Gerät das remote auf dem TACACS+-Server konfigurierte Autorisierungsprofil überprüft. Wenn sich das Remote-Autorisierungsprofil ändert, ruft das Gerät das Autorisierungsprofil vom TACACS+-Server und das in der Anmeldeklassenhierarchie konfigurierte Autorisierungsprofil ab. Das Gerät aktualisiert das lokal gespeicherte Autorisierungsprofil, indem es die Remote- und die lokal konfigurierten Autorisierungsprofile kombiniert.
Sie können das Aktualisierungszeitintervall lokal auf dem laufenden Gerät oder direkt auf dem TACACS+-Server konfigurieren.Junos OS Das Zeitintervall kann zwischen 15 und 1440 Minuten liegen.
Verwenden Sie die folgenden Richtlinien, um zu bestimmen, welche Zeitintervallkonfiguration Vorrang hat:
- Wenn das Aktualisierungszeitintervall nur auf dem TACACS+-Server oder nur auf dem Gerät konfiguriert ist, auf dem ausgeführt wird, wird der konfigurierte Wert wirksam.Junos OS
-
Wenn das Aktualisierungszeitintervall sowohl auf dem TACACS+-Server als auch auf dem ausgeführten Gerät konfiguriert ist, hat der auf dem TACACS+-Server konfigurierte Wert Vorrang.Junos OS
-
Wenn weder auf dem TACACS+-Server noch auf dem ausgeführten Gerät ein Aktualisierungszeitintervall konfiguriert ist, erfolgt keine regelmäßige Aktualisierung.Junos OS
-
Wenn das auf dem TACACS+-Server konfigurierte Aktualisierungszeitintervall außerhalb des gültigen Bereichs liegt oder ungültig ist, wird das lokal konfigurierte Aktualisierungszeitintervall wirksam. Wenn lokal kein Aktualisierungszeitintervall konfiguriert ist, findet keine regelmäßige Aktualisierung statt.
Wenn der Benutzer nach dem Festlegen des periodischen Aktualisierungszeitintervalls das Aktualisierungsintervall ändert, bevor die Autorisierungsanforderung vom lokalen Gerät gesendet wird, wird das aktualisierte Aktualisierungsintervall nach der nächsten sofortigen regelmäßigen Aktualisierung wirksam.
Beispiel: Konfigurieren eines TACACS+-Servers für die Systemauthentifizierung
In diesem Beispiel wird die Systemauthentifizierung über einen TACACS+-Server konfiguriert.
Anforderungen
Bevor Sie beginnen:
-
Führen Sie die Erstkonfiguration des Geräts durch. Weitere Informationen finden Sie im Handbuch "Erste Schritte" für Ihr Gerät.
-
Richten Sie mindestens einen TACACS+-Server in Ihrem Netzwerk ein.
Überblick
In diesem Beispiel fügen Sie einen neuen TACACS+-Server mit der IP-Adresse 172.16.98.1 hinzu. Sie geben das gemeinsame geheime Kennwort des TACACS+-Servers als Tacacssecret1 an. Das Gerät speichert den geheimen Schlüssel als verschlüsselten Wert in der Konfigurationsdatenbank. Schließlich geben Sie die Quelladresse an, die das Gerät in TACACS+-Serveranforderungen verwendet. In den meisten Fällen können Sie die Loopback-Adresse des Geräts verwenden, die in diesem Beispiel 10.0.0.1 lautet.
Sie können die Unterstützung für mehrere Benutzerauthentifizierungsmethoden, z. B. lokale Kennwortauthentifizierung, TACACS+ und RADIUS, auf dem Netzwerkgerät konfigurieren. Wenn Sie mehrere Authentifizierungsmethoden konfigurieren, können Sie die Reihenfolge, in der das Gerät die verschiedenen Methoden ausprobiert, priorisieren. In diesem Beispiel konfigurieren Sie das Gerät so, dass es zuerst TACACS+-Authentifizierungsdienste verwendet und, falls dies fehlschlägt, dann die lokale Kennwortauthentifizierung versucht.
Ein TACACS+-authentifizierter Benutzer muss einem lokalen Benutzerkonto oder einem lokalen Benutzervorlagenkonto auf dem Netzwerkgerät zugeordnet werden, wodurch die Autorisierung bestimmt wird. Wenn ein TACACS+-authentifizierter Benutzer keinem lokalen Benutzerkonto oder einer bestimmten Benutzervorlage zugeordnet ist, wird der Benutzer standardmäßig der Benutzervorlage zugewiesen, sofern konfiguriert.remote
In diesem Beispiel wird die Benutzervorlage konfiguriert.remote
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene in die CLI ein, und wechseln Sie dann in den Konfigurationsmodus.[edit]
commit
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen TACACS+-Server für die Systemauthentifizierung:
-
Fügen Sie einen neuen TACACS+-Server hinzu und legen Sie dessen IP-Adresse fest.
[edit system] user@host# set tacplus-server 172.16.98.1
-
Geben Sie den gemeinsamen geheimen Schlüssel (Kennwort) des TACACS+-Servers an.
[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
-
Geben Sie die Loopback-Adresse des Geräts als Quelladresse an.
[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
-
Geben Sie die Reihenfolge der Authentifizierung des Geräts an, und fügen Sie die Option hinzu.
tacplus
[edit system] user@host# set authentication-order [tacplus password]
- Konfigurieren Sie die Benutzervorlage und ihre Anmeldeklasse.
remote
[edit system] user@host# set login user remote class operator
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show system
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Die folgende Ausgabe enthält nur die Teile der Konfigurationshierarchie, die für dieses Beispiel relevant sind:
[edit] user@host# show system login { user remote { class operator; } } authentication-order [ tacplus password ]; tacplus-server { 172.16.98.1 { secret "$9$ABC123"; ## SECRET-DATA source-address 10.0.0.1; } }
Nachdem Sie das Gerät konfiguriert haben, wechseln Sie in den Konfigurationsmodus.commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der TACACS+-Serverkonfiguration
Zweck
Vergewissern Sie sich, dass der TACACS+-Server die Benutzer authentifiziert.
Was
Melden Sie sich beim Netzwerkgerät an, und überprüfen Sie, ob die Anmeldung erfolgreich war. Um zu überprüfen, ob das Gerät den TACACS+-Server für die Authentifizierung verwendet, können Sie versuchen, sich mit einem Konto anzumelden, das in der Konfiguration kein lokales Authentifizierungskennwort definiert.
Herstellerspezifische TACACS+-Attribute von Juniper Networks
Junos OS unterstützt die Konfiguration der herstellerspezifischen Attribute (VSAs) von Juniper Networks TACACS+ auf dem TACACS+-Server. Tabelle 1 listet die unterstützten VSAs von Juniper Networks auf.
Einige der Attribute akzeptieren erweiterte reguläre Ausdrücke, wie sie in POSIX 1003.2 definiert sind. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Weitere Informationen finden Sie unter:
Name |
Beschreibung |
Länge |
Schnur |
---|---|---|---|
|
Gibt den Namen der Benutzervorlage an, die diesem Benutzer zugewiesen wird, wenn sich der Benutzer bei einem Gerät anmeldet. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten. |
|
Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Befehle zusätzlich zu den Befehlen auszuführen, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
allow-commands-regexps |
Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Befehle zusätzlich zu den Befehlen auszuführen, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
|
Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Konfigurationsanweisungen zusätzlich zu den Anweisungen anzuzeigen und zu ändern, die durch die Anmeldeklassenberechtigungsbits des Benutzers autorisiert wurden. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
allow-configuration-regexps |
Enthält einen erweiterten regulären Ausdruck, der es dem Benutzer ermöglicht, Konfigurationsanweisungen zusätzlich zu den Anweisungen anzuzeigen und zu ändern, die durch die Anmeldeklassenberechtigungsbits des Benutzers autorisiert wurden. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
|
Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Ausführen von Befehlen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
deny-commands-regexps |
Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Ausführen von Befehlen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert sind. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
|
Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Anzeigen oder Ändern von Konfigurationsanweisungen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
deny-configuration-regexps |
Enthält einen erweiterten regulären Ausdruck, der dem Benutzer die Berechtigung zum Anzeigen oder Ändern von Konfigurationsanweisungen verweigert, die durch die Berechtigungsbits der Anmeldeklasse des Benutzers autorisiert wurden. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen in Form eines erweiterten regulären Ausdrucks enthalten. |
|
Enthält Informationen, die der Server zum Angeben von Benutzerberechtigungen verwendet. HINWEIS:
Wenn der TACACS+-Server das Attribut definiert, um einem Benutzer die Berechtigung oder Berechtigung zu erteilen, enthält die Liste der Gruppenmitgliedschaften des Benutzers nicht automatisch die UNIX-Radgruppe. |
≥3 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten. |
|
Gibt die Authentifizierungsmethode (lokale Datenbank oder TACACS+-Server) an, die zur Authentifizierung eines Benutzers verwendet wird. Wenn der Benutzer über eine lokale Datenbank authentifiziert wird, wird im Attributwert "local" angezeigt. Wenn der Benutzer über einen TACACS+-Server authentifiziert wird, wird im Attributwert "remote" angezeigt. |
≥5 |
Ein oder mehrere Oktette, die druckbare ASCII-Zeichen enthalten. |
|
Gibt die Quellportnummer der eingerichteten Sitzung an. |
Größe der ganzen Zahl |
Ganzzahl |
Verwenden Sie reguläre Ausdrücke auf einem RADIUS- oder TACACS+-Server, um Befehle zuzulassen oder zu verweigern
Junos OS kann RADIUS- und TACACS+-authentifizierte Benutzer einem lokal definierten Benutzerkonto oder Benutzervorlagenkonto zuordnen, das die Zugriffsrechte des Benutzers definiert. Optional können Sie auch die Zugriffsrechte eines Benutzers konfigurieren, indem Sie auf dem jeweiligen Authentifizierungsserver RADIUS- und TACACS+-Anbieterspezifische Attribute (VSAs) von Juniper Networks definieren.
Die Anmeldeklasse eines Benutzers definiert den Satz von Berechtigungen, der bestimmt, welche Betriebsmodus- und Konfigurationsmodusbefehle ein Benutzer ausführen darf und welche Bereiche der Konfiguration ein Benutzer anzeigen und ändern kann. Eine Anmeldeklasse kann auch reguläre Ausdrücke definieren, die einem Benutzer zusätzlich zu dem, was die Berechtigungsflags autorisieren, die Ausführung bestimmter Befehle oder das Anzeigen und Ändern bestimmter Bereiche der Konfiguration ermöglichen oder verweigern. Eine login-Klasse kann die folgenden Anweisungen enthalten, um die Benutzerautorisierung zu definieren:
-
permissions
-
allow-commands
-
allow-commands-regexps
-
allow-configuration
-
allow-configuration-regexps
-
deny-commands
-
deny-commands-regexps
-
deny-configuration
-
deny-configuration-regexps
Ebenso kann eine RADIUS- oder TACACS+-Serverkonfiguration VSAs von Juniper Networks verwenden, um bestimmte Berechtigungen oder reguläre Ausdrücke zu definieren, die die Zugriffsrechte eines Benutzers bestimmen. Eine Liste der unterstützten RADIUS- und TACACS+-VSAs finden Sie unter:
- Herstellerspezifische RADIUS-Attribute von Juniper Networks
- Herstellerspezifische TACACS+-Attribute von Juniper Networks
Sie können Benutzerberechtigungen auf dem RADIUS- oder TACACS+-Server als eine Liste von durch Leerzeichen getrennten Werten definieren.
-
Ein RADIUS-Server verwendet das folgende Attribut und die folgende Syntax:
Juniper-User-Permissions += "flag1 flag2 flag3",
Hier einige Zahlen zum Generationswechsel:
Juniper-User-Permissions += "interface interface-control configure",
-
Ein TACACS+-Server verwendet das folgende Attribut und die folgende Syntax:
user-permissions = "flag1 flag2 flag3"
Hier einige Zahlen zum Generationswechsel:
user-permissions = "interface interface-control configure"
Ein RADIUS- oder TACACS+-Server kann auch VSAs von Juniper Networks definieren, die einen einzelnen erweiterten regulären Ausdruck (wie in POSIX 1003.2 definiert) verwenden, um einem Benutzer die Ausführung bestimmter Befehle oder das Anzeigen und Ändern von Bereichen der Konfiguration zu erlauben oder zu verweigern. Sie schließen mehrere Befehle oder Konfigurationshierarchien in Klammern ein und trennen sie durch ein Pipe-Symbol. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Wenn Sie Autorisierungsparameter sowohl lokal als auch remote konfigurieren, führt das Gerät die regulären Ausdrücke, die während der TACACS+- oder RADIUS-Autorisierung empfangen wurden, mit allen regulären Ausdrücken zusammen, die auf dem lokalen Gerät definiert sind.
-
Ein RADIUS-Server verwendet die folgenden Attribute und Syntax:
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Hier einige Zahlen zum Generationswechsel:
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Ein TACACS+-Server verwendet die folgenden Attribute und Syntax:
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Hier einige Zahlen zum Generationswechsel:
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
RADIUS- und TACACS+-Server unterstützen auch die Konfiguration von Attributen, die denselben Anweisungen entsprechen, die Sie auf dem lokalen Gerät konfigurieren können.*-regexps
Die Attribute TACACS+ und RADIUS verwenden die gleiche Syntax für reguläre Ausdrücke wie die vorherigen Attribute, ermöglichen es Ihnen jedoch, reguläre Ausdrücke mit Variablen zu konfigurieren.*-regexps
*-Regexps
-
Ein RADIUS-Server verwendet die folgenden Attribute und Syntax:
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Ein TACACS+-Server verwendet die folgenden Attribute und Syntax:
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Beispielsweise kann die TACACS+-Serverkonfiguration die folgenden Attribute definieren:
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
Auf einem RADIUS- oder TACACS+-Server können Sie die Attribute auch mit einer vereinfachten Syntax definieren, bei der Sie jeden einzelnen Ausdruck in einer separaten Zeile angeben.
Geben Sie für einen RADIUS-Server die einzelnen regulären Ausdrücke mit der folgenden Syntax an:
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Geben Sie für einen TACACS+-Server die einzelnen regulären Ausdrücke mit der folgenden Syntax an:
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
In der TACACS+-Serversyntax müssen die numerischen Werte 1 bis eindeutig sein, dürfen aber nicht sequenziell sein.n Die folgende Syntax ist z. B. gültig:
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
Der RADIUS- oder TACACS+-Server erzwingt eine Begrenzung für die Anzahl der einzelnen Zeilen mit regulären Ausdrücken.
-
Wenn Sie den Befehl ausgeben, wird der reguläre Ausdruck in der Befehlsausgabe in einer einzigen Zeile angezeigt, auch wenn Sie jeden einzelnen Ausdruck in einer separaten Zeile angeben.
show cli authorization
Benutzer können ihre Klasse, Berechtigungen sowie Befehls- und Konfigurationsautorisierung überprüfen, indem sie den Befehl Betriebsmodus ausgeben.show cli authorization
user@host> show cli authorization
Wenn Sie die Autorisierungsparameter sowohl lokal auf dem Netzwerkgerät als auch remote auf dem RADIUS- oder TACACS+-Server konfigurieren, führt das Gerät die regulären Ausdrücke, die während der TACACS+- oder RADIUS-Autorisierung empfangen wurden, mit allen lokal konfigurierten regulären Ausdrücken zusammen. Wenn der letzte Ausdruck einen Syntaxfehler enthält, ist das Gesamtergebnis ein ungültiger regulärer Ausdruck.
TACACS+ Systemabrechnung konfigurieren
Sie können die TACACS+-Abrechnung auf einem Gerät so konfigurieren, dass statistische Daten über Benutzer erfasst werden, die sich bei einem LAN an- oder abmelden, und die Daten an einen TACACS+-Abrechnungsserver senden. Die statistischen Daten können für die allgemeine Netzwerküberwachung, die Analyse und Nachverfolgung von Nutzungsmustern oder die Abrechnung eines Benutzers auf der Grundlage der Dauer der Sitzung oder der Art der aufgerufenen Dienste verwendet werden.
Um die TACACS+-Abrechnung zu konfigurieren, geben Sie Folgendes an:
-
Einen oder mehrere TACACS+-Abrechnungsserver, um die statistischen Daten vom Gerät zu empfangen
-
Die Art der zu erfassenden Buchhaltungsdaten
Sie können denselben Server sowohl für die TACACS+-Abrechnung als auch für die Authentifizierung verwenden, oder Sie können separate Server verwenden. Sie können eine Liste von TACACS+-Abrechnungsservern angeben. Das Gerät fragt die Server in der Reihenfolge ab, in der sie konfiguriert sind. Wenn der primäre Server (der erste konfigurierte) nicht verfügbar ist, versucht das Gerät, jeden Server in der Liste zu kontaktieren, bis es eine Antwort erhält.
Wenn Sie TACACS+-Abrechnung aktivieren, können Geräte von Juniper Networks, die als TACACS+-Clients fungieren, den TACACS+-Server über Benutzeraktivitäten wie Softwareanmeldungen, Konfigurationsänderungen und interaktive Befehle informieren.
Konfigurieren der TACACS+-Serverabrechnung
So konfigurieren Sie die TACACS+-Serverabrechnung:
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.