Configuration d’un serveur RADIUS pour l’authentification et l’autorisation
La plate-forme de gestion du réseau Junos Space permet d’autoriser les utilisateurs à partir d’un serveur RADIUS. À l’aide de la page Serveurs d’authentification (Serveurs d’administration > d’authentification), vous pouvez configurer un serveur RADIUS pour authentifier et autoriser les utilisateurs à se connecter exclusivement à partir d’un emplacement centralisé à l’aide d’un ou plusieurs serveurs d’authentification à distance RADIUS. Vous pouvez également authentifier et autoriser les utilisateurs à se connecter à Junos Space Platform en utilisant l’authentification et l’autorisation locales et distantes.
Avant de vous authentifier et d’autoriser les utilisateurs à se connecter à Junos Space Platform à l’aide du serveur RADIUS, vous devez vous assurer que :
Vous pouvez créer et configurer le serveur d’authentification à distance RADIUS dans Junos Space Platform (voir Création d’un serveur d’authentification à distance).
Vous pouvez créer les profils distants requis pour autoriser les utilisateurs dans Junos Space Platform (voir Création d’un profil distant).
Vous pouvez créer des comptes utilisateur à l’aide de l’espace de travail Contrôle d’accès basé sur les rôles de Junos Space Platform si vous souhaitez autoriser l’authentification à distance et l’autorisation locale (voir Création d’utilisateurs dans Junos Space Network Management Platform).
Pour comprendre le comportement de connexion lorsque l’authentification à distance est activée, reportez-vous à la rubrique Junos Space Login Behavior with Remote Authentication Enabled .
Les données d’autorisation du serveur RADIUS sont stockées en tant qu’attributs spécifiques au fournisseur (VSA). Par conséquent, vous devez mettre à jour le fichier dictionnaire Junos (juniper.dct) dans le serveur RADIUS avec le VSA (Juniper-Junosspace-Profiles) défini par la plate-forme Junos Space. Le VSA doit être attribué aux utilisateurs de la base de données du serveur RADIUS avec la valeur correspondant au profil distant Junos Space que vous souhaitez attribuer à l’utilisateur. L’utilisateur est autorisé avec les rôles spécifiés par le profil distant. Pour obtenir la liste des VSA RADIUS Juniper pertinents, consultez Attributs RADIUS spécifiques aux fournisseurs de Juniper Networks.
Pour configurer les VSA dans un rayon d’acier :
Pour configurer les VSA dans FreeRADIUS :
Ajoutez le VSA Junos Space au fichier de dictionnaire Juniper (dictionary.juniper). Recherchez le fichier de dictionnaire et ajoutez le texte suivant au fichier :
ATTRIBUTE Juniper-Junosspace-Profiles 11 String
Attribuez un profil distant à l’utilisateur à l’aide de l’attribut Juniper-Junosspace-Profiles .
L’exemple suivant montre comment des informations de configuration peuvent être ajoutées à FreeRADIUS pour attribuer un profil distant à un utilisateur :
"guestuser" Auth-Type:=PAP, User-Password:="<password>" Juniper-Junosspace-Profiles = "guestprofile"
Pour plus d’informations sur l’ajout du VSA et l’attribution d’un profil distant Junos Space à un utilisateur dans Free RADIUS, consultez la documentation FreeRADIUS.
Les profils distants créés dans Junos Space Platform ne sont pas automatiquement synchronisés avec le serveur RADIUS pour la sélection. L’administrateur doit entrer manuellement le nom de profil distant correct.