Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ordre d’authentification pour RADIUS TACACS+ et mot de passe local

Junos OS prend en charge différentes méthodes d’authentification, notamment l’authentification par mot de passe local, RADIUS et TACACS+, pour contrôler l’accès au réseau.

Lorsque vous configurez un appareil pour qu’il prenne en charge plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Cette rubrique explique comment fonctionne l’ordre d’authentification et comment le configurer sur un appareil.

Vue d’ensemble de la commande d’authentification

Vous (l’administrateur réseau) pouvez configurer l’instruction pour qu’elle donne la priorité à l’ordre dans lequel Junos OS tentent différentes méthodes d’authentification pour vérifier l’accès de l’utilisateur authentication-order à un routeur ou à un commutateur. Si vous ne définissez pas d’ordre d’authentification, par défaut, Junos OS les utilisateurs sont vérifiés en fonction de leurs mots de passe locaux configurés.

Si l’ordre d’authentification inclut des serveurs RADIUS ou TACACS+, mais que les serveurs ne répondent pas à une demande, Junos OS essaie toujours par défaut l’authentification par mot de passe local en dernier recours.

Si l’ordre d’authentification inclut des serveurs RADIUS ou TACACS+, mais que les serveurs rejettent la demande, le traitement de la demande est plus compliqué.

  • Si password (authentification par mot de passe local) est inclus à la fin de l’ordre d’authentification et que les serveurs d’authentification distants rejettent la demande d’authentification, l’appareil tente l’authentification par mot de passe local.

  • Si password (authentification par mot de passe local) n’est pas inclus dans l’ordre d’authentification et que les serveurs d’authentification distants rejettent la demande d’authentification, la demande se termine par le rejet.

Par conséquent, l’appareil doit inclure password comme ordre d’authentification final l’option permettant à l’appareil de tenter l’authentification par mot de passe local dans le cas où les serveurs d’authentification distants rejettent la demande.

Si l’ordre d’authentification est défini sur authentication-order password, l’appareil utilise uniquement l’authentification par mot de passe local.

Utilisation de l’authentification à distance

Vous pouvez configurer Junos OS pour qu’il soit un client d’authentification RADIUS ou TACACS+ (ou une combinaison des deux).

Si une méthode d’authentification incluse dans l’instruction n’est pas disponible, ou si la méthode d’authentification est disponible mais que le serveur d’authentification correspondant renvoie une réponse de rejet, Junos OS essaie la méthode d’authentification suivante incluse dans l’instruction.authentication-orderauthentication-order

L’authentification du serveur RADIUS ou TACACS+ peut échouer pour une ou plusieurs des raisons suivantes :

  • La méthode d’authentification est configurée, mais pas les serveurs d’authentification correspondants. Par exemple, les méthodes d’authentification RADIUS et TACACS+ sont incluses dans l’instruction authentication-order , mais les serveurs RADIUS ou TACACS+ correspondants ne sont pas configurés aux niveaux respectifs [edit system radius-server] et [edit system tacplus-server] hiérarchiques.

  • Le serveur d’authentification ne répond pas avant la valeur de délai d’expiration configurée pour ce serveur, ou avant le délai d’expiration par défaut, si aucun délai d’expiration n’est configuré.

  • Le serveur d’authentification n’est pas joignable en raison d’un problème réseau.

Le serveur d’authentification peut renvoyer une réponse de rejet pour l’une ou l’autre des raisons suivantes ou les deux :

  • Le profil utilisateur d’un utilisateur accédant à un routeur ou à un commutateur n’est pas configuré sur le serveur d’authentification.

  • L’utilisateur saisit des identifiants de connexion incorrects.

Comment utiliser l’authentification par mot de passe local

Vous pouvez configurer explicitement la méthode d’authentification dans l’instruction ou utiliser cette méthode comme mécanisme de secours en cas de défaillance des serveurs d’authentification passwordauthentication-order distants. La password méthode d’authentification consulte les profils d’utilisateurs locaux configurés au niveau de la [edit system login] hiérarchie. Les utilisateurs peuvent se connecter à un routeur ou à un commutateur à l’aide de leur nom d’utilisateur et de leur mot de passe locaux dans les scénarios suivants :

  • La méthode d’authentification par mot de passe (password) est explicitement configurée comme l’une des méthodes d’authentification de l’instruction authentication-order .

    Dans ce cas, l’appareil tente l’authentification par mot de passe local si aucune méthode d’authentification précédente n’accepte les informations d’identification de connexion. Cela est vrai que les méthodes d’authentification précédentes ne répondent pas ou qu’elles renvoient une réponse de rejet en raison d’un nom d’utilisateur ou d’un mot de passe incorrect.

  • La méthode d’authentification par mot de passe n’est pas explicitement configurée comme l’une des méthodes d’authentification de l’instruction authentication-order .

    Dans ce cas, le système d’exploitation ne tente l’authentification par mot de passe local que si toutes les méthodes d’authentification configurées ne répondent pas. Le système d’exploitation n’utilise pas l’authentification par mot de passe local si une méthode d’authentification configurée renvoie une réponse de rejet en raison d’un nom d’utilisateur ou d’un mot de passe incorrect.

Ordre des tentatives d’authentification

Tableau 1décrit comment l’instruction au niveau de la hiérarchie détermine la [edit system] procédure utilisée par Junos OS pour authentifier les utilisateurs pour l’accès authentication-order à un périphérique.

Tableau 1 : Ordre des tentatives d’authentification

Syntaxe

Ordre des tentatives d’authentification

authentication-order radius;

  1. Essayez les serveurs d’authentification RADIUS configurés.

  2. Si un serveur RADIUS est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si un serveur RADIUS est disponible, mais que l’authentification est rejetée, refusez l’accès.

  4. Si aucun serveur RADIUS n’est disponible, essayez l’authentification par mot de passe local.

authentication-order [ radius password ];

  1. Essayez les serveurs d’authentification RADIUS configurés.

  2. Si un serveur RADIUS est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si les serveurs RADIUS ne répondent pas ou s’ils renvoient une réponse de rejet, essayez l’authentification par mot de passe local, car elle est explicitement configurée dans l’ordre d’authentification.

authentication-order [ radius tacplus ];

  1. Essayez les serveurs d’authentification RADIUS configurés.

  2. Si un serveur RADIUS est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si les serveurs RADIUS ne répondent pas ou s’ils renvoient une réponse de rejet, essayez les serveurs TACACS+ configurés.

  4. Si un serveur TACACS+ est disponible et que l’authentification est acceptée, accordez l’accès.

  5. Si un serveur TACACS+ est disponible mais que l’authentification est rejetée, refusez l’accès.

authentication-order [ radius tacplus password ];

  1. Essayez les serveurs d’authentification RADIUS configurés.

  2. Si un serveur RADIUS est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si les serveurs RADIUS ne répondent pas ou s’ils renvoient une réponse de rejet, essayez les serveurs TACACS+ configurés.

  4. Si un serveur TACACS+ est disponible et que l’authentification est acceptée, accordez l’accès.

  5. Si les serveurs TACACS+ ne répondent pas ou si les serveurs renvoient une réponse de rejet, essayez l’authentification par mot de passe local, car elle est explicitement configurée dans l’ordre d’authentification.

authentication-order tacplus;

  1. Essayez les serveurs d’authentification TACACS+ configurés.

  2. Si un serveur TACACS+ est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si un serveur TACACS+ est disponible mais que l’authentification est rejetée, refusez l’accès.

  4. Si aucun serveur TACACS+ n’est disponible, essayez l’authentification par mot de passe local.

authentication-order [ tacplus password ];

  1. Essayez les serveurs d’authentification TACACS+ configurés.

  2. Si un serveur TACACS+ est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si les serveurs TACACS+ ne répondent pas ou si les serveurs renvoient une réponse de rejet, essayez l’authentification par mot de passe local, car elle est explicitement configurée dans l’ordre d’authentification.

authentication-order [ tacplus radius ];

  1. Essayez les serveurs d’authentification TACACS+ configurés.

  2. Si un serveur TACACS+ est disponible et que l’authentification est acceptée, accordez l’accès.

  3. Si les serveurs TACACS+ ne répondent pas ou s’ils renvoient une réponse de rejet, essayez les serveurs RADIUS configurés.

  4. Si un serveur RADIUS est disponible et que l’authentification est acceptée, accordez l’accès.

  5. Si un serveur RADIUS est disponible, mais que l’authentification est rejetée, refusez l’accès.

  6. Si aucun serveur TACACS+ ou RADIUS n’est disponible, essayez l’authentification par mot de passe local.

authentication-order password;

  1. Essayez d’authentifier l’utilisateur à l’aide du mot de passe configuré au niveau de la [edit system login] hiérarchie.

  2. Si l’authentification est acceptée, accordez l’accès.

  3. Si l’authentification est rejetée, refusez l’accès.

REMARQUE :

Si des clés publiques SSH sont configurées, l’authentification de l’utilisateur SSH tente d’abord d’effectuer une authentification par clé publique avant d’utiliser les méthodes d’authentification configurées dans l’instruction authentication-order . Si vous souhaitez que les connexions SSH utilisent les méthodes d’authentification configurées dans l’instruction sans essayer d’abord d’effectuer authentication-order une authentification par clé publique, ne configurez pas de clés publiques SSH.

Configurer l’ordre d’authentification pour RADIUS, TACACS+ et l’authentification par mot de passe local

À l’aide de l’instruction, vous pouvez hiérarchiser l’ordre dans lequel Junos OS les différentes méthodes d’authentification sont essayées lors de la vérification de l’accès de l’utilisateur authentication-order à un routeur ou à un commutateur. Si vous ne définissez pas d’ordre d’authentification, par défaut, les utilisateurs sont vérifiés en fonction de leurs mots de passe configurés localement.

Lorsque vous configurez un mot de passe à l’aide de texte brut et que vous comptez sur Junos OS pour le chiffrer, vous envoyez toujours le mot de passe sur Internet en texte brut. L’utilisation de mots de passe pré-cryptés est plus sûre car cela signifie que le texte brut du mot de passe n’a jamais besoin d’être envoyé sur Internet. De plus, avec les mots de passe, un seul utilisateur peut être affecté à un mot de passe à la fois.

D’autre part, RADIUS et TACACS+ chiffrent les mots de passe. Ces méthodes d’authentification vous permettent d’affecter un ensemble d’utilisateurs à la fois au lieu d’affecter des utilisateurs un par un. Mais voici en quoi ces systèmes d’authentification diffèrent :

  • RADIUS utilise UDP ; TACACS+ utilise TCP.

  • RADIUS ne chiffre que le mot de passe lors de la transmission, tandis que TACACS+ crypte l’intégralité de la session.

  • RADIUS combine l’authentification (appareil) et l’autorisation (utilisateur), tandis que TACACS+ sépare l’authentification, l’autorisation et la responsabilité.

En bref, TACACS+ est plus sécurisé que RADIUS. Cependant, RADIUS a de meilleures performances et est plus interopérable. RADIUS est largement pris en charge, tandis que TACACS+ est un produit propriétaire de Cisco et n’est pas largement pris en charge en dehors de Cisco.

Vous pouvez configurer l’ordre d’authentification en fonction de votre système, de ses restrictions, de votre stratégie informatique et de vos préférences opérationnelles.

Pour configurer l’ordre d’authentification, incluez l’instruction authentication-order au niveau de la [edit system] hiérarchie.

Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez inclure cette instruction, reportez-vous à la section Résumé de cette instruction.

Voici les options possibles de saisie de l’ordre d’authentification :

  • radius: vérifiez l’utilisateur à l’aide des serveurs d’authentification RADIUS.

  • tacplus: vérifiez l’utilisateur à l’aide des serveurs d’authentification TACACS+.

  • password: vérifiez l’utilisateur à l’aide du nom d’utilisateur et du mot de passe configurés localement dans l’instruction d’authentification au niveau de la [edit system login user] hiérarchie.

La séquence d’authentification CHAP (Challenge Handshake Authentication Protocol) ne peut pas prendre plus de 30 secondes. S’il faut plus de 30 secondes pour authentifier un client, l’authentification est abandonnée et une nouvelle séquence est lancée.

Par exemple, supposons que vous configuriez trois serveurs RADIUS de manière à ce que le routeur ou le commutateur tente de contacter chaque serveur trois fois. Supposons en outre qu’à chaque nouvelle tentative, le serveur expire au bout de 3 secondes. Dans ce scénario, le temps maximal accordé à la méthode d’authentification RADIUS avant que le protocole CHAP ne considère qu’il s’agit d’un échec est de 27 secondes. Si vous ajoutez d’autres serveurs RADIUS à cette configuration, il se peut qu’ils ne soient pas contactés, car le processus d’authentification peut être abandonné avant que ces serveurs ne soient essayés.

Junos OS applique une limite sur le nombre de requêtes serveur d’authentification permanentes que l’authentification CHAP peut avoir en même temps. Ainsi, une méthode de serveur d’authentification (RADIUS, par exemple) peut ne pas authentifier un client lorsque cette limite est dépassée. Si l’authentification échoue, la séquence d’authentification est relancée par le routeur ou le commutateur jusqu’à ce que l’authentification réussisse et que la liaison soit établie. Toutefois, si les serveurs RADIUS ne sont pas disponibles et que des méthodes d’authentification supplémentaires telles que tacplus ou password sont également configurées, la méthode d’authentification suivante est essayée.

L’exemple suivant montre comment configurer radius l’authentification password :

L’exemple suivant montre comment insérer l’instruction après l’instruction tacplusradius :

L’exemple suivant montre comment supprimer l’instruction de l’ordre radius d’authentification :

Exemple : Configurer l’ordre d’authentification

Cet exemple montre comment configurer l’ordre d’authentification pour la connexion de l’utilisateur.

Conditions préalables

Avant de commencer, effectuez la configuration initiale de l’appareil. Consultez le Guide de démarrage de votre appareil.

Présentation

Vous pouvez configurer l’ordre des méthodes d’authentification qu’un appareil utilise pour vérifier l’accès de l’utilisateur à l’appareil. Pour chaque tentative de connexion, l’appareil essaie les méthodes d’authentification dans l’ordre configuré, jusqu’à ce que le mot de passe corresponde ou que toutes les méthodes d’authentification aient été essayées. Si vous ne configurez pas l’authentification à distance, les utilisateurs sont vérifiés en fonction de leurs mots de passe locaux configurés.

Cet exemple configure l’appareil pour qu’il tente d’authentifier l’utilisateur avec les services d’authentification RADIUS d’abord, puis avec les services d’authentification TACACS+, et enfin avec l’authentification par mot de passe local.

Lorsque vous utilisez l’authentification par mot de passe local, vous devez créer un compte d’utilisateur local pour chaque utilisateur qui souhaite accéder au système. Toutefois, lorsque vous utilisez des serveurs d’authentification distants, vous pouvez créer des comptes modèles (à des fins d’autorisation) partagés par un ensemble d’utilisateurs. Lorsqu’un utilisateur est affecté à un compte modèle, le nom d’utilisateur de l’interface de ligne de commande (CLI) est le nom de connexion ; Toutefois, l’utilisateur hérite des privilèges, de la propriété du fichier et de l’ID utilisateur effectif du compte de modèle.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie, puis passez commit en mode de [edit] configuration.

Configuration rapide de l’interface graphique
Procédure étape par étape

Pour configurer l’ordre d’authentification :

  1. Dans l’interface utilisateur de J-Web, sélectionnez Configure>System Properties>User Management.

  2. Cliquez sur Edit. La boîte de dialogue Modifier la gestion des utilisateurs s’affiche.

  3. Sélectionnez l’onglet Authentication Method and Order .

  4. Sous Méthodes disponibles, sélectionnez la méthode d’authentification que l’appareil doit utiliser pour authentifier les utilisateurs. Utilisez le bouton fléché pour déplacer l’élément vers la liste Méthodes sélectionnées. Les méthodes disponibles sont les suivantes :

    • RAYON

    • TACACS+

    • Mot de passe local

    Si vous souhaitez utiliser plusieurs méthodes pour authentifier les utilisateurs, répétez cette étape pour ajouter les autres méthodes à la liste Méthodes sélectionnées.

  5. Sous Méthodes sélectionnées, utilisez la flèche vers le haut et la flèche vers le bas pour spécifier l’ordre dans lequel l’appareil doit exécuter les méthodes d’authentification.

  6. Vérifiez OK votre configuration et enregistrez-la en tant que configuration candidate.

  7. Après avoir configuré l’appareil, cliquez sur Commit Options>Commit.

Procédure étape par étape

Pour configurer l’ordre d’authentification :

  1. Supprimez toute instruction existante authentication-order .

  2. Ajoutez l’authentification RADIUS à l’ordre d’authentification.

  3. Ajoutez l’authentification TACACS+ à l’ordre d’authentification.

  4. Ajoutez l’authentification par mot de passe local à l’ordre d’authentification.

Résultats

En mode configuration, confirmez votre configuration en entrant la show system authentication-order commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Après avoir configuré l’appareil, passez commit en mode de configuration.

REMARQUE :

Pour configurer complètement l’authentification RADIUS ou TACACS+, vous devez configurer au moins un serveur RADIUS ou TACACS+ et créer des comptes d’utilisateur ou des comptes de modèle d’utilisateur .

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier la configuration de l’ordre d’authentification

But

Vérifiez que l’appareil utilise les méthodes d’authentification dans l’ordre configuré.

Action

Créez un utilisateur de test avec un mot de passe différent pour chaque méthode d’authentification. Connectez-vous à l’appareil à l’aide des différents mots de passe. Vérifiez que l’appareil interroge les méthodes d’authentification suivantes lorsque celles-ci rejettent le mot de passe ou ne répondent pas.

Dans un environnement de test, vous pouvez également désactiver la configuration du serveur d’authentification ou la configuration du compte d’utilisateur local (ou les deux) pour tester chaque méthode d’authentification. Par exemple, pour tester le serveur TACACS+, vous pouvez désactiver la configuration du serveur RADIUS et le compte local de l’utilisateur. Toutefois, si vous désactivez le compte local de l’utilisateur, vous devez vous assurer que l’utilisateur est toujours mappé à un compte de modèle d’utilisateur local tel que le modèle d’utilisateur remote .

Exemple : Configurer l’authentification système pour RADIUS, TACACS+ et l’authentification par mot de passe

L’exemple suivant montre comment configurer l’authentification système pour RADIUS, TACACS+ et l’authentification par mot de passe sur un périphérique exécutant Junos OS.

Dans cet exemple, seuls l’utilisateur Philip et les utilisateurs authentifiés par un serveur RADIUS peuvent se connecter. Si un utilisateur se connecte et n’est pas authentifié par le serveur RADIUS, il se voit refuser l’accès au routeur ou au commutateur. Si le serveur RADIUS n’est pas disponible, l’utilisateur est authentifié à l’aide de la méthode d’authentification password et autorisé à accéder au routeur ou au commutateur. Pour plus d’informations sur la méthode d’authentification par mot de passe, reportez-vous à la section Vue d’ensemble de la commande d’authentification.

Lorsque Philip tente de se connecter au système, si le serveur RADIUS l’authentifie, il obtient l’accès et les privilèges de la super-user classe. Les comptes locaux ne sont pas configurés pour les autres utilisateurs. Lorsqu’ils se connectent au système et que le serveur RADIUS les authentifie, ils y accèdent en utilisant le même ID utilisateur (UID) 9999 et les mêmes privilèges associés à la operator classe.

REMARQUE :

À des fins d’autorisation, vous pouvez utiliser un modèle de compte pour créer un compte unique qu’un ensemble d’utilisateurs peut partager en même temps. Par exemple, lorsque vous créez un compte de modèle distant, un ensemble d’utilisateurs distants peut partager simultanément un seul UID. Pour plus d’informations sur les comptes modèles, reportez-vous à la section Exemple : Configurer l’ordre d’authentification.

Lorsqu’un utilisateur se connecte à un périphérique, le serveur RADIUS ou TACACS+ utilise le nom de connexion de l’utilisateur pour l’authentification. Si le serveur d’authentification authentifie l’utilisateur avec succès et que l’utilisateur n’est pas configuré au niveau de la [edit system login user] hiérarchie, voici le résultat : L’appareil utilise le compte d’utilisateur de modèle distant par défaut pour l’utilisateur, à condition qu’un compte de modèle distant soit configuré au niveau de la edit system login user remote hiérarchie. Le compte de modèle distant sert de compte d’utilisateur de modèle par défaut pour tous les utilisateurs qui sont authentifiés par le serveur d’authentification, mais qui ne disposent pas d’un compte d’utilisateur configuré localement sur l’appareil. Ces utilisateurs partagent la même classe de connexion et le même UID.

Pour configurer un autre utilisateur de modèle, spécifiez le paramètre renvoyé dans le user-name paquet de réponses d’authentification RADIUS. Tous les serveurs RADIUS ne vous permettent pas de modifier ce paramètre. Voici un exemple de configuration de Junos OS :

Supposons que votre serveur RADIUS soit configuré avec les informations suivantes :

  • Utilisateur Philip avec le mot de passe « olympia »

  • Utilisateur Alexander avec le mot de passe « bucephalus » et le nom d’utilisateur « operator »

  • Utilisateur Darius avec le mot de passe « redhead » et le nom d’utilisateur « operator »

  • Utilisateur Roxane avec le mot de passe « athena »

Philip se verrait accorder l’accès en tant que superutilisateur (super-user) en raison de son compte d’utilisateur local unique. Alexander et Darius partagent l’UID 9990 et y ont accès en tant qu’opérateurs. Roxane n’a pas de remplacement d’utilisateur de modèle et partage donc l’accès avec tous les autres utilisateurs distants, obtenant un accès en lecture seule.