Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de base de l’authentification et de la comptabilité RADIUS

Configuration des paramètres d’authentification et de comptabilité pour l’accès abonné

Vous utilisez un profil d’accès pour configurer la prise en charge de l’authentification et de la comptabilité pour la fonctionnalité de gestion des accès aux abonnés. Le profil d’accès vous permet de spécifier le type de méthodes utilisées pour l’authentification et la comptabilité. Vous pouvez également configurer la manière dont la gestion des accès des abonnés collecte et utilise les statistiques comptables.

Pour configurer l’authentification et la comptabilisation de l’accès des abonnés :

  1. Spécifiez les méthodes d’authentification et de comptabilité à utiliser.

    Voir Spécification des méthodes d’authentification et de comptabilité pour l’accès abonné.

  2. Spécifiez comment les statistiques comptables sont collectées.

    Reportez-vous à la section Configuration de la comptabilité de session par abonné.

Spécification des méthodes d’authentification et de comptabilisation de l’accès abonné

Vous pouvez spécifier les méthodes d’authentification et de comptabilité utilisées par la gestion des accès des abonnés.

Vous pouvez configurer plusieurs méthodes d’authentification et de comptabilité : les authentication-order instructions et accounting order spécifient l’ordre dans lequel la fonctionnalité de gestion de l’accès aux abonnés utilise les méthodes. Par exemple, une entrée d’authentification de radius password spécifie que l’authentification RADIUS est effectuée en premier ; si elle expire (par exemple, si le serveur RADIUS est inaccessible), l’authentification locale (password) est tentée. Toutefois, si une méthode rejette la tentative d’authentification, aucune méthode ultérieure n’est tentée. Si password est configuré comme première méthode, l’authentification est toujours acceptée ou rejetée. Dans les deux cas, aucune autre méthode n’est tentée.

Vous pouvez spécifier les méthodes d’authentification suivantes avec l’instruction authentication-order :

  • radius: authentification basée sur RADIUS à l’aide d’un serveur RADIUS externe.

  • password: authentification locale à l’aide de noms d’utilisateur et de mots de passe configurés et stockés localement.

    La gestion de l’accès des abonnés ne prend pas en charge cette option avant la password version 18.2R1 de Junos OS. À partir de Junos OS version 18.2R1, vous pouvez utiliser l’option pour fournir une authentification locale pour des abonnés individuels, généralement lorsque vous ne disposez pas de serveurs d’authentification et d’autorisation externes, ou lorsque vous souhaitez utiliser l’authentification password locale comme sauvegarde de l’authentification externe. Dans ce cas, vous configurez le mot de passe réel de l’abonné avec l’option password de l’instruction subscriber username dans le profil d’accès. Dans les versions antérieures, vous devez toujours spécifier la méthode d’authentification radius .

Vous pouvez spécifier les méthodes comptables suivantes :

  • radius: comptabilité basée sur RADIUS à l’aide d’un serveur RADIUS externe.

Pour configurer les méthodes d’authentification et de comptabilité pour la gestion de l’accès des abonnés :

  1. Spécifiez les méthodes d’authentification et l’ordre dans lequel elles sont utilisées.
  2. Spécifiez la méthode comptable.

Spécification des serveurs d’authentification et de comptabilité RADIUS pour l’accès abonné

Vous pouvez spécifier un ou plusieurs serveurs d’authentification ou de comptabilité RADIUS à utiliser pour la gestion de l’accès des abonnés.

Pour configurer la prise en charge de l’authentification et de la comptabilité RADIUS :

  1. Indiquez que vous souhaitez configurer la prise en charge de RADIUS.
  2. Spécifiez l’adresse IP du serveur RADIUS utilisé pour l’authentification.
  3. Spécifiez l’adresse IP du serveur RADIUS utilisé pour la comptabilité.

Pour configurer plusieurs serveurs d’authentification ou de comptabilité RADIUS :

  • Spécifiez les adresses IP de tous les serveurs RADIUS utilisés pour l’authentification ou la comptabilité.

Configuration de l’authentification et de l’autorisation locales pour les abonnés

À partir de la version 18.2R1 de Junos OS, vous pouvez configurer l’authentification locale et l’autorisation locale limitée pour les abonnés. L’authentification locale prend en charge tous les types d’abonnés actuellement pris en charge par la gestion des abonnés et les services sur les routeurs MX Series. L’authentification et l’autorisation locales sont utiles dans les circonstances suivantes :

  • Lorsque vous ne souhaitez pas utiliser de serveurs d’authentification et d’autorisation externes.

  • Lorsque vous souhaitez que l’authentification et l’autorisation locales fournissent une méthode de sauvegarde en cas d’échec de l’authentification RADIUS.

  • Lorsque vous migrez un réseau de routeurs E Series exécutant le logiciel JunosE vers des routeurs MX Series exécutant Junos OS.

Activez l’authentification et l’autorisation locales pour les abonnés en configurant l’option password à configurer comme authentication-order méthode pour le profil d’accès. Configurez ensuite un mot de passe pour chaque abonné que vous souhaitez authentifier localement. Lorsqu’un abonné associé au profil d’accès se connecte, le nom d’utilisateur de connexion est comparé au nom d’utilisateur configuré. Si cela correspond, le mot de passe de connexion est comparé au mot de passe configuré. Les échecs d’authentification locale résultent d’incompatibilités d’informations d’identification ; c’est-à-dire que le nom d’utilisateur ou le mot de passe de l’abonné ne correspondent pas.

L’authentification locale peut prendre l’une des formes suivantes :

  • Authentification par mot de passe utilisateur : le mot de passe configuré est utilisé pour vérifier le mot de passe de connexion de l’abonné.

  • Authentification par établissement de liaison (CHAP) : le mot de passe configuré sert de secret de défi pour vérifier le mot de passe d’authentification et les informations d’identification de réponse à l’appel de l’abonné.

Vous pouvez également configurer plusieurs attributs, tels que le pool d’adresses, le système logique ou l’instance de routage, afin qu’ils soient autorisés localement pour l’abonné lorsque l’authentification réussit. Si vous ne configurez pas d’adresse ou de pool d’adresses pour l’autorisation locale, l’attribution d’adresses est basée sur la correspondance du réseau ou sur le premier pool d’adresses affecté à l’instance de routage.

Remarque :

L’authentification et l’autorisation locales prennent en charge un maximum de 100 abonnés sur l’ensemble du châssis. Si les abonnés sont configurés dans des profils d’accès où authentication-order password n’est pas configuré, l’authentification locale n’a pas lieu, mais ces abonnés comptent dans la limite système de 100 abonnés pour l’authentification locale.

Pour configurer l’authentification et l’autorisation locales :

  1. Activez l’authentification locale.

    Si vous souhaitez que seule l’authentification locale soit utilisée, configurez-la password comme seule méthode d’authentification. Si vous souhaitez que l’authentification locale sauvegarde l’authentification RADIUS en cas d’expiration de la méthode, vous devez la configurer radius comme première méthode et password comme deuxième méthode, comme suit :

    Si vous configurez password comme première méthode, l’authentification est toujours acceptée ou rejetée. Dans les deux cas, une deuxième méthode n’est jamais tentée.

  2. Configurez le mot de passe local de l’abonné.
  3. (Facultatif) Configurez une adresse IPv4 pour l’abonné.
  4. (Facultatif) Configurez un pool d’adresses pour attribuer une adresse IPv4 à l’abonné.
  5. (Facultatif) Configurez un pool d’adresses pour attribuer un préfixe IPv6 d’annonce routeur ou une adresse DHCPv6 IA_NA/128 au abonné.
  6. (Facultatif) Configurez un pool d’adresses pour allouer localement un préfixe IPv6 délégué.
  7. (Facultatif) Configurez un système logique et, si vous le souhaitez, une instance de routage affectée à l’abonné.
  8. (Facultatif) Configurez une instance de routage pour l’abonné.

Vous pouvez utiliser les commandes suivantes show pour afficher des informations sur l’authentification locale :

  • show network-access aaa statistics authentication detail: affiche les statistiques d’échec de l’authentification locale.

  • show network-access requests statistics: affiche à la fois les statistiques d’authentification locale et de réauthentification locales, telles que les demandes reçues et le nombre de réponses réussies et échouées.

  • show network-access aaa statistics re-authentication: affiche les statistiques de réauthentification, mais elles sont agrégées à partir de l’authentification locale et de RADIUS.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
18.2R1
À partir de la version 18.2R1 de Junos OS, vous pouvez configurer l’authentification locale et l’autorisation locale limitée pour les abonnés.