Commande d’authentification flexible sur les commutateurs EX Series
Les commutateurs Junos OS prennent en charge 802.1X, MAC RADIUS et un portail captif comme méthode d’authentification pour les équipements qui doivent se connecter à un réseau. Vous pouvez utiliser la fonctionnalité d’ordre d’authentification flexible pour spécifier l’ordre des méthodes d’authentification que le commutateur utilise lorsqu’il tente d’authentifier un client. Si plusieurs méthodes d’authentification sont configurées sur une interface unique, lorsqu’une méthode d’authentification échoue, le commutateur revient à une autre méthode. Pour plus d’informations, lisez ce sujet.
Configuration de l’ordre d’authentification flexible
Vous pouvez utiliser la fonctionnalité d’ordre d’authentification flexible pour spécifier l’ordre des méthodes d’authentification que le commutateur utilise lorsqu’il tente d’authentifier un client. Si plusieurs méthodes d’authentification sont configurées sur une interface unique, lorsqu’une méthode d’authentification échoue, le commutateur revient à une autre méthode.
Par défaut, le commutateur tente d’authentifier un client en utilisant d’abord l’authentification 802.1X. Si l’authentification 802.1X échoue parce qu’il n’y a pas de réponse du client et que l’authentification RADIUS MAC est configurée sur l’interface, le commutateur tentera l’authentification à l’aide de MAC RADIUS. Si MAC RADIUS échoue et que le portail captif est configuré sur l’interface, le commutateur tente l’authentification à l’aide du portail captif.
Avec un ordre d’authentification flexible, la séquence de la méthode d’authentification utilisée peut être modifiée en fonction du type de clients connectés à l’interface. Vous pouvez configurer l’instruction pour spécifier si l’authentification authentication-order 802.1X ou l’authentification MAC RADIUS doit être la première méthode d’authentification essayée. Le portail captif est toujours la dernière méthode d’authentification essayée.
Si l’authentification MAC RADIUS est configurée comme la première méthode d’authentification dans l’ordre, le commutateur tente d’authentifier le client à l’aide de l’authentification MAC RADIUS. Si l’authentification MAC RADIUS échoue, le commutateur utilise l’authentification 802.1X pour authentifier le client. Si l’authentification 802.1X échoue et que le portail captif est configuré sur l’interface, le commutateur tente l’authentification à l’aide du portail captif.
Si l’authentification 802.1X et l’authentification MAC RADIUS échouent et que le portail captif n’est pas configuré sur l’interface, le client se voit refuser l’accès au LAN à moins qu’une méthode de repli par échec du serveur n’est configurée. Pour plus d’informations, reportez-vous à la section Configuration de la secours de défaillance du serveur RADIUS (procédure CLI).
Différentes méthodes d’authentification peuvent être utilisées en parallèle sur une interface configurée en mode multi-demandeur. Par conséquent, si un équipement final est authentifié sur l’interface à l’aide d’un portail captif, un autre équipement final connecté à cette interface peut toujours être authentifié à l’aide de l’authentification 802.1X ou MAC RADIUS.
Avant de configurer l’ordre d’authentification flexible sur une interface, assurez-vous que les méthodes d’authentification sont configurées sur cette interface. Le commutateur ne tente pas d’authentification à l’aide d’une méthode qui n’est pas configurée sur l’interface, même si cette méthode est incluse dans l’ordre d’authentification ; le commutateur ignore cette méthode et tente la méthode suivante dans l’ordre d’authentification activé sur cette interface.
Lors de la configuration de l’instruction authentication-order , suivez les instructions suivantes :
L’ordre d’authentification doit inclure au moins deux méthodes d’authentification.
L’authentification 802.1X doit être l’une des méthodes incluses dans l’ordre d’authentification.
Si le portail captif est inclus dans l’ordre d’authentification, il doit être la dernière méthode de l’ordre.
Si
mac-radius-restrictelle est configurée sur une interface, l’ordre d’authentification ne peut pas être configuré sur cette interface.
Pour configurer un ordre d’authentification flexible, utilisez l’une des combinaisons valides suivantes :
L’ordre d’authentification peut être configuré globalement à l’aide de l’option interface all , ainsi que localement à l’aide du nom de l’interface individuelle. Si l’ordre d’authentification est configuré à la fois pour une interface individuelle et pour toutes les interfaces, la configuration locale de cette interface remplace la configuration globale.
Après avoir configuré l’ordre d’authentification, vous devez l’utiliser insert pour apporter toute modification à l’ordre d’authentification. L’utilisation de la set commande ne modifie pas l’ordre configuré.
Pour modifier l’ordre d’authentification après la configuration initiale :
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
Par exemple, pour modifier l’ordre en [mac-radius dot1x captive portal][dot1x mac-radius captive portal]:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
Voir également
Configuration du bloc EAPoL pour maintenir une session d’authentification existante
Lorsqu’un commutateur agissant en tant qu’authentificateur 802.1X reçoit un message EAP-Start d’un client authentifié, il tente de le ré-authentifier à l’aide de la méthode 802.1X et renvoie généralement un message EAP-Request et attend une réponse. Si le client ne répond pas, le commutateur tente de ré-authentifier le client à l’aide de MAC RADIUS ou de la méthode du portail captif si ces méthodes ont été configurées. Les clients qui ont été authentifiés à l’aide de MAC RADIUS ou de l’authentification du portail captif ne sont pas réactifs et le trafic est interrompu sur l’interface lorsque le commutateur tente de ré-authentification.
Si vous avez configuré un ordre d’authentification flexible sur l’interface afin que MAC RADIUS soit la première méthode utilisée pour authentifier un client, le commutateur revient à l’utilisation de 802.1X pour la ré-authentification si le client envoie un message EAP-Start, même si le client a été authentifié avec succès à l’aide de l’authentification MAC RADIUS. Vous pouvez configurer un bloc EAPoL avec un ordre d’authentification fixe ou flexible. Si vous ne configurez pas l’instruction authentication-order , l’ordre est corrigé par défaut. L’instruction eapol-block peut être configurée avec ou sans configuration de l’instruction authentication-order .
Vous pouvez configurer un commutateur pour ignorer les messages EAP-Start envoyés par un client qui a été authentifié à l’aide de l’authentification MAC RADIUS ou de l’authentification du portail captif à l’aide de l’instruction eapol-block . Avec un bloc de messages EAPoL en vigueur, si le commutateur reçoit un message EAP-Start du client, il ne renvoie pas de message EAP-Request et la session d’authentification existante est maintenue.
Si le terminal n’a pas été authentifié avec l’authentification MAC RADIUS ou l’authentification du portail captif, le bloc EAPoL ne prend pas effet. Le terminal peut s’authentifier à l’aide de l’authentification 802.1X.
Si eapol-block elle est configurée avec l’option mac-radius , une fois que le client est authentifié avec l’authentification MAC RADIUS ou CWA (Central Web Authentication), le client reste dans l’état authentifié même s’il envoie un message EAP-Start. Si eapol-block l’option captive-portal est configurée, une fois que le client est authentifié avec le portail captif, le client reste dans l’état authentifié même s’il envoie un message EAP-Start.
Cette fonctionnalité est prise en charge sur les commutateurs EX4300 et EX9200.
Pour configurer un bloc de messages EAPoL pour maintenir une session d’authentification existante :