Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de base de l’authentification et de la comptabilité RADIUS

Configuration des paramètres d’authentification et de comptabilisation pour l’accès abonné

Vous utilisez un profil d’accès pour configurer la prise en charge de l’authentification et de la comptabilité pour la fonctionnalité de gestion de l’accès abonné. Le profil d’accès vous permet de spécifier le type de méthodes utilisées pour l’authentification et la comptabilité. Vous pouvez également configurer la manière dont la gestion des accès abonnés collecte et utilise les statistiques comptables.

Pour configurer l’authentification et la comptabilisation de l’accès abonné :

  1. Spécifiez les méthodes d’authentification et de comptabilité à utiliser.

    Reportez-vous à la section Spécification des méthodes d’authentification et de comptabilisation de l’accès abonné.

  2. Précisez comment les statistiques comptables sont collectées.

    Reportez-vous à la section Configuration de la comptabilisation des sessions par abonné.

Spécification des méthodes d’authentification et de comptabilisation de l’accès abonné

Vous pouvez spécifier les méthodes d’authentification et de comptabilisation utilisées par la gestion des accès abonnés.

Vous pouvez configurer plusieurs méthodes d’authentification et de comptabilisation : les authentication-order instructions et accounting order spécifient l’ordre dans lequel la fonctionnalité de gestion de l’accès abonné utilise ces méthodes. Par exemple, une entrée d’authentification de spécifie radius password que l’authentification RADIUS est effectuée en premier ; si elle expire (par exemple, si le serveur RADIUS est inaccessible), alors l’authentification locale (password) est tentée. Toutefois, si une méthode rejette la tentative d’authentification, aucune autre méthode n’est tentée. Si password est configuré comme première méthode à tenter, l’authentification est toujours acceptée ou rejetée ; dans les deux cas, aucune autre méthode n’est tentée.

Vous pouvez spécifier les méthodes d’authentification suivantes à l’aide de l’instruction authentication-order :

  • radius: authentification RADIUS à l’aide d’un serveur RADIUS externe.

  • password: authentification locale à l’aide de noms d’utilisateur et de mots de passe configurés et stockés localement.

    La gestion de l’accès des abonnés ne prend pas en charge cette option avant la password version 18.2R1 de Junos OS. À partir de Junos OS version 18.2R1, vous pouvez utiliser cette option pour fournir une authentification locale à des abonnés individuels, généralement lorsque vous ne disposez pas de serveurs d’authentification et d’autorisation externes, ou lorsque vous souhaitez utiliser l’authentification password locale comme sauvegarde de l’authentification externe. Dans ce cas, vous configurez le mot de passe de l’abonné réel avec l’option password de l’instruction subscriber username dans le profil d’accès. Dans les versions antérieures, vous devez toujours spécifier la méthode d’authentification radius .

Vous pouvez spécifier les méthodes comptables suivantes :

  • radius: comptabilité RADIUS à l’aide d’un serveur RADIUS externe.

Pour configurer les méthodes d’authentification et de comptabilisation de la gestion des accès abonnés :

  1. Spécifiez les méthodes d’authentification et l’ordre dans lequel elles sont utilisées.
  2. Spécifiez la méthode comptable.

Spécification des serveurs d’authentification et de comptabilité RADIUS pour l’accès abonné

Vous pouvez spécifier un ou plusieurs serveurs d’authentification ou de comptabilité RADIUS à utiliser pour la gestion des accès des abonnés.

Pour configurer la prise en charge de l’authentification et de la comptabilité RADIUS :

  1. Indiquez que vous souhaitez configurer la prise en charge de RADIUS.
  2. Spécifiez l’adresse IP du serveur RADIUS utilisé pour l’authentification.
  3. Spécifiez l’adresse IP du serveur RADIUS utilisé pour la comptabilisation.

Pour configurer plusieurs serveurs d’authentification ou de comptabilité RADIUS :

  • Spécifiez les adresses IP de tous les serveurs RADIUS utilisés pour l’authentification ou la comptabilité.

Configuration de l’authentification et de l’autorisation locales pour les abonnés

À partir de Junos OS version 18.2R1, vous pouvez configurer l’authentification locale et l’autorisation locale limitée pour les abonnés. L’authentification locale prend en charge tous les types d’abonnés actuellement pris en charge par la gestion des abonnés et les services sur les routeurs MX Series. L’authentification et l’autorisation locales sont utiles dans les circonstances suivantes :

  • Lorsque vous ne souhaitez pas utiliser de serveurs d’authentification et d’autorisation externes.

  • Lorsque vous souhaitez que l’authentification et l’autorisation locales fournissent une méthode de secours en cas d’échec de l’authentification RADIUS.

  • Lorsque vous migrez un réseau de routeurs E Series exécutant le logiciel JunosE vers des routeurs MX Series exécutant Junos OS.

Activez l’authentification et l’autorisation locales pour les abonnés en configurant l’option password à configurer en tant que authentication-order méthode pour le profil d’accès. Configurez ensuite un mot de passe pour chaque abonné que vous souhaitez authentifier localement. Lorsqu’un abonné associé au profil d’accès se connecte, le nom d’utilisateur de connexion est comparé au nom d’utilisateur configuré. Si cela correspond, le mot de passe de connexion est comparé au mot de passe configuré. Les échecs d’authentification locale résultent d’incompatibilités d’informations d’identification ; c’est-à-dire que le nom d’utilisateur ou le mot de passe de l’abonné ne correspondent pas.

L’authentification locale peut prendre l’une des formes suivantes :

  • Authentification par mot de passe de l’utilisateur : le mot de passe configuré est utilisé pour vérifier le mot de passe de connexion de l’abonné.

  • Authentification CHAP (Challenge Handshake Authentication) : le mot de passe configuré fait office de secret de demande pour vérifier le mot de passe de demande et les informations d’identification de réponse à la demande de l’abonné.

Vous pouvez également configurer plusieurs attributs, tels que le pool d’adresses, le système logique ou l’instance de routage, pour qu’ils soient autorisés localement pour l’abonné lorsque l’authentification réussit. Si vous ne configurez pas d’adresse ou de pool d’adresses pour l’autorisation locale, l’attribution d’adresses est basée sur la correspondance du réseau ou sur le premier pool d’adresses attribué à l’instance de routage.

Note:

L’authentification et l’autorisation locales prennent en charge un maximum de 100 abonnés à l’échelle du châssis. Si les abonnés sont configurés dans des profils d’accès où authentication-order password n’est pas configuré, l’authentification locale n’a pas lieu, mais ces abonnés sont comptabilisés dans la limite système de 100 abonnés pour l’authentification locale.

Pour configurer l’authentification et l’autorisation locales :

  1. Activez l’authentification locale.

    Si vous souhaitez que seule l’authentification locale soit utilisée, configurez-la password comme seule méthode d’authentification. Si vous souhaitez que l’authentification locale sauvegarde l’authentification RADIUS en cas d’expiration de la méthode, vous devez la configurer radius en tant que première méthode et password en tant que deuxième méthode, comme suit :

    Si vous configurez password en tant que première méthode, l’authentification est toujours acceptée ou refusée. Dans les deux cas, une deuxième méthode n’est jamais tentée.

  2. Configurez le mot de passe local de l’abonné.
  3. (Facultatif) Configurez une adresse IPv4 pour l’abonné.
  4. (Facultatif) Configurez un pool d’adresses pour attribuer une adresse IPv4 à l’abonné.
  5. (Facultatif) Configurez un pool d’adresses pour attribuer un préfixe IPv6 d’annonce de routeur ou une adresse DHCPv6 IA_NA/128 à l’abonné.
  6. (Facultatif) Configurez un pool d’adresses pour allouer localement un préfixe IPv6 délégué.
  7. (Facultatif) Configurez un système logique et, si vous le souhaitez, une instance de routage affectée à l’abonné.
  8. (Facultatif) Configurez une instance de routage pour l’abonné.

Vous pouvez utiliser les commandes suivantes show pour afficher des informations sur l’authentification locale :

  • show network-access aaa statistics authentication detail: affiche les statistiques d’échec de l’authentification locale.

  • show network-access requests statistics: affiche à la fois les statistiques d’authentification locale et de réauthentification locale, telles que les demandes reçues et le nombre de réponses de réussite et d’échec.

  • show network-access aaa statistics re-authentication: affiche les statistiques de réauthentification, mais celles-ci sont agrégées à partir de l’authentification locale et de RADIUS.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
18.2R1
À partir de Junos OS version 18.2R1, vous pouvez configurer l’authentification locale et l’autorisation locale limitée pour les abonnés.