Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Authentification RADIUS

Junos OS Evolved prend en charge RADIUS pour l’authentification centralisée des utilisateurs sur les périphériques réseau. Pour utiliser l’authentification RADIUS sur l’équipement, vous (l’administrateur réseau) devez configurer les informations relatives à un ou plusieurs serveurs RADIUS sur le réseau. Vous pouvez également configurer la comptabilité RADIUS sur l’appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité RADIUS.

Configurer l’authentification du serveur RADIUS

L’authentification RADIUS est une méthode d’authentification des utilisateurs qui tentent d’accéder à un périphérique réseau. Les sections suivantes expliquent pourquoi vous devez utiliser RADIUS et comment le configurer.

Pourquoi utiliser RADIUS ?

Vous (l’administrateur réseau) pouvez utiliser différents protocoles pour l’authentification centralisée des utilisateurs sur les périphériques réseau, y compris RADIUS et TACACS+. Nous recommandons RADIUS car il s’agit d’une norme IETF multifournisseur et ses fonctionnalités sont plus largement acceptées que celles de TACACS+ ou d’autres systèmes propriétaires. De plus, nous vous recommandons d’utiliser un système de mot de passe à usage unique pour une sécurité accrue, et tous les fournisseurs de ces systèmes prennent en charge RADIUS.

Il est conseillé d’utiliser RADIUS lorsque vos priorités sont l’interopérabilité et la performance :

  • Interopérabilité : RADIUS est plus interopérable que TACACS+, principalement en raison de sa nature propriétaire. Bien que TACACS+ prenne en charge davantage de protocoles, RADIUS est universellement pris en charge.

  • Performances : RADIUS est beaucoup plus léger pour vos routeurs et commutateurs. C’est pourquoi les ingénieurs réseau préfèrent généralement RADIUS à TACACS+.

Détails de la configuration du serveur RADIUS

Pour utiliser l’authentification RADIUS sur l’équipement, configurez les informations relatives à un ou plusieurs serveurs RADIUS sur le réseau en incluant une radius-server instruction au niveau de la [edit system] hiérarchie pour chaque serveur RADIUS. L’équipement interroge les serveurs RADIUS dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

L’équipement réseau peut mapper des utilisateurs authentifiés par RADIUS à un compte d’utilisateur défini localement ou à un compte d’utilisateur modèle, qui détermine l’autorisation. Par défaut, Junos OS Evolved affecte les utilisateurs authentifiés par RADIUS au compte remotede modèle utilisateur , s’il est configuré, dans les cas suivants :

  • L’utilisateur authentifié n’a pas de compte d’utilisateur configuré sur l’appareil local.

  • Soit le serveur RADIUS n’affecte pas l’utilisateur à un modèle d’utilisateur local, soit le modèle qu’il attribue n’est pas configuré sur le périphérique local.

Le serveur RADIUS peut affecter un utilisateur authentifié à un modèle d’utilisateur différent pour lui accorder des autorisations administratives différentes. L’utilisateur conserve le même nom d’utilisateur dans l’interface de ligne de commande, mais hérite de la classe de connexion, des privilèges d’accès et de l’ID utilisateur effectif du modèle attribué. Si l’utilisateur authentifié par RADIUS n’est pas mappé à un compte d’utilisateur ou à un modèle d’utilisateur défini localement et que le modèle n’est remote pas configuré, l’authentification échoue.

Note:

Le remote nom d’utilisateur est un cas particulier dans Junos OS Evolved et doit toujours être en minuscules. Il sert de modèle pour les utilisateurs qui sont authentifiés par un serveur distant, mais qui n’ont pas de compte d’utilisateur configuré localement sur l’appareil. Junos OS Evolved applique les remote autorisations du modèle aux utilisateurs authentifiés qui ne disposent pas d’un compte défini localement. Tous les utilisateurs mappés au remote modèle appartiennent à la même classe de connexion.

Étant donné que vous configurez l’authentification à distance sur plusieurs appareils, il est courant de la configurer à l’intérieur d’un groupe de configuration. Les étapes indiquées ici se trouvent dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration est facultative.

Pour configurer l’authentification par un serveur RADIUS :

  1. Configurez l’adresse IPv4 ou l’adresse IPv6 du serveur d’authentification RADIUS.

    Par exemple:

  2. (Facultatif) Configurez l’adresse source du paquet pour les requêtes envoyées au serveur RADIUS.

    Par exemple:

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces de routeur ou de commutateur. Si le périphérique réseau dispose de plusieurs interfaces pouvant atteindre le serveur RADIUS, attribuez une adresse IP que le périphérique peut utiliser pour toutes ses communications avec le serveur RADIUS. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  3. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur RADIUS.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur RADIUS. Si le mot de passe contient des espaces, mettez-le entre guillemets. L’appareil stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple:

  4. (Facultatif) Spécifiez le port sur lequel contacter le serveur RADIUS, s’il est différent de celui par défaut.

    Le port par défaut est 1812 (comme spécifié dans la RFC 2865).

    Par exemple:

    Note:

    Vous pouvez également configurer l’instruction accounting-port pour spécifier le port du serveur RADIUS vers lequel envoyer les paquets de comptabilité. La valeur par défaut est 1813 (comme spécifié dans la RFC 2866).
  5. (Facultatif) Configurez le nombre de fois que l’appareil tente de contacter le serveur RADIUS et le temps pendant lequel l’appareil attend de recevoir une réponse du serveur.

    Par défaut, l’appareil tente de contacter le serveur trois fois et attend trois secondes. Vous pouvez configurer la retry valeur de 1 à 100 fois et la timeout valeur de 1 à 1000 secondes.

    Par exemple, pour contacter un serveur RADIUS 2 fois et attendre 10 secondes pour une réponse :

  6. Spécifiez l’ordre d’authentification et incluez l’option radius .

    Dans l’exemple suivant, chaque fois qu’un utilisateur tente de se connecter, Junos OS Evolved demande d’abord l’authentification au serveur RADIUS. En cas d’échec, il interroge le serveur TACACS+. En cas d’échec, il tente de s’authentifier avec des comptes d’utilisateur configurés localement.

  7. Attribuez une classe de connexion aux utilisateurs authentifiés par RADIUS qui n’ont pas de compte d’utilisateur défini localement.

    Vous configurez un compte de modèle d’utilisateur de la même manière qu’un compte d’utilisateur local, sauf que vous ne configurez pas de mot de passe d’authentification locale, car le serveur RADIUS authentifie l’utilisateur.

    • Pour utiliser les mêmes autorisations pour tous les utilisateurs authentifiés RADIUS, configurez le modèle d’utilisateur remote .

      Par exemple:

    • Pour utiliser différentes classes de connexion pour différents utilisateurs authentifiés par RADIUS, en leur accordant des autorisations différentes :

      1. Créez plusieurs modèles utilisateur dans la configuration de Junos OS Evolved . Par exemple:

      2. Configurez le serveur RADIUS pour mapper l’utilisateur authentifié au modèle d’utilisateur approprié.

        Définissez Juniper-Local-User-Name Juniper VSA (attribut spécifique au fournisseur) (Vendor 2636, type 1, string) sur le nom d’un modèle utilisateur configuré sur l’équipement, qui dans l’exemple précédent est RO, OP ou SU. Le serveur RADIUS inclut l’attribut dans le message RADIUS Access-Accept. L’authentification échoue si l’appareil ne peut pas affecter un utilisateur à un compte d’utilisateur local ou à un modèle d’utilisateur et que le modèle d’utilisateur n’est remote pas configuré.

Configurer RADIUS pour utiliser l’instance de gestion

Par défaut, Junos OS Evolved achemine les paquets d’authentification, d’autorisation et de comptabilité pour RADIUS via l’instance de routage par défaut. Vous pouvez également acheminer les paquets RADIUS via une interface de gestion dans une instance VRF autre que celle par défaut.

Pour acheminer des paquets RADIUS via l’instance mgmt_junos de gestion :

  1. Activez l’instance de mgmt_junos gestion.

  2. Configurez l’instruction routing-instance mgmt_junos du serveur d’authentification RADIUS et du serveur de comptabilité RADIUS, le cas échéant.

Exemple : Configuration d’un serveur RADIUS pour l’authentification du système

Cet exemple configure l’authentification du système par le biais d’un serveur RADIUS.

Exigences

Avant de commencer :

  • Effectuez la configuration initiale de l’appareil. Consultez le Guide de démarrage de votre appareil.

  • Configurez au moins un serveur RADIUS sur votre réseau.

Aperçu

Dans cet exemple, vous ajoutez un nouveau serveur RADIUS dont l’adresse IP est 172.16.98.1. Vous spécifiez le mot de passe secret partagé du serveur RADIUS en tant que Radiussecret1. L’appareil stocke le secret dans la base de données de configuration sous forme de valeur chiffrée. Enfin, vous spécifiez l’adresse source que l’appareil utilise dans les requêtes du serveur RADIUS. Dans la plupart des cas, vous pouvez utiliser l’adresse de bouclage de l’appareil, qui dans cet exemple est 10.0.0.1.

Vous pouvez configurer la prise en charge de plusieurs méthodes d’authentification utilisateur, telles que l’authentification par mot de passe local, RADIUS et TACACS+, sur l’équipement réseau. Lorsque vous configurez plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Dans cet exemple, vous configurez l’appareil pour qu’il utilise d’abord les services d’authentification RADIUS, puis, en cas d’échec, pour qu’il tente l’authentification par mot de passe local.

Un utilisateur authentifié par RADIUS doit être mappé à un compte d’utilisateur local ou à un compte de modèle d’utilisateur local sur l’équipement réseau, ce qui détermine l’autorisation. Par défaut, si un utilisateur authentifié par RADIUS n’est pas mappé à un compte d’utilisateur local ou à un modèle d’utilisateur spécifique, l’utilisateur est affecté au modèle d’utilisateur, s’il remote est configuré. Cet exemple configure le remote modèle utilisateur.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

Pour configurer un serveur RADIUS pour l’authentification du système :

  1. Ajoutez un nouveau serveur RADIUS et définissez son adresse IP.

  2. Spécifiez le secret partagé (mot de passe) du serveur RADIUS.

  3. Spécifiez l’adresse de bouclage de l’appareil comme adresse source.

  4. Spécifiez l'ordre d'authentification de l'appareil et incluez l' radius option.

  5. Configurez le remote modèle utilisateur et sa classe de connexion.
Résultats

En mode configuration, confirmez votre configuration en entrant la show system commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

La sortie suivante inclut uniquement les parties de la hiérarchie de configuration qui sont pertinentes pour cet exemple.

Après avoir configuré l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la configuration du serveur RADIUS

But

Vérifiez que le serveur RADIUS authentifie les utilisateurs.

Action

Connectez-vous à l’équipement réseau et vérifiez que la connexion a réussi. Pour vérifier que l’appareil utilise le serveur RADIUS pour l’authentification, vous pouvez essayer de vous connecter avec un compte qui ne définit pas de mot de passe d’authentification locale dans la configuration.

Attributs RADIUS spécifiques aux fournisseurs Juniper Networks

Junos OS Evolved prend en charge la configuration des attributs spécifiques au fournisseur (VSA) RADIUS de Juniper Networks sur le serveur RADIUS. Ces VSA sont encapsulés dans un attribut RADIUS spécifique au fournisseur dont l’ID de fournisseur est défini sur le numéro d’ID Juniper Networks, 2636.

Le Tableau 1 répertorie les VSA Juniper Networks que vous pouvez configurer.

Certains attributs acceptent des expressions régulières étendues, telles que définies dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Pour plus d’informations, voir :

Tableau 1 : attributs RADIUS spécifiques aux fournisseurs de Juniper Networks

Nom

Description

Type

Longueur

Corde

Nom d’utilisateur local Juniper

Indique le nom du modèle d’utilisateur attribué à cet utilisateur lorsque celui-ci se connecte à un périphérique. Cet attribut n’est utilisé que dans les paquets Access-Accept.

1

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Juniper-allow-Commands

Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

2

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

commandes Juniper Deny-Command

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter les commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

3

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-allow-configuration

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

4

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Deny-Configuration

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

5

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Interactive-Command

Indique la commande interactive saisie par l’utilisateur. Cet attribut n’est utilisé que dans les paquets Accounting-Request.

8

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Changement de configuration Juniper

Indique la commande interactive qui entraîne une modification de la configuration (base de données). Cet attribut n’est utilisé que dans les paquets Accounting-Request.

9

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

autorisations de l’utilisateur Juniper

Contient les informations utilisées par le serveur pour spécifier les autorisations utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

Note:

Lorsque le serveur RADIUS définit l’attribut Juniper-User-Permissions qui doit accorder l’autorisation ou all l’autorisation maintenance à un utilisateur, la liste des appartenances à un groupe de l’utilisateur n’inclut pas automatiquement le groupe de roues UNIX. Certaines opérations, telles que l’exécution de la su root commande à partir d’un shell local, nécessitent des autorisations d’appartenance à un groupe de roues. Toutefois, lorsque le périphérique réseau définit un compte d’utilisateur local avec les autorisations maintenance ou all, l’utilisateur se voit automatiquement accorder l’appartenance au groupe de roues UNIX. Par conséquent, nous vous recommandons de créer un compte de modèle d’utilisateur avec les autorisations requises et d’associer des comptes d’utilisateur individuels au compte de modèle d’utilisateur.

10

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

La chaîne est une liste d’indicateurs d’autorisation séparés par un espace. Le nom exact de chaque drapeau doit être spécifié dans son intégralité.

Reportez-vous à la section Vue d’ensemble des niveaux de privilèges d’accès.

Type d’authentification Juniper

Indique la méthode d’authentification (base de données locale ou serveur RADIUS) utilisée pour authentifier un utilisateur. Si l'utilisateur est authentifié à l'aide d'une base de données locale, la valeur de l'attribut indique « local ». Si l'utilisateur est authentifié à l'aide d'un serveur RADIUS ou LDAP, la valeur de l'attribut indique « distant ».

11

≥5

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Port de session Juniper

Indique le numéro de port source de la session établie.

12

taille de l’entier

Entier

juniper-allow-configuration-regexps
(RADIUS uniquement)

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

13

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Deny-Configuration-Regexps
(RADIUS uniquement)

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

14

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Pour plus d’informations sur les VSA, reportez-vous à la RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Utiliser des expressions régulières sur un serveur RADIUS ou TACACS+ pour autoriser ou refuser des commandes

Junos OS Evolved peut mapper des utilisateurs authentifiés RADIUS et TACACS+ à un compte utilisateur défini localement ou à un compte de modèle d'utilisateur, qui définit les privilèges d'accès de l'utilisateur. Vous pouvez également configurer les privilèges d'accès d'un utilisateur en définissant des attributs spécifiques au fournisseur (VSA) RADIUS et TACACS+ de Juniper Networks sur le serveur d'authentification correspondant.

La classe de connexion d'un utilisateur définit l'ensemble des autorisations qui détermine les commandes de mode opérationnel et de mode de configuration qu'un utilisateur est autorisé à exécuter, ainsi que les zones de la configuration qu'un utilisateur peut afficher et modifier. Une classe login peut également définir des expressions régulières qui autorisent ou refusent à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier certaines zones de la configuration, en plus de ce que les indicateurs d’autorisation autorisent. Une classe de connexion peut inclure les instructions suivantes pour définir l’autorisation de l’utilisateur :

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De même, une configuration de serveur RADIUS ou TACACS+ peut utiliser les VSA de Juniper Networks pour définir des autorisations spécifiques ou des expressions régulières qui déterminent les privilèges d'accès d'un utilisateur. Pour obtenir la liste des VSA RADIUS et TACACS+ pris en charge, consultez les rubriques suivantes :

Vous pouvez définir les autorisations utilisateur sur le serveur RADIUS ou TACACS+ sous la forme d’une liste de valeurs séparées par des espaces.

  • Un serveur RADIUS utilise l’attribut et la syntaxe suivants :

    Par exemple:

  • Un serveur TACACS+ utilise l’attribut et la syntaxe suivants :

    Par exemple:

Un serveur RADIUS ou TACACS+ peut également définir des VSA Juniper Networks qui utilisent une seule expression régulière étendue (telle que définie dans POSIX 1003.2) pour autoriser ou refuser à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier des zones de la configuration. Vous placez plusieurs commandes ou hiérarchies de configuration entre parenthèses et les séparez à l’aide d’un symbole de barre verticale. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Lorsque vous configurez des paramètres d’autorisation à la fois localement et à distance, l’appareil fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières définies sur l’équipement local.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

    Par exemple:

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple:

Les serveurs RADIUS et TACACS+ prennent également en charge la configuration d’attributs qui correspondent aux mêmes *-regexps instructions que celles que vous pouvez configurer sur le périphérique local. Les *-regexps attributs TACACS+ et RADIUS *-Regexps utilisent la même syntaxe d’expression régulière que les attributs précédents, mais ils vous permettent de configurer des expressions régulières avec des variables.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple, la configuration du serveur TACACS+ peut définir les attributs suivants :

Sur un serveur RADIUS ou TACACS+, vous pouvez également définir les attributs à l’aide d’une syntaxe simplifiée dans laquelle vous spécifiez chaque expression individuelle sur une ligne distincte.

Pour un serveur RADIUS, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

Pour un serveur TACACS+, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

Note:

  • Dans la syntaxe du serveur TACACS+, les valeurs numériques comprises entre 1 et n 1 doivent être uniques, mais pas nécessairement séquentielles. Par exemple, la syntaxe suivante est valide :

  • Le serveur RADIUS ou TACACS+ impose une limite sur le nombre de lignes d’expression régulière individuelles.

  • Lorsque vous émettez la show cli authorization commande, la sortie de la commande affiche l’expression régulière sur une seule ligne, même si vous spécifiez chaque expression individuelle sur une ligne distincte.

Les utilisateurs peuvent vérifier leur classe, leurs autorisations et leur autorisation de commande et de configuration en exécutant la commande en show cli authorization mode opérationnel.

Note:

Lorsque vous configurez les paramètres d’autorisation à la fois localement sur le périphérique réseau et à distance sur le serveur RADIUS ou TACACS+, le périphérique fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières configurées localement. Si l’expression finale contient une erreur de syntaxe, le résultat global est une expression régulière non valide.

Comprendre la comptabilité RADIUS

Les périphériques réseau prennent en charge IETF RFC 2866, RADIUS Accounting. Vous pouvez configurer la comptabilité RADIUS sur un périphérique pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité RADIUS. Les données statistiques peuvent être utilisées pour la surveillance générale du réseau, l’analyse et le suivi des modèles d’utilisation, ou la facturation d’un utilisateur en fonction de la durée de la session ou du type de services consultés.

Pour configurer la comptabilité RADIUS, spécifiez :

  • Un ou plusieurs serveurs comptables RADIUS pour recevoir les données statistiques de l’appareil

  • Le type de données comptables à collecter

Vous pouvez utiliser le même serveur pour la comptabilisation et l’authentification RADIUS, ou vous pouvez utiliser des serveurs distincts. Vous pouvez spécifier une liste de serveurs comptables RADIUS. L’appareil interroge les serveurs dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

Le processus de comptabilisation RADIUS entre l’appareil et un serveur RADIUS fonctionne comme suit :

  1. Un serveur de comptabilité RADIUS écoute les paquets UDP (User Datagram Protocol) sur un port spécifique. Le port par défaut pour la comptabilité RADIUS est 1813.

  2. L’appareil transfère un paquet Accounting-Request contenant un enregistrement d’événement au serveur de comptabilité. L’enregistrement d’événement associé à ce demandeur contient un attribut Acct-Status-Type dont la valeur indique le début du service utilisateur pour ce demandeur. À la fin de la session du demandeur, la demande de comptabilisation contient une valeur d’attribut Acct-Status-Type indiquant la fin du service utilisateur. Le serveur de comptabilité RADIUS l’enregistre sous la forme d’un enregistrement d’arrêt de comptabilisation contenant les informations de session et la durée de la session.

  3. Le serveur de comptabilité RADIUS consigne ces événements dans un fichier en tant qu’enregistrements de comptabilité de démarrage ou d’arrêt de comptabilité. Sur FreeRADIUS, le nom de fichier est l’adresse du serveur, par exemple 192.0.2.0.

  4. Le serveur de comptabilité envoie un paquet Accounting-Response à l’appareil pour confirmer qu’il a bien reçu la demande de comptabilité.

  5. Si l’appareil ne reçoit pas de paquet Accounting-Response du serveur, il continue d’envoyer des demandes de comptabilité jusqu’à ce que le serveur renvoie une réponse.

Vous pouvez consulter les statistiques collectées par ce processus sur le serveur RADIUS. Pour consulter ces statistiques, accédez au fichier journal configuré pour les recevoir.

Configurer la comptabilité du système RADIUS

Lorsque vous activez la comptabilité RADIUS, les équipements Juniper Networks, agissant en tant que clients RADIUS, peuvent notifier le serveur RADIUS des activités des utilisateurs, telles que les connexions logicielles, les modifications de configuration et les commandes interactives. Le cadre de la comptabilité RADIUS est décrit dans la RFC 2866, Comptabilité RADIUS.

Configurer l’audit des événements utilisateur sur un serveur RADIUS

Pour configurer la comptabilité RADIUS :

  1. Configurez les événements à auditer.

    Par exemple:

    events Il peut s’agir d’un ou de plusieurs des éléments suivants :

    • login—Connexions d’audit

    • change-log—Modifications de la configuration d’audit

    • interactive-commands—Auditer les commandes interactives (n’importe quelle entrée de ligne de commande)

  2. Activez la comptabilité RADIUS.
  3. Configurez l’adresse d’un ou de plusieurs serveurs de comptabilité RADIUS.

    Par exemple:

    Note:

    Si vous ne configurez aucun serveur RADIUS au niveau de la [edit system accounting destination radius] hiérarchie, l’appareil utilise les serveurs RADIUS configurés au niveau de la [edit system radius-server] hiérarchie.
  4. (Facultatif) Configurez l’adresse source pour les demandes de comptabilité RADIUS.

    Par exemple:

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces de routeur ou de commutateur. Si le périphérique réseau dispose de plusieurs interfaces pouvant atteindre le serveur RADIUS, attribuez une adresse IP que le périphérique peut utiliser pour toutes ses communications avec le serveur RADIUS. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  5. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur de comptabilité RADIUS.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur RADIUS. Si le mot de passe contient des espaces, mettez-le entre guillemets. L’appareil stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple:

  6. (Facultatif) Si nécessaire, spécifiez le port du serveur de comptabilité RADIUS vers lequel envoyer les paquets de comptabilité, s’il est différent de celui par défaut (1813).
    Note:

    Si vous activez la comptabilisation RADIUS au niveau de la hiérarchie, la [edit access profile profile-name accounting-order] comptabilisation est déclenchée sur le port par défaut 1813, même si vous ne spécifiez pas de valeur pour l’instruction accounting-port .
  7. (Facultatif) Configurez le nombre de fois que l’appareil tente de contacter un serveur de comptabilité RADIUS et le temps pendant lequel l’appareil attend de recevoir une réponse d’un serveur.

    Par défaut, l’appareil tente de contacter le serveur trois fois et attend trois secondes. Vous pouvez configurer la retry valeur de 1 à 100 fois et la timeout valeur de 1 à 1000 secondes.

    Par exemple, pour contacter un serveur 2 fois et attendre 10 secondes pour une réponse :

  8. (Facultatif) Pour acheminer les paquets de comptabilité RADIUS via l’instance de gestion autre que l’instance de routage par défaut au lieu de l’instance de routage par défaut, configurez l’instruction routing-instance mgmt_junos .
  9. (Facultatif) Configurez l’instruction enhanced-accounting au niveau de la hiérarchie pour inclure des attributs de comptabilité supplémentaires, notamment la méthode d’accès, le [edit system radius-options] port distant et les privilèges d’accès, pour les événements de connexion utilisateur.
    Note:

    Pour limiter le nombre de valeurs d’attribut à auditer, configurez l’instruction enhanced-avs-max <number> au niveau de la [edit system accounting] hiérarchie.

L’exemple suivant configure trois serveurs (10.5.5.5, 10.6.6.6 et 10.7.7.7) pour la comptabilité RADIUS :