Ordre d’authentification flexible sur les commutateurs EX Series
Les commutateurs Junos OS prennent en charge 802.1X, RADIUS MAC et le portail captif comme méthodes d’authentification pour les équipements devant se connecter à un réseau. Vous pouvez utiliser la fonctionnalité d’ordre d’authentification flexible pour spécifier l’ordre des méthodes d’authentification que le commutateur utilise lorsqu’il tente d’authentifier un client. Si plusieurs méthodes d’authentification sont configurées sur une seule interface, lorsqu’une méthode d’authentification échoue, le commutateur revient à une autre méthode. Pour plus d’informations, consultez cette rubrique.
Configuration de l’ordre d’authentification flexible
Vous pouvez utiliser la fonctionnalité d’ordre d’authentification flexible pour spécifier l’ordre des méthodes d’authentification que le commutateur utilise lorsqu’il tente d’authentifier un client. Si plusieurs méthodes d’authentification sont configurées sur une seule interface, lorsqu’une méthode d’authentification échoue, le commutateur revient à une autre méthode.
Par défaut, le commutateur tente d’authentifier un client en utilisant d’abord l’authentification 802.1X. Si l’authentification 802.1X échoue parce qu’il n’y a pas de réponse du client et que l’authentification MAC RADIUS est configurée sur l’interface, le commutateur tentera l’authentification à l’aide de MAC RADIUS. Si MAC RADIUS échoue et que le portail captif est configuré sur l’interface, le commutateur tente de s’authentifier à l’aide du portail captif.
Avec un ordre d’authentification flexible, la séquence de la méthode d’authentification utilisée peut être modifiée en fonction du type de clients connectés à l’interface. Vous pouvez configurer l’instruction pour spécifier si l’authentification 802.1X ou l’authentification MAC RADIUS doit être la première méthode d’authentification authentication-order essayée. Le portail captif est toujours la dernière méthode d’authentification essayée.
Si l’authentification MAC RADIUS est configurée comme première méthode d’authentification de la commande, le commutateur tente d’authentifier le client à l’aide de l’authentification MAC RADIUS lors de la réception de données d’un client. Si l’authentification MAC RADIUS échoue, le commutateur utilise l’authentification 802.1X pour authentifier le client. Si l’authentification 802.1X échoue et que le portail captif est configuré sur l’interface, le commutateur tente de s’authentifier à l’aide du portail captif.
Si l’authentification 802.1X et l’authentification MAC RADIUS échouent et que le portail captif n’est pas configuré sur l’interface, le client se voit refuser l’accès au réseau local, sauf si une méthode de secours en cas d’échec du serveur est configurée. Pour plus d’informations, reportez-vous à la section Configuration de la solution de secours en cas d’échec du serveur RADIUS (procédure CLI).
Différentes méthodes d’authentification peuvent être utilisées en parallèle sur une interface configurée en mode multi-demandeur. Par conséquent, si un terminal est authentifié sur l’interface à l’aide du portail captif, un autre terminal connecté à cette interface peut toujours être authentifié à l’aide de l’authentification 802.1X ou MAC RADIUS.
Avant de configurer l’ordre d’authentification flexible sur une interface, assurez-vous que les méthodes d’authentification sont configurées sur cette interface. Le commutateur ne tente pas d’authentification à l’aide d’une méthode qui n’est pas configurée sur l’interface, même si cette méthode est incluse dans l’ordre d’authentification ; Le commutateur ignore cette méthode et tente la méthode suivante dans l’ordre d’authentification activé sur cette interface.
Utilisez les instructions suivantes lors de la configuration de l’instruction authentication-order :
L’ordre d’authentification doit inclure au moins deux méthodes d’authentification.
L’authentification 802.1X doit être l’une des méthodes incluses dans l’ordre d’authentification.
Si le portail captif est inclus dans l’ordre d’authentification, il doit s’agir de la dernière méthode de l’ordre.
Si
mac-radius-restrictest configuré sur une interface, l’ordre d’authentification ne peut pas être configuré sur cette interface.
Pour configurer un ordre d’authentification flexible, utilisez l’une des combinaisons valides suivantes :
L’ordre d’authentification peut être configuré globalement à l’aide de l’option ainsi que localement à l’aide interface all du nom d’interface individuel. Si l’ordre d’authentification est configuré à la fois pour une interface individuelle et pour toutes les interfaces, la configuration locale de cette interface remplace la configuration globale.
Une fois que vous avez configuré l’ordre d’authentification, vous devez utiliser la insert commande pour apporter des modifications à l’ordre d’authentification. L’utilisation de la set commande ne modifie pas l’ordre configuré.
Pour modifier l’ordre d’authentification après la configuration initiale :
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
Par exemple, pour modifier l’ordre de [mac-radius dot1x captive portal] à [dot1x mac-radius captive portal]:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
Voir également
Configuration d’EAPoL Block pour maintenir une session d’authentification existante
Lorsqu’un commutateur agissant en tant qu’authentificateur 802.1X reçoit un message EAP-Start d’un client authentifié, le commutateur tente de réauthentifier le client à l’aide de la méthode 802.1X et renvoie généralement un message EAP-Request et attend une réponse. Si le client ne répond pas, le commutateur tente de l’authentifier à nouveau à l’aide de MAC RADIUS ou de la méthode du portail captif si ces méthodes ont été configurées. Les clients qui ont été authentifiés à l’aide de MAC RADIUS ou de l’authentification du portail captif ne répondent pas et le trafic est abandonné sur l’interface lorsque le commutateur tente de se réauthentifier.
Si vous avez configuré un ordre d’authentification flexible sur l’interface de sorte que MAC RADIUS soit la première méthode utilisée pour authentifier un client, le commutateur revient toujours à l’utilisation de 802.1X pour la réauthentification si le client envoie un message EAP-Start, même si le client a été authentifié avec succès à l’aide de l’authentification MAC RADIUS. Vous pouvez configurer un bloc EAPoL avec un ordre d’authentification fixe ou flexible. Si vous ne configurez pas l’instruction, l’ordre authentication-order est fixe par défaut. L’instruction eapol-block peut être configurée avec ou sans configuration de l’instruction authentication-order .
Vous pouvez configurer un commutateur pour ignorer les messages EAP-Start envoyés à partir d’un client authentifié à l’aide de l’authentification MAC RADIUS ou de l’authentification du portail captif à l’aide de l’instruction eapol-block . Lorsqu’un bloc de messages EAPoL est actif, si le commutateur reçoit un message EAP-Start du client, il ne renvoie pas de message EAP-Request et la session d’authentification existante est conservée.
Si le point de terminaison n’a pas été authentifié avec l’authentification MAC RADIUS ou l’authentification de portail captif, le blocage EAPoL ne prend pas effet. Le point de terminaison peut s’authentifier à l’aide de l’authentification 802.1X.
Si eapol-block est configuré avec l’option, une fois que le client est authentifié avec l’authentification MAC RADIUS ou CWA (Central Web Authentication), le client reste dans l’état mac-radius authentifié même s’il envoie un message EAP-Start. Si eapol-block est configuré avec l’option, une fois que le client est authentifié avec le portail captif, le client reste dans l’état captive-portal authentifié même s’il envoie un message EAP-Start.
Cette fonctionnalité est prise en charge sur les commutateurs EX4300 et EX9200.
Pour configurer un bloc de messages EAPoL afin de conserver une session d’authentification existante :