Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Authentification TACACS+

Junos OS Evolved prend en charge TACACS+ pour l’authentification centralisée des utilisateurs sur les périphériques réseau. Pour utiliser l’authentification TACACS+ sur l’appareil, vous (l’administrateur réseau) devez configurer les informations relatives à un ou plusieurs serveurs TACACS+ sur le réseau. Vous pouvez également configurer la comptabilité TACACS+ sur l’appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité TACACS+.

Configurer l’authentification TACACS+

L’authentification TACACS+ est une méthode d’authentification des utilisateurs qui tentent d’accéder à un périphérique réseau.

Pour configurer TACACS+, effectuez les tâches suivantes :

Configurer les détails du serveur TACACS+

Pour utiliser l’authentification TACACS+ sur l’appareil, configurez les informations relatives à un ou plusieurs serveurs TACACS+ sur le réseau en incluant une tacplus-server instruction au niveau de la [edit system] hiérarchie pour chaque serveur TACACS+. L’appareil interroge les serveurs TACACS+ dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

Le périphérique réseau peut mapper des utilisateurs authentifiés TACACS+ à un compte d’utilisateur défini localement ou à un compte d’utilisateur-modèle, qui détermine l’autorisation. Par défaut, Junos OS Evolved affecte des utilisateurs authentifiés TACACS+ au compte remotede modèle d’utilisateur , s’il est configuré, dans les cas suivants :

  • L’utilisateur authentifié n’a pas de compte d’utilisateur configuré sur l’appareil local.

  • Soit le serveur TACACS+ n’affecte pas l’utilisateur à un modèle d’utilisateur local, soit le modèle que le serveur attribue n’est pas configuré sur le périphérique local.

Le serveur TACACS+ peut affecter un utilisateur authentifié à un modèle d’utilisateur différent afin d’accorder différentes autorisations d’administration à cet utilisateur. L’utilisateur conserve le même nom d’utilisateur dans l’interface de ligne de commande, mais hérite de la classe de connexion, des privilèges d’accès et de l’ID utilisateur effectif du modèle attribué. Si l’utilisateur authentifié TACACS+ n’est pas mappé à un compte d’utilisateur ou à un modèle d’utilisateur défini localement et que le modèle n’est remote pas configuré, l’authentification échoue.

Note:

Le remote nom d’utilisateur est un cas particulier dans Junos OS Evolved et doit toujours être en minuscules. Il sert de modèle pour les utilisateurs qui sont authentifiés par un serveur distant, mais qui n’ont pas de compte d’utilisateur configuré localement sur l’appareil. Junos OS Evolved applique les remote autorisations du modèle aux utilisateurs authentifiés qui ne disposent pas d’un compte défini localement. Tous les utilisateurs mappés au remote modèle appartiennent à la même classe de connexion.

Étant donné que l’authentification à distance est configurée sur plusieurs appareils, elle est généralement configurée à l’intérieur d’un groupe de configuration. Les étapes indiquées ici se trouvent dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration est facultative.

Pour configurer l’authentification par un serveur TACACS+ :

  1. Configurez l’adresse IPv4 ou l’adresse IPv6 du serveur d’authentification TACACS+.

    Par exemple:

  2. (Facultatif) Configurez l’adresse source du paquet pour les requêtes envoyées au serveur TACACS+.

    Par exemple:

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces de routeur ou de commutateur. Si le périphérique réseau dispose de plusieurs interfaces pouvant atteindre le serveur TACACS+, attribuez une adresse IP que le périphérique peut utiliser pour toutes ses communications avec le serveur TACACS+. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  3. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur TACACS+.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur TACACS+. Si le mot de passe contient des espaces, mettez-le entre guillemets. L’appareil stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple:

  4. (Facultatif) Spécifiez le port sur lequel contacter le serveur TACACS+, s’il est différent du port par défaut (49).

    Par exemple:

  5. (Facultatif) Configurez la durée pendant laquelle l’appareil attend de recevoir une réponse du serveur TACACS+.

    Par défaut, l’appareil attend 3 secondes. Vous pouvez configurer la timeout valeur de 1 à 90 secondes.

    Par exemple, pour attendre 15 secondes une réponse du serveur :

  6. (Facultatif) Configurez l’appareil pour qu’il maintienne une connexion TCP ouverte au serveur pour plusieurs demandes plutôt que d’ouvrir une connexion distincte pour chaque tentative de connexion.
    Note:

    Les versions antérieures du serveur TACACS+ ne prennent pas en charge cette single-connection option. Si vous spécifiez cette option et que le serveur ne la prend pas en charge, l’appareil ne pourra pas communiquer avec ce serveur TACACS+.
  7. (Facultatif) Pour acheminer des paquets TACACS+ via une instance de routage spécifique, configurez l’instruction routing-instance et spécifiez une instance de routage valide.

    Par défaut, Junos OS Evolved achemine les paquets d’authentification, d’autorisation et de comptabilité pour TACACS+ via l’instance de routage par défaut.

  8. Spécifiez l’ordre d’authentification et incluez l’option tacplus .

    Dans l’exemple suivant, chaque fois qu’un utilisateur tente de se connecter, Junos OS Evolved demande d’abord l’authentification au serveur TACACS+. En cas d’échec, il interroge le serveur RADIUS. En cas d’échec, il tente de s’authentifier avec des comptes d’utilisateur configurés localement.

  9. Attribuez une classe de connexion aux utilisateurs authentifiés TACACS+ qui n’ont pas de compte d’utilisateur défini localement.

    Vous configurez un compte de modèle d’utilisateur de la même manière qu’un compte d’utilisateur local, sauf que vous ne configurez pas de mot de passe d’authentification locale car le serveur TACACS+ authentifie l’utilisateur.

    • Pour utiliser les mêmes autorisations pour tous les utilisateurs authentifiés TACACS+, configurez le modèle d’utilisateur remote .

      Par exemple:

    • Pour utiliser différentes classes de connexion pour différents utilisateurs authentifiés TACACS+, en leur accordant des autorisations différentes :

      1. Créez plusieurs modèles utilisateur dans la configuration de Junos OS Evolved . Par exemple:

      2. Configurez le serveur TACACS+ pour mapper l’utilisateur authentifié au modèle d’utilisateur approprié.

        Par exemple, définissez l’attribut local-user-name spécifique au fournisseur Juniper (VSA) sur le nom d’un modèle utilisateur configuré sur l’équipement (dans l’exemple précédent) : RO, OP ou SU. L’authentification échoue si l’appareil ne peut pas affecter un utilisateur à un compte d’utilisateur local ou à un modèle d’utilisateur et que le modèle d’utilisateur n’est remote pas configuré.

Configurer TACACS+ pour utiliser l’instance de gestion

Par défaut, Junos OS Evolved achemine les paquets d’authentification, d’autorisation et de comptabilité pour TACACS+ via l’instance de routage par défaut. Vous pouvez également acheminer des paquets TACACS+ via une interface de gestion dans une instance VRF autre que celle par défaut.

Pour acheminer les paquets TACACS+ via l’instance mgmt_junos de gestion :

  1. Activez l’instance de mgmt_junos gestion.

  2. Configurez l’instruction routing-instance mgmt_junos pour le serveur d’authentification TACACS+ et le serveur de comptabilité TACACS+, le cas échéant.

Configurer le même service d’authentification pour plusieurs serveurs TACACS+

Vous pouvez configurer le même service d’authentification pour plusieurs serveurs TACACS+ en incluant des instructions aux niveaux et [edit system tacplus-options] de la [edit system tacplus-server] hiérarchie.

Pour attribuer le même service d’authentification à plusieurs serveurs TACACS+ :

  1. Configurez les serveurs TACACS+ comme décrit dans Configurer l’authentification TACACS+.
  2. Configurez l’instruction service-name au niveau de la [edit system tacplus-options] hiérarchie.
    service-name est le nom du service d’authentification, qui est junos-execpar défaut .

    Par exemple:

L’exemple suivant montre comment configurer le même service d’authentification pour plusieurs serveurs TACACS+ :

Configurer les attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks

Junos OS Evolved peut mapper des utilisateurs authentifiés TACACS+ à un compte utilisateur défini localement ou à un compte de modèle d’utilisateur, qui détermine l’autorisation. Vous pouvez également configurer les privilèges d'accès d'un utilisateur en définissant des attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks sur le serveur TACACS+. Vous définissez les attributs dans le fichier de configuration du serveur TACACS+ pour chaque utilisateur. L’équipement réseau récupère ces attributs par le biais d’une demande d’autorisation du serveur TACACS+ après avoir authentifié un utilisateur.

Pour spécifier ces attributs, incluez une service instruction de la forme suivante dans le fichier de configuration du serveur TACACS+ :

Vous pouvez définir l’instruction service dans une user instruction ou une group instruction.

Configurer l’actualisation périodique du profil d’autorisation TACACS+

Lorsque vous configurez un périphérique exécutant Junos OS Evolved pour utiliser un serveur TACACS+ pour l’authentification, le périphérique invite les utilisateurs à entrer des informations de connexion, qui sont vérifiées par le serveur TACACS+. Une fois qu’un utilisateur est authentifié, le périphérique réseau envoie une demande d’autorisation au serveur TACACS+ pour obtenir le profil d’autorisation de l’utilisateur. Les profils d’autorisation spécifient les autorisations d’accès pour les utilisateurs ou les appareils authentifiés.

Le serveur TACACS+ envoie le profil d’autorisation dans le cadre d’un message de réponse d’autorisation. L’utilisateur distant configuré sur le serveur TACACS+ est mappé à un utilisateur local ou à un modèle d’utilisateur configuré sur le périphérique exécutant Junos OS Evolved. Junos OS Evolved combine le profil d'autorisation distant de l'utilisateur et le profil d'autorisation configuré localement, ce dernier étant configuré au niveau de la hiérarchie [edit system login class].

Par défaut, l’échange de demandes d’autorisation et de messages de réponse n’a lieu qu’une seule fois, après l’authentification réussie. Vous pouvez configurer les périphériques de manière à ce que Junos OS Evolved récupère régulièrement le profil d’autorisation à distance à partir du serveur TACACS+ et actualise le profil d’autorisation stocké localement. Cette actualisation périodique garantit que l’appareil local reflète toute modification des paramètres d’autorisation sans que l’utilisateur doive redémarrer le processus d’authentification.

Pour activer l’actualisation périodique du profil d’autorisation, vous devez définir l’intervalle de temps pendant lequel l’équipement local vérifie le profil d’autorisation configuré à distance sur le serveur TACACS+. Si le profil d’autorisation à distance change, l’appareil récupère le profil d’autorisation à partir du serveur TACACS+ et le profil d’autorisation configuré sous la hiérarchie des classes de connexion. L’appareil actualise le profil d’autorisation stocké localement en combinant les profils d’autorisation configurés localement et distants.

Vous pouvez configurer l’intervalle de temps d’actualisation localement sur le périphérique exécutant Junos OS Evolved ou directement sur le serveur TACACS+. L’intervalle de temps peut aller de 15 à 1440 minutes.

  • Pour configurer l’actualisation périodique du profil d’autorisation sur l’équipement local, incluez l’instruction authorization-time-interval au niveau de la [edit system tacplus-options] hiérarchie, comme suit :
  • Pour configurer l’actualisation périodique sur le serveur TACACS+, ajoutez le refresh-time-interval paramètre dans le profil d’autorisation à l’aide de la syntaxe suivante :

Suivez les instructions ci-dessous pour déterminer quelle configuration d’intervalle de temps est prioritaire :

  • Si l’intervalle de temps d’actualisation est configuré uniquement sur le serveur TACACS+ ou uniquement sur le périphérique exécutant Junos OS Evolved, la valeur configurée prend effet.

  • Si l’intervalle de temps d’actualisation est configuré à la fois sur le serveur TACACS+ et sur le périphérique exécutant Junos OS Evolved, la valeur configurée sur le serveur TACACS+ est prioritaire.

  • Si aucun intervalle de temps d’actualisation n’est configuré sur le serveur TACACS+ ou sur l’équipement exécutant Junos OS Evolved, aucune actualisation périodique n’a lieu.

  • Si l’intervalle de temps d’actualisation configuré sur le serveur TACACS+ est hors plage ou non valide, l’intervalle de temps d’actualisation configuré localement prend effet. Si aucun intervalle de temps d’actualisation n’est configuré localement, aucune actualisation périodique n’a lieu.

Une fois l’intervalle de temps d’actualisation périodique défini, si l’utilisateur modifie l’intervalle d’actualisation avant l’envoi de la demande d’autorisation à partir de l’appareil local, l’intervalle d’actualisation mis à jour prend effet après l’actualisation périodique immédiate suivante.

Exemple : Configuration d’un serveur TACACS+ pour l’authentification du système

Cet exemple configure l’authentification du système via un serveur TACACS+.

Exigences

Avant de commencer :

  • Effectuez la configuration initiale de l’appareil. Consultez le Guide de démarrage de votre appareil.

  • Configurez au moins un serveur TACACS+ sur votre réseau.

Aperçu

Dans cet exemple, vous ajoutez un nouveau serveur TACACS+ dont l’adresse IP est 172.16.98.1. Vous spécifiez le mot de passe secret partagé du serveur TACACS+ en tant que Tacacssecret1. L’appareil stocke le secret dans la base de données de configuration sous forme de valeur chiffrée. Enfin, vous spécifiez l’adresse source que l’appareil utilise dans les requêtes du serveur TACACS+. Dans la plupart des cas, vous pouvez utiliser l’adresse de bouclage de l’appareil, qui dans cet exemple est 10.0.0.1.

Vous pouvez configurer la prise en charge de plusieurs méthodes d’authentification utilisateur, telles que l’authentification par mot de passe local, TACACS+ et RADIUS, sur l’équipement réseau. Lorsque vous configurez plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Dans cet exemple, vous configurez l’appareil pour qu’il utilise d’abord les services d’authentification TACACS+ et, en cas d’échec, pour qu’il tente ensuite l’authentification par mot de passe local.

Un utilisateur authentifié TACACS+ doit être mappé à un compte d’utilisateur local ou à un compte de modèle d’utilisateur local sur l’équipement réseau, ce qui détermine l’autorisation. Par défaut, si un utilisateur authentifié TACACS+ n’est pas mappé à un compte d’utilisateur local ou à un modèle d’utilisateur spécifique, l’utilisateur est affecté au modèle d’utilisateur remote , s’il est configuré. Cet exemple configure le remote modèle utilisateur.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

Pour configurer un serveur TACACS+ pour l’authentification du système :

  1. Ajoutez un nouveau serveur TACACS+ et définissez son adresse IP.

  2. Spécifiez le secret partagé (mot de passe) du serveur TACACS+.

  3. Spécifiez l’adresse de bouclage de l’appareil comme adresse source.

  4. Spécifiez l'ordre d'authentification de l'appareil et incluez l' tacplus option.

  5. Configurez le remote modèle utilisateur et sa classe de connexion.
Résultats

En mode configuration, confirmez votre configuration en entrant la show system commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

La sortie suivante inclut uniquement les parties de la hiérarchie de configuration qui sont pertinentes pour cet exemple :

Après avoir configuré l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier la configuration du serveur TACACS+

But

Vérifiez que le serveur TACACS+ authentifie les utilisateurs.

Action

Connectez-vous à l’équipement réseau et vérifiez que la connexion a réussi. Pour vérifier que l’appareil utilise le serveur TACACS+ pour l’authentification, vous pouvez essayer de vous connecter avec un compte qui ne définit pas de mot de passe d’authentification local dans la configuration.

Attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks

Junos OS Evolved prend en charge la configuration des attributs spécifiques au fournisseur (VSA) TACACS+ de Juniper Networks sur le serveur TACACS+. Le Tableau 1 répertorie les VSA Juniper Networks pris en charge.

Certains attributs acceptent des expressions régulières étendues, telles que définies dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Pour plus d’informations, voir :

Tableau 1 : attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks

Nom

Description

Longueur

Corde

local-user-name

Indique le nom du modèle d’utilisateur attribué à cet utilisateur lorsque celui-ci se connecte à un périphérique.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

allow-commands

Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.
allow-commands-regexps

Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

allow-configuration

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

allow-configuration-regexps

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

deny-commands

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter les commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.
deny-commands-regexps

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter les commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

deny-configuration

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

deny-configuration-regexps

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

user-permissions

Contient les informations utilisées par le serveur pour spécifier les autorisations utilisateur.

Note:

Lorsque le serveur TACACS+ définit l’attribut user-permissions pour accorder l’autorisation ou all l’autorisation maintenance à un utilisateur, la liste des appartenances au groupe de l’utilisateur n’inclut pas automatiquement le groupe de roues UNIX. Certaines opérations, telles que l’exécution de la su root commande à partir d’un shell local, nécessitent des autorisations d’appartenance à un groupe de roues. Toutefois, lorsque le périphérique réseau définit un compte d’utilisateur local avec les autorisations maintenance ou all, l’utilisateur se voit automatiquement accorder l’appartenance au groupe de roues UNIX. Par conséquent, nous vous recommandons de créer un compte de modèle d’utilisateur avec les autorisations requises et d’associer des comptes d’utilisateur individuels au compte de modèle d’utilisateur.

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Reportez-vous à la section Vue d’ensemble des niveaux de privilèges d’accès.

authentication-type

Indique la méthode d’authentification (base de données locale ou serveur TACACS+) utilisée pour authentifier un utilisateur. Si l'utilisateur est authentifié à l'aide d'une base de données locale, la valeur de l'attribut indique « local ». Si l'utilisateur est authentifié à l'aide d'un serveur TACACS+, la valeur de l'attribut indique « distant ».

≥5

Un ou plusieurs octets contenant des caractères ASCII imprimables.

session-port

Indique le numéro de port source de la session établie.

taille de l’entier

Entier

Utiliser des expressions régulières sur un serveur RADIUS ou TACACS+ pour autoriser ou refuser des commandes

Junos OS Evolved peut mapper des utilisateurs authentifiés RADIUS et TACACS+ à un compte utilisateur défini localement ou à un compte de modèle d'utilisateur, qui définit les privilèges d'accès de l'utilisateur. Vous pouvez également configurer les privilèges d'accès d'un utilisateur en définissant des attributs spécifiques au fournisseur (VSA) RADIUS et TACACS+ de Juniper Networks sur le serveur d'authentification correspondant.

La classe de connexion d'un utilisateur définit l'ensemble des autorisations qui détermine les commandes de mode opérationnel et de mode de configuration qu'un utilisateur est autorisé à exécuter, ainsi que les zones de la configuration qu'un utilisateur peut afficher et modifier. Une classe login peut également définir des expressions régulières qui autorisent ou refusent à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier certaines zones de la configuration, en plus de ce que les indicateurs d’autorisation autorisent. Une classe de connexion peut inclure les instructions suivantes pour définir l’autorisation de l’utilisateur :

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De même, une configuration de serveur RADIUS ou TACACS+ peut utiliser les VSA de Juniper Networks pour définir des autorisations spécifiques ou des expressions régulières qui déterminent les privilèges d'accès d'un utilisateur. Pour obtenir la liste des VSA RADIUS et TACACS+ pris en charge, consultez les rubriques suivantes :

Vous pouvez définir les autorisations utilisateur sur le serveur RADIUS ou TACACS+ sous la forme d’une liste de valeurs séparées par des espaces.

  • Un serveur RADIUS utilise l’attribut et la syntaxe suivants :

    Par exemple:

  • Un serveur TACACS+ utilise l’attribut et la syntaxe suivants :

    Par exemple:

Un serveur RADIUS ou TACACS+ peut également définir des VSA Juniper Networks qui utilisent une seule expression régulière étendue (telle que définie dans POSIX 1003.2) pour autoriser ou refuser à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier des zones de la configuration. Vous placez plusieurs commandes ou hiérarchies de configuration entre parenthèses et les séparez à l’aide d’un symbole de barre verticale. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Lorsque vous configurez des paramètres d’autorisation à la fois localement et à distance, l’appareil fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières définies sur l’équipement local.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

    Par exemple:

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple:

Les serveurs RADIUS et TACACS+ prennent également en charge la configuration d’attributs qui correspondent aux mêmes *-regexps instructions que celles que vous pouvez configurer sur le périphérique local. Les *-regexps attributs TACACS+ et RADIUS *-Regexps utilisent la même syntaxe d’expression régulière que les attributs précédents, mais ils vous permettent de configurer des expressions régulières avec des variables.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple, la configuration du serveur TACACS+ peut définir les attributs suivants :

Sur un serveur RADIUS ou TACACS+, vous pouvez également définir les attributs à l’aide d’une syntaxe simplifiée dans laquelle vous spécifiez chaque expression individuelle sur une ligne distincte.

Pour un serveur RADIUS, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

Pour un serveur TACACS+, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

Note:

  • Dans la syntaxe du serveur TACACS+, les valeurs numériques comprises entre 1 et n 1 doivent être uniques, mais pas nécessairement séquentielles. Par exemple, la syntaxe suivante est valide :

  • Le serveur RADIUS ou TACACS+ impose une limite sur le nombre de lignes d’expression régulière individuelles.

  • Lorsque vous émettez la show cli authorization commande, la sortie de la commande affiche l’expression régulière sur une seule ligne, même si vous spécifiez chaque expression individuelle sur une ligne distincte.

Les utilisateurs peuvent vérifier leur classe, leurs autorisations et leur autorisation de commande et de configuration en exécutant la commande en show cli authorization mode opérationnel.

Note:

Lorsque vous configurez les paramètres d’autorisation à la fois localement sur le périphérique réseau et à distance sur le serveur RADIUS ou TACACS+, le périphérique fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières configurées localement. Si l’expression finale contient une erreur de syntaxe, le résultat global est une expression régulière non valide.

Configuration de la comptabilité système TACACS+

Vous pouvez configurer la comptabilité TACACS+ sur un appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité TACACS+. Les données statistiques peuvent être utilisées pour la surveillance générale du réseau, l’analyse et le suivi des modèles d’utilisation, ou la facturation d’un utilisateur en fonction de la durée de la session ou du type de services consultés.

Pour configurer la comptabilité TACACS+, spécifiez :

  • Un ou plusieurs serveurs comptables TACACS+ pour recevoir les données statistiques de l’appareil

  • Le type de données comptables à collecter

Vous pouvez utiliser le même serveur pour la comptabilité et l’authentification TACACS+, ou vous pouvez utiliser des serveurs distincts. Vous pouvez spécifier une liste de serveurs de comptabilité TACACS+. L’appareil interroge les serveurs dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

Lorsque vous activez la comptabilité TACACS+, les équipements Juniper Networks, agissant en tant que clients TACACS+, peuvent notifier le serveur TACACS+ des activités des utilisateurs telles que les connexions logicielles, les modifications de configuration et les commandes interactives.

Configurer la comptabilité du serveur TACACS+

Pour configurer la comptabilité du serveur TACACS+ :

  1. Configurez les événements à auditer.

    Par exemple:

    events Il peut s’agir d’un ou de plusieurs des éléments suivants :

    • login—Connexions d’audit

    • change-log—Modifications de la configuration d’audit

    • interactive-commands—Auditer les commandes interactives (n’importe quelle entrée de ligne de commande)

  2. Activez la comptabilité TACACS+.
  3. Configurez l’adresse d’un ou de plusieurs serveurs de comptabilité TACACS+.

    Par exemple:

    Note:

    Si vous ne configurez aucun serveur TACACS+ au niveau de la [edit system accounting destination tacplus] hiérarchie, l’appareil utilise les serveurs TACACS+ configurés au niveau de la [edit system tacplus-server] hiérarchie.
  4. (Facultatif) Configurez l’adresse source pour les demandes de comptabilité TACACS+.

    Par exemple:

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces de routeur ou de commutateur. Si le périphérique réseau dispose de plusieurs interfaces pouvant atteindre le serveur TACACS+, attribuez une adresse IP que le périphérique peut utiliser pour toutes ses communications avec le serveur TACACS+. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  5. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur de comptabilité TACACS+.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur TACACS+. Si le mot de passe contient des espaces, mettez-le entre guillemets. L’appareil stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple:

  6. (Facultatif) Si nécessaire, spécifiez le port du serveur de comptabilité TACACS+ vers lequel envoyer les paquets de comptabilité, s’il est différent de celui par défaut (49).
  7. (Facultatif) Configurez la durée pendant laquelle l’appareil attend de recevoir une réponse du serveur de comptabilité TACACS+.

    Par défaut, l’appareil attend trois secondes. Vous pouvez configurer la timeout valeur de 1 à 90 secondes.

    Par exemple, pour attendre 15 secondes une réponse du serveur :

  8. (Facultatif) Configurez l’appareil pour qu’il maintienne une connexion TCP ouverte au serveur pour plusieurs demandes plutôt que d’ouvrir une connexion distincte pour chaque tentative de connexion.
    Note:

    Les versions antérieures du serveur TACACS+ ne prennent pas en charge cette single-connection option. Si vous spécifiez cette option et que le serveur ne la prend pas en charge, l’appareil ne pourra pas communiquer avec ce serveur TACACS+.
  9. (Facultatif) Pour acheminer les paquets de comptabilité TACACS+ via l’instance de gestion autre que l’instance de routage par défaut ou une autre instance de routage au lieu de l’instance de routage par défaut, configurez l’instruction routing-instance et spécifiez l’instance de routage.
    Par exemple:
  10. Pour vous assurer que les demandes de démarrage et d’arrêt des événements de connexion sont correctement consignées dans le fichier journal de comptabilité du serveur TACACS+ au lieu du fichier journal d’administration, incluez l’instruction no-cmd-attribute-value ou l’instruction exclude-cmd-attribute au niveau de la [edit system tacplus-options] hiérarchie.
    Note:

    Les deux instructions prennent en charge l’enregistrement correct des demandes de comptabilité dans le fichier comptable au lieu du fichier d’administration. Si vous configurez l’instruction no-cmd-attribute-value , la valeur de l’attribut cmd est définie sur une chaîne null dans les demandes de démarrage et d’arrêt. Si vous configurez l’instruction exclude-cmd-attribute , l’attribut cmd est totalement exclu des requêtes start et stop.