Configuration d’un serveur TACACS+ pour l’authentification et l’autorisation
La plate-forme de gestion du réseau Junos Space prend en charge l’authentification et l’autorisation des utilisateurs à partir d’un ou plusieurs serveurs TACACS+. (Une combinaison de serveurs TACACS+ et RADIUS est également prise en charge.) Si vous configurez plusieurs serveurs, ils seront testés lors de l’authentification dans l’ordre indiqué dans l’interface utilisateur. Si le premier serveur auquel on accède n’est pas accessible ou qu’il y a une incompatibilité secrète partagée, le prochain est essayé. Pour comprendre le comportement de connexion avec l’authentification à distance activée, consultez la rubrique Junos Space Login Behavior with Remote Authentication Enabled .
Avant d’authentifier et d’autoriser les utilisateurs à se connecter à la plate-forme Junos Space à l’aide du serveur TACACS+, vous devez vous assurer que :
Vous créez et configurez le serveur d’authentification à distance TACACS+ dans la plate-forme Junos Space (voir Création d’un serveur d’authentification à distance).
Vous créez les profils distants requis pour autoriser les utilisateurs dans la plate-forme Junos Space (voir Création d’un profil distant).
Vous créez des comptes d’utilisateurs à l’aide de l’espace de travail du contrôle d’accès basé sur les rôles dans la plate-forme Junos Space si vous souhaitez autoriser l’authentification à distance et l’autorisation locale (voir Création d’utilisateurs dans la plate-forme de gestion du réseau Junos Space).
Les données d’autorisation du serveur TACACS+ sont stockées sous la forme de paires attribut-valeur (AFP). L’AVP contient le nom du profil distant. Par conséquent, vous devez configurer les utilisateurs sur le serveur TACACS+ avec les AFP correspondant aux profils distants créés dans le serveur Junos Space pour représenter les rôles des utilisateurs.
Lorsque la plate-forme de gestion du réseau Junos Space interroge le serveur TACACS+ pour obtenir l’autorisation de l’utilisateur, le service junosspace-exec du serveur TACACS+ renvoie le nom du profil distant de cet utilisateur. La plate-forme de gestion du réseau Junos Space détermine le rôle ou les rôles de l’utilisateur à partir de cette réponse.
Pour attribuer des rôles à l’utilisateur à l’aide du nom du profil distant, vous pouvez configurer l’AVP de gestion du réseau pour le service junosspace-exec sur le serveur TACACS+.
L’exemple suivant montre comment ajouter des informations de configuration au serveur TACACS+ pour attribuer un profil distant à un utilisateur :
user = guestuser
{
pap = cleartext "<password>"
service = junosspace-exec
{
network-management-profiles = guest_profile
}
}
Pour plus d’informations sur la configuration de l’AVP et l’attribution d’un profil distant Junos Space à un utilisateur sur le serveur TACACS+, consultez la documentation sur le serveur TACACS+.