Authentification TACACS+
Junos OS Evolved prend en charge TACACS+ pour une authentification centralisée des utilisateurs sur les équipements réseau. Pour utiliser l’authentification TACACS+ sur l’appareil, vous (l’administrateur réseau) devez configurer les informations d’un ou de plusieurs serveurs TACACS+ sur le réseau. Vous pouvez également configurer la comptabilité TACACS+ sur l’appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un LAN et envoyer les données à un serveur de comptabilité TACACS+.
Configurer l’authentification TACACS+
L’authentification TACACS+ est une méthode d’authentification des utilisateurs qui tentent d’accéder à un équipement réseau.
Pour configurer TACACS+, effectuez les tâches suivantes :
- Configurer les détails du serveur TACACS+
- Configurer TACACS+ pour utiliser l’instance de gestion
- Configurer le même service d’authentification pour plusieurs serveurs TACACS+
- Configurer les attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Configurer les détails du serveur TACACS+
Pour utiliser l’authentification TACACS+ sur l’appareil, configurez les informations sur un ou plusieurs serveurs TACACS+ sur le réseau en incluant une tacplus-server instruction au niveau de la [edit system] hiérarchie pour chaque serveur TACACS+. L’appareil interroge les serveurs TACACS+ dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’appareil tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.
L’équipement réseau peut mapper des utilisateurs authentifiés par TACACS+ à un compte d’utilisateur défini localement ou à un compte modèle d’utilisateur, qui détermine l’autorisation. Par défaut, Junos OS Evolved affecte les utilisateurs authentifiés par TACACS+ au compte remotede modèle d’utilisateur, s’il est configuré, lorsque :
-
L’utilisateur authentifié n’a pas de compte d’utilisateur configuré sur l’appareil local.
-
Le serveur TACACS+ n’affecte pas l’utilisateur à un modèle utilisateur local ou le modèle attribué par le serveur n’est pas configuré sur l’équipement local.
Le serveur TACACS+ peut affecter un utilisateur authentifié à un autre modèle d’utilisateur afin d’accorder différentes autorisations administratives à cet utilisateur. L’utilisateur conserve le même nom de connexion dans la CLI, mais hérite de la classe de connexion, des privilèges d’accès et de l’ID utilisateur effectif du modèle attribué. Si l’utilisateur authentifié par TACACS+ ne correspond à aucun compte d’utilisateur ou modèle d’utilisateur défini localement et que le remote modèle n’est pas configuré, l’authentification échoue.
Le remote nom d’utilisateur est un cas particulier dans Junos OS Evolved et doit toujours être en minuscules. Il sert de modèle pour les utilisateurs authentifiés par un serveur distant mais qui n’ont pas de compte d’utilisateur configuré localement sur l’appareil. Junos OS Evolved applique les autorisations du remote modèle aux utilisateurs authentifiés sans compte défini localement. Tous les utilisateurs mappés au remote modèle sont dans la même classe de connexion.
L’authentification à distance étant configurée sur plusieurs appareils, elle est généralement configurée à l’intérieur d’un groupe de configuration. Les étapes indiquées ici se trouvent dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration est facultative.
Pour configurer l’authentification par un serveur TACACS+ :
Configurer TACACS+ pour utiliser l’instance de gestion
Par défaut, Junos OS Evolved achemine les paquets d’authentification, d’autorisation et de comptabilité pour TACACS+ via l’instance de routage par défaut. Vous pouvez également acheminer les paquets TACACS+ via une interface de gestion dans une instance VRF qui n’est pas par défaut.
Pour acheminer les paquets TACACS+ via l’instance mgmt_junos de gestion :
-
Activez l’instance
mgmt_junosde gestion.[edit system] user@host# set management-instance
-
Configurez l’instruction
routing-instance mgmt_junospour le serveur d’authentification TACACS+ et le serveur de comptabilité TACACS+, le cas échéant.[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
Configurer le même service d’authentification pour plusieurs serveurs TACACS+
Vous pouvez configurer le même service d’authentification pour plusieurs serveurs TACACS+ en incluant des instructions au niveau de la [edit system tacplus-server] [edit system tacplus-options] hiérarchie.
Pour attribuer le même service d’authentification à plusieurs serveurs TACACS+ :
L’exemple suivant montre comment configurer le même service d’authentification pour plusieurs serveurs TACACS+ :
[edit system]
tacplus-server {
10.2.2.2 secret "$ABC123"; ## SECRET-DATA
10.3.3.3 secret "$ABC123"; ## SECRET-DATA
}
tacplus-options {
service-name bob;
}
Configurer les attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Junos OS Evolved peut mapper des utilisateurs authentifiés par TACACS+ à un compte d’utilisateur défini localement ou à un compte de modèle d’utilisateur, qui détermine l’autorisation. Vous pouvez également configurer les privilèges d'accès d'un utilisateur en définissant des attributs TACACS+ spécifiques au fournisseur de Juniper Networks sur le serveur TACACS+. Vous définissez les attributs dans le fichier de configuration du serveur TACACS+ pour chaque utilisateur. Le périphérique réseau récupère ces attributs via une demande d’autorisation du serveur TACACS+ après authentification d’un utilisateur.
Pour spécifier ces attributs, incluez une service instruction du formulaire suivant dans le fichier de configuration du serveur TACACS+ :
service = junos-exec {
local-user-name = <username-local-to-router>
allow-commands = "<allow-commands-regex>"
allow-configuration-regexps = "<allow-configuration-regex>"
deny-commands = "<deny-commands-regex>"
deny-configuration-regexps = "<deny-configuration-regex>"
}
Vous pouvez définir l’instruction service dans une user instruction ou une group instruction.
Configurer la Actualiser périodique du profil d’autorisation TACACS+
Lorsque vous configurez un équipement exécutant Junos OS Evolved pour utiliser un serveur TACACS+ pour l’authentification, l’équipement invite les utilisateurs à entrer leurs informations de connexion, qui sont vérifiées par le serveur TACACS+. Une fois qu’un utilisateur est authentifié avec succès, le périphérique réseau envoie une demande d’autorisation au serveur TACACS+ pour obtenir le profil d’autorisation de l’utilisateur. Les profils d’autorisation spécifient les autorisations d’accès pour les utilisateurs ou les appareils authentifiés.
Le serveur TACACS+ envoie le profil d’autorisation dans le cadre d’un message d’autorisation REPLY. L’utilisateur distant configuré sur le serveur TACACS+ est mappé à un utilisateur local ou à un modèle d’utilisateur configuré sur l’équipement exécutant Junos OS Evolved. Junos OS Evolved combine le profil d'autorisation à distance de l'utilisateur et le profil d'autorisation configuré localement, ce dernier étant configuré au niveau de la hiérarchie [edit system login class].
Par défaut, l’échange de messages de demande d’autorisation et de réponse n’a lieu qu’une seule fois, après une authentification réussie. Vous pouvez configurer les équipements de sorte que Junos OS Evolved récupère périodiquement le profil d’autorisation distant du serveur TACACS+ et actualise le profil d’autorisation stocké localement. Cette actualisation périodique garantit que l’appareil local reflète toute modification des paramètres d’autorisation sans que l’utilisateur n’ait besoin de redémarrer le processus d’authentification.
Pour activer l’actualisation périodique du profil d’autorisation, vous devez définir l’intervalle de temps auquel l’appareil local vérifie le profil d’autorisation configuré à distance sur le serveur TACACS+. Si le profil d’autorisation à distance change, l’appareil récupère le profil d’autorisation du serveur TACACS+ et le profil d’autorisation configuré dans la hiérarchie des classes de connexion. L’appareil actualise le profil d’autorisation stocké localement en combinant les profils d’autorisation distants et configurés localement.
Vous pouvez configurer l’intervalle de temps d’actualisation localement sur l’équipement exécutant Junos OS Evolved ou directement sur le serveur TACACS+. L’intervalle de temps peut varier de 15 à 1440 minutes.
Suivez les instructions suivantes pour déterminer la configuration par intervalle de temps qui prévaut :
- Si l’intervalle de temps d’actualisation est configuré uniquement sur le serveur TACACS+ ou uniquement sur l’équipement exécutant Junos OS Evolved, la valeur configurée prend effet.
-
Si l’intervalle de temps d’actualisation est configuré à la fois sur le serveur TACACS+ et sur l’équipement exécutant Junos OS Evolved, la valeur configurée sur le serveur TACACS+ est prioritaire.
-
Si aucun intervalle de temps d’actualisation n’est configuré sur le serveur TACACS+ ou sur l’équipement exécutant Junos OS Evolved, aucune actualisation périodique n’a lieu.
-
Si l’intervalle de temps d’actualisation configuré sur le serveur TACACS+ est hors plage ou invalide, l’intervalle de temps d’actualisation configuré localement prend effet. Si aucun intervalle de temps d’actualisation n’est configuré localement, aucune actualisation périodique n’a lieu.
Une fois l’intervalle d’actualisation périodique défini, si l’utilisateur modifie l’intervalle d’actualisation avant l’envoi de la demande d’autorisation à partir de l’appareil local, l’intervalle d’actualisation mis à jour prend effet après la prochaine actualisation périodique immédiate.
Exemple : Configuration d’un serveur TACACS+ pour l’authentification système
Cet exemple configure l’authentification système via un serveur TACACS+.
Exigences
Avant de commencer :
-
Effectuez la configuration initiale de l’appareil. Consultez le guide de démarrage de votre appareil.
-
Configurez au moins un serveur TACACS+ sur votre réseau.
Vue d’ensemble
Dans cet exemple, vous ajoutez un nouveau serveur TACACS+ avec une adresse IP de 172.16.98.1. Vous spécifiez le mot de passe secret partagé du serveur TACACS+ comme Tacacssecret1. L’appareil stocke le secret dans la base de données de configuration sous forme de valeur chiffrée. Enfin, vous spécifiez l’adresse source que l’appareil utilise dans les requêtes du serveur TACACS+. Dans la plupart des cas, vous pouvez utiliser l’adresse de bouclage de l’appareil, qui dans cet exemple est 10.0.0.1.
Vous pouvez configurer la prise en charge de plusieurs méthodes d’authentification utilisateur, telles que l’authentification par mot de passe local, TACACS+ et RADIUS, sur le périphérique réseau. Lorsque vous configurez plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Dans cet exemple, vous configurez l’appareil pour qu’il utilise d’abord les services d’authentification TACACS+ et, en cas d’échec, pour tenter une authentification par mot de passe local.
Un utilisateur authentifié par TACACS+ doit être mappé à un compte d’utilisateur local ou à un compte modèle d’utilisateur local sur l’équipement réseau, ce qui détermine l’autorisation. Par défaut, si un utilisateur authentifié par TACACS+ ne correspond pas à un compte d’utilisateur local ou à un modèle d’utilisateur spécifique, l’utilisateur est affecté au modèle d’utilisateur, s’il remote est configuré. Cet exemple configure le remote modèle utilisateur.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
Procédure étape par étape
Pour configurer un serveur TACACS+ pour l’authentification du système :
-
Ajoutez un nouveau serveur TACACS+ et définissez son adresse IP.
[edit system] user@host# set tacplus-server 172.16.98.1
-
Spécifiez le secret partagé (mot de passe) du serveur TACACS+.
[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
-
Spécifiez l’adresse de bouclage de l’appareil comme adresse source.
[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
-
Spécifiez l'ordre d'authentification de l'appareil et incluez l'
tacplusoption.[edit system] user@host# set authentication-order [tacplus password]
- Configurez le
remotemodèle utilisateur et sa classe de connexion.[edit system] user@host# set login user remote class operator
Résultats
En mode configuration, confirmez votre configuration en entrant la show system commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
La sortie suivante inclut uniquement les parties de la hiérarchie de configuration pertinentes pour cet exemple :
[edit]
user@host# show system
login {
user remote {
class operator;
}
}
authentication-order [ tacplus password ];
tacplus-server {
172.16.98.1 {
secret "$9$ABC123"; ## SECRET-DATA
source-address 10.0.0.1;
}
}
Après avoir configuré l’appareil, entrez commit en mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifiez la configuration du serveur TACACS+
Objet
Vérifiez que le serveur TACACS+ authentifie les utilisateurs.
Mesures à prendre
Connectez-vous à l’équipement réseau et vérifiez que la connexion a réussi. Pour vérifier que l’appareil utilise le serveur TACACS+ pour l’authentification, vous pouvez tenter de vous connecter avec un compte qui ne définit pas de mot de passe d’authentification local dans la configuration.
Attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Junos OS Evolved prend en charge la configuration des attributs spécifiques aux fournisseurs (VSA) TACACS+ de Juniper Networks sur le serveur TACACS+. Le Tableau 1 répertorie les VSA Juniper Networks pris en charge.
Certains attributs acceptent des expressions régulières étendues, telles que définies dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-la entre guillemets. Pour plus d’informations, consultez :
| Nom |
Descriptif |
Longueur |
Chaîne |
|---|---|---|---|
|
|
Indique le nom du modèle utilisateur attribué à cet utilisateur lorsque celui-ci se connecte à un appareil. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables. |
|
|
Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
allow-commands-regexps |
Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
|
Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
allow-configuration-regexps |
Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
|
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
deny-commands-regexps |
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
|
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
deny-configuration-regexps |
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
|
Contient des informations que le serveur utilise pour spécifier les autorisations utilisateur.
Remarque :
Lorsque le serveur TACACS+ définit l’attribut |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables. |
|
|
Indique la méthode d’authentification (base de données locale ou serveur TACACS+) utilisée pour authentifier un utilisateur. Si l'utilisateur est authentifié à l'aide d'une base de données locale, la valeur de l'attribut indique 'local'. Si l'utilisateur est authentifié à l'aide d'un serveur TACACS+, la valeur de l'attribut indique 'remote'. |
≥5 |
Un ou plusieurs octets contenant des caractères ASCII imprimables. |
|
|
Indique le numéro de port source de la session établie. |
Taille de l’entier |
Entier |
Utiliser des expressions régulières sur un serveur RADIUS ou TACACS+ pour autoriser ou refuser des commandes
Junos OS Evolved peut mapper des utilisateurs authentifiés par RADIUS et TACACS+ à un compte utilisateur défini localement ou à un compte modèle d'utilisateur, qui définit les privilèges d'accès de l'utilisateur. Vous pouvez également configurer les privilèges d'accès d'un utilisateur en définissant les attributs spécifiques aux fournisseurs (VSA) Juniper Networks RADIUS et TACACS+ sur le serveur d'authentification respectif.
La classe de connexion d'un utilisateur définit l'ensemble des autorisations qui déterminent les commandes de mode opérationnel et de mode de configuration qu'un utilisateur est autorisé à exécuter et les zones de la configuration qu'il peut afficher et modifier. Une classe de connexion peut également définir des expressions régulières qui permettent ou refusent à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier certaines zones de la configuration, en plus de ce que les indicateurs d’autorisation autorisent. Une classe login peut inclure les instructions suivantes pour définir l’autorisation de l’utilisateur :
-
permissions -
allow-commands -
allow-commands-regexps -
allow-configuration -
allow-configuration-regexps -
deny-commands -
deny-commands-regexps -
deny-configuration -
deny-configuration-regexps
De même, une configuration de serveur RADIUS ou TACACS+ peut utiliser les VSA de Juniper Networks pour définir des autorisations spécifiques ou des expressions régulières qui déterminent les privilèges d'accès d'un utilisateur. Pour obtenir la liste des VSA RADIUS et TACACS+ pris en charge, reportez-vous à ce qui suit :
- Attributs RADIUS spécifiques aux fournisseurs de Juniper Networks
- Attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Vous pouvez définir les autorisations utilisateur sur le serveur RADIUS ou TACACS+ sous forme de liste de valeurs séparées par des espaces.
-
Un serveur RADIUS utilise l’attribut et la syntaxe suivants :
Juniper-User-Permissions += "flag1 flag2 flag3",
Par exemple :
Juniper-User-Permissions += "interface interface-control configure",
-
Un serveur TACACS+ utilise l’attribut et la syntaxe suivants :
user-permissions = "flag1 flag2 flag3"
Par exemple :
user-permissions = "interface interface-control configure"
Un serveur RADIUS ou TACACS+ peut également définir des VSA Juniper Networks qui utilisent une seule expression régulière étendue (telle que définie dans POSIX 1003.2) pour permettre ou refuser à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier des zones de la configuration. Vous placez plusieurs commandes ou hiérarchies de configuration entre parenthèses et les séparez à l’aide d’un symbole de barre verticale. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-la entre guillemets. Lorsque vous configurez des paramètres d’autorisation à la fois localement et à distance, l’appareil fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières définies sur l’équipement local.
-
Un serveur RADIUS utilise les attributs et la syntaxe suivants :
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Par exemple :
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Un serveur TACACS+ utilise les attributs et la syntaxe suivants :
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Par exemple :
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Les serveurs RADIUS et TACACS+ prennent également en charge la configuration d’attributs qui correspondent aux mêmes *-regexps instructions que celles que vous pouvez configurer sur l’équipement local. Les *-regexps attributs TACACS+ et les *-Regexps attributs RADIUS utilisent la même syntaxe d’expression régulière que les attributs précédents, mais ils vous permettent de configurer des expressions régulières avec des variables.
-
Un serveur RADIUS utilise les attributs et la syntaxe suivants :
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Un serveur TACACS+ utilise les attributs et la syntaxe suivants :
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Par exemple, la configuration du serveur TACACS+ peut définir les attributs suivants :
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
Sur un serveur RADIUS ou TACACS+, vous pouvez également définir les attributs à l’aide d’une syntaxe simplifiée dans laquelle vous spécifiez chaque expression individuelle sur une ligne distincte.
Pour un serveur RADIUS, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Pour un serveur TACACS+, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
Dans la syntaxe du serveur TACACS+, les valeurs numériques de 1 à n 1 doivent être uniques, mais pas nécessairement séquentielles. Par exemple, la syntaxe suivante est valide :
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
Le serveur RADIUS ou TACACS+ impose une limite au nombre de lignes d’expression régulière individuelles.
-
Lorsque vous exécutez la
show cli authorizationcommande, la sortie de la commande affiche l’expression régulière sur une seule ligne, même si vous spécifiez chaque expression individuelle sur une ligne distincte.
Les utilisateurs peuvent vérifier leur classe, leurs autorisations et leurs autorisations de commande et de configuration en exécutant la commande en show cli authorization mode opérationnel.
user@host> show cli authorization
Lorsque vous configurez les paramètres d’autorisation à la fois localement sur le périphérique réseau et à distance sur le serveur RADIUS ou TACACS+, le périphérique fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières configurées localement. Si l’expression finale contient une erreur de syntaxe, le résultat global est une expression régulière non valide.
Configuration de la comptabilité système TACACS+
Vous pouvez configurer la comptabilité TACACS+ sur un appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent à un LAN et envoyer les données à un serveur de comptabilité TACACS+. Les données statistiques peuvent être utilisées pour surveiller le réseau de manière générale, analyser et suivre les schémas d’utilisation, ou facturer un utilisateur en fonction de la durée de la session ou du type de services accessibles.
Pour configurer la comptabilité TACACS+, spécifiez :
-
Un ou plusieurs serveurs de comptabilité TACACS+ pour recevoir les données statistiques de l’appareil
-
Le type de données comptables à collecter
Vous pouvez utiliser le même serveur pour la comptabilité et l’authentification TACACS+, ou vous pouvez utiliser des serveurs distincts. Vous pouvez spécifier une liste de serveurs de comptabilité TACACS+. L’appareil interroge les serveurs dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’appareil tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.
Lorsque vous activez la comptabilité TACACS+, les équipements de Juniper Networks, agissant en tant que clients TACACS+, peuvent informer le serveur TACACS+ des activités des utilisateurs telles que les connexions logicielles, les modifications de configuration et les commandes interactives.
Configurer la comptabilité des serveurs TACACS+
Pour configurer la comptabilité du serveur TACACS+ :