Configuration d’un serveur RADIUS pour l’authentification et l’autorisation
La plate-forme de gestion du réseau Junos Space prend en charge l’autorisation des utilisateurs à partir d’un serveur RADIUS. À l’aide de la page Serveurs d’authentification (Administration > Serveurs d’authentification), vous pouvez configurer un serveur RADIUS pour qu’il authentifie et autorise les utilisateurs à se connecter exclusivement à partir d’un emplacement centralisé à l’aide d’un ou plusieurs serveurs d’authentification RADIUS à distance. Vous pouvez également authentifier et autoriser les utilisateurs à se connecter à la plate-forme Junos Space à l’aide de l’authentification et de l’autorisation locales et distantes.
Avant d’authentifier et d’autoriser les utilisateurs à se connecter à la plate-forme Junos Space à l’aide du serveur RADIUS, vous devez vous assurer que :
Vous créez et configurez le serveur d’authentification à distance RADIUS dans la plate-forme Junos Space (voir Création d’un serveur d’authentification à distance).
Vous créez les profils distants requis pour autoriser les utilisateurs dans la plate-forme Junos Space (voir Création d’un profil distant).
Vous créez des comptes d’utilisateurs à l’aide de l’espace de travail du contrôle d’accès basé sur les rôles dans la plate-forme Junos Space si vous souhaitez autoriser l’authentification à distance et l’autorisation locale (voir Création d’utilisateurs dans la plate-forme de gestion du réseau Junos Space).
Pour comprendre le comportement de connexion avec l’authentification à distance activée, consultez la rubrique Junos Space Login Behavior with Remote Authentication Enabled .
Les données d’autorisation du serveur RADIUS sont stockées sous la forme d’attributs spécifiques au fournisseur (VSA). Par conséquent, vous devez mettre à jour le fichier du dictionnaire Junos (juniper.dct) dans le serveur RADIUS avec le VSA défini par la plate-forme Junos Space (Juniper-Junosspace-Profiles). Les utilisateurs de la base de données serveur RADIUS doivent se voir attribuer le VSA avec la valeur correspondant au profil distant Junos Space que vous souhaitez attribuer à l’utilisateur. L’utilisateur est autorisé avec des rôles spécifiés par le profil distant. Pour obtenir la liste des VSA Juniper RADIUS pertinents, consultez les attributs RADIUS spécifiques aux fournisseurs de Juniper Networks.
Pour configurer des VSA dans un radius à ceinture d’acier :
Pour configurer des VSA dans FreeRADIUS :
Ajoutez junos Space VSA au fichier de dictionnaire Juniper (dictionary.juniper). Localisez le fichier du dictionnaire et ajoutez le texte suivant au fichier :
ATTRIBUTE Juniper-Junosspace-Profiles 11 String
Attribuez un profil distant à l’utilisateur à l’aide de l’attribut Juniper-Junosspace-Profiles .
L’exemple suivant montre comment ajouter des informations de configuration à FreeRADIUS pour attribuer un profil distant à un utilisateur :
"guestuser" Auth-Type:=PAP, User-Password:="<password>" Juniper-Junosspace-Profiles = "guestprofile"
Pour plus d’informations sur l’ajout du VSA et l’attribution d’un profil distant Junos Space à un utilisateur dans Free RADIUS, consultez la documentation FreeRADIUS.
Les profils distants créés dans la plate-forme Junos Space ne sont pas automatiquement synchronisés avec le serveur RADIUS pour la sélection. L’administrateur doit saisir manuellement le nom du profil distant approprié.