Comportement de connexion Junos Space avec authentification à distance activée

Cette rubrique décrit le comportement de connexion à la plate-forme de gestion du réseau Junos Space avec authentification à distance uniquement ou authentification locale à distance activée.

Avertissement:

Pour éviter une attaque BEAST TLS 1.0, chaque fois que vous vous connectez à Junos Space Network Management Platform dans un onglet ou une fenêtre de navigateur, assurez-vous que cet onglet ou cette fenêtre n’a pas été utilisé précédemment pour surfer sur un site Web non HTTPS. Il est recommandé de fermer votre navigateur et de le relancer avant de vous connecter à Junos Space Platform.

Le comportement du système diffère selon que vous sélectionnez l’authentification à distance uniquement ou l’authentification locale à distance comme mode d’authentification pour Junos Space Platform. Des différences se produisent lorsqu’un serveur d’authentification distant n’authentifie pas un utilisateur. Il existe également des différences dans la source d’autorisation en fonction de la réponse renvoyée par le serveur distant.

La figure 1 montre l’arbre de décision qui sous-tend le comportement du système lorsque l’authentification à distance uniquement ou l’authentification locale à distance est choisie et qu’un serveur d’authentification à distance accepte l’utilisateur.

La figure 2 montre l’arbre de décision lorsqu’un serveur d’authentification distant rejette l’utilisateur ou ne répond pas du tout.

Les sections suivantes décrivent le comportement de connexion lorsque l’authentification à distance uniquement ou le mode d’authentification locale à distance est activé.

Note:

Lorsque des utilisateurs distants se connectent avec des noms d’utilisateur contenant un symbole @ ou une barre oblique inverse (\), Junos Space Platform ignore la partie du nom d’utilisateur qui suit le symbole @ ou la partie qui précède la barre oblique inverse et s’authentifie avec le reste du nom d’utilisateur. Par exemple, si un utilisateur distant utilise abc@domain, abc@domain.com ou domain\ abc comme nom d’utilisateur, Junos Space Platform utilise uniquement abc pour authentifier l’utilisateur. S’il existe une entrée pour abc dans la base de données, le profil distant correspondant est appliqué à l’utilisateur. Si la base de données n’a pas d’entrée correspondant au nom d’utilisateur abc Dans l’exemple donné, Junos Space Platform crée un compte d’utilisateur en lecture seule nommé abc et attribue un profil distant.

Le tableau 1 répertorie les différents scénarios et le comportement d’authentification et d’autorisation pour chaque scénario où le mode authentification à distance uniquement est activé.

Tableau 1 : comportement de connexion avec l’authentification à distance uniquement activée
Scénario	Comportement de connexion
L’utilisateur se connecte avec les informations d’identification correctes	Si le mot de passe de l’utilisateur se trouve sur le serveur distant et qu’il existe un profil distant correspondant dans Junos Space Platform, l’utilisateur se connecte avec les rôles attribués par le profil distant. Si le mot de passe de l’utilisateur se trouve sur le serveur distant mais qu’il n’existe pas de profil distant équivalent dans Junos Space Platform, l’utilisateur se connecte avec les rôles attribués à partir des informations utilisateur de la base de données Junos Space si le compte utilisateur correspondant existe dans la base de données Junos Space. S’il n’existe pas de profil distant ou de compte utilisateur équivalent dans Junos Space Platform, l’accès est refusé à l’utilisateur. Si le premier serveur d’authentification distant est présent, seul ce serveur est contacté et la réussite ou l’échec de la connexion dépend uniquement du mot de passe qui y est stocké. Si le premier serveur d’authentification n’est pas accessible, les autres serveurs sont contactés dans l’ordre spécifié. Si aucun serveur d’authentification n’est accessible, le mot de passe local dans la base de données Junos Space Platform est vérifié. Si le mot de passe d’urgence est configuré dans Junos Space et que les informations d’identification correspondent, l’utilisateur se connecte correctement avec les rôles attribués à partir des informations utilisateur de la base de données Junos Space. Sinon, l’utilisateur se voit refuser l’accès. Note: Pour l’authentification et l’autorisation à distance, la plupart des utilisateurs n’ont pas besoin d’un mot de passe local. Dans ce cas, le mot de passe local est uniquement à des fins d’urgence, lorsque les serveurs d’authentification à distance sont inaccessibles.
L’utilisateur se connecte avec des informations d’identification incorrectes ou l’utilisateur n’existe pas sur le serveur d’authentification à distance	L’accès à Junos Space Platform est refusé. Note: Pour des raisons de sécurité, les serveurs d’authentification ne font pas la distinction entre ces deux cas (c’est-à-dire qu’un utilisateur se connecte avec des informations d’identification incorrectes ou qu’un utilisateur n’existe pas sur le serveur d’authentification à distance). Par conséquent, Junos Space Platform doit toujours traiter ce type de connexions comme un échec d’authentification. Si aucun serveur d’authentification n’est accessible, Junos Space Platform essaie le mot de passe local. Si le mot de passe d’urgence est configuré dans Junos Space et que les informations d’identification correspondent, l’utilisateur se connecte correctement avec les rôles attribués à partir des informations utilisateur de la base de données Junos Space. Sinon, l’utilisateur se voit refuser l’accès.
L’utilisateur tente de se connecter lorsque le serveur d’authentification à distance est configuré pour la stimulation/réponse	Si le serveur d’authentification à distance indique qu’une stimulation est requise, il fournit la question de stimulation. Junos Space Platform affiche la question de défi à l’utilisateur sur la page de connexion de Junos Space et attend sa réponse. Si la réponse à la question de défi est correcte, il est possible que le serveur d’authentification pose des questions de défi supplémentaires. Si la réponse à la question de défi n’est pas correcte, il est possible que le serveur d’authentification défie à nouveau l’utilisateur avec la même question de défi, utilise une question de défi différente ou échoue complètement à la tentative de connexion. La configuration du serveur d’authentification à distance détermine le comportement. Si la réponse à la dernière question du défi est correcte, l’utilisateur se connecte correctement.

Login Behavior with Remote-Local Authentication Enabled

Le tableau 2 répertorie les différents scénarios ainsi que le comportement d’authentification et d’autorisation pour chaque scénario lorsque le mode d’authentification locale à distance est activé.

Tableau 2 : comportement de connexion avec l’authentification locale à distance activée
Scénario	Comportement de connexion
L’utilisateur se connecte avec les informations d’identification correctes	Si le mot de passe de l’utilisateur se trouve sur le serveur distant et qu’il existe un profil distant correspondant dans Junos Space Platform, l’utilisateur se connecte avec les rôles attribués par le profil distant. Si le mot de passe de l’utilisateur se trouve sur le serveur distant, mais qu’il n’existe pas de profil distant équivalent dans la base de données Junos Space, Junos Space Platform vérifie si le compte utilisateur existe dans la base de données Junos Space. Si le compte d’utilisateur existe, l’utilisateur se connecte correctement avec les rôles attribués à partir des informations utilisateur de la base de données Junos Space. Sinon, l’utilisateur se voit refuser l’accès. Si les serveurs distants ne sont pas accessibles, Junos Space Platform tente d’authentifier l’utilisateur localement. S’il existe un compte utilisateur Junos Space Platform et un mot de passe local et que les informations d’identification correspondent, l’utilisateur se connecte correctement avec les rôles attribués à partir des informations utilisateur de la base de données Junos Space. Sinon, l’utilisateur se voit refuser l’accès.
L’utilisateur se connecte avec des informations d’identification incorrectes ou l’utilisateur n’existe pas sur le serveur d’authentification à distance	Junos Space Platform vérifie d’abord les serveurs d’authentification distants. Si l’authentification échoue ou si un serveur est inaccessible, Junos Space Platform tente d’authentifier l’utilisateur localement. S’il existe un compte utilisateur Junos Space Platform et un mot de passe local et que les informations d’identification correspondent, l’utilisateur se connecte correctement avec les rôles attribués à partir des informations utilisateur de la base de données Junos Space. Sinon, l’utilisateur se voit refuser l’accès.
L’utilisateur tente de se connecter lorsque le serveur d’authentification à distance est configuré pour la stimulation/réponse	Si le serveur d’authentification à distance indique qu’une stimulation est requise, il fournit la question de stimulation. Junos Space Platform affiche la question de défi à l’utilisateur sur la page de connexion de Junos Space et attend sa réponse. Si la réponse à la question de défi est correcte, il est possible que le serveur d’authentification pose des questions de défi supplémentaires. Si la réponse à la question de défi n’est pas correcte, il est possible que le serveur d’authentification défie à nouveau l’utilisateur avec la même question de défi, utilise une question de défi différente ou échoue complètement à la tentative de connexion. La configuration du serveur d’authentification à distance détermine le comportement. Si la réponse à la dernière question du défi est correcte, l’utilisateur se connecte correctement.

Comportement de connexion Junos Space avec authentification à distance activée

Documentation connexe