Sur cette page
Ordre d’authentification pour RADIUS TACACS+ et mot de passe local
Junos OS prend en charge différentes méthodes d’authentification, notamment l’authentification par mot de passe local, RADIUS et TACACS+, pour contrôler l’accès au réseau.
Lorsque vous configurez un appareil pour qu’il prenne en charge plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Cette rubrique explique comment fonctionne l’ordre d’authentification et comment le configurer sur un appareil.
Vue d’ensemble de la commande d’authentification
Vous (l’administrateur réseau) pouvez configurer l’instruction pour qu’elle donne la priorité à l’ordre dans lequel Junos OS tentent différentes méthodes d’authentification pour vérifier l’accès de l’utilisateur authentication-order
à un routeur ou à un commutateur. Si vous ne définissez pas d’ordre d’authentification, par défaut, Junos OS les utilisateurs sont vérifiés en fonction de leurs mots de passe locaux configurés.
Si l’ordre d’authentification inclut des serveurs RADIUS ou TACACS+, mais que les serveurs ne répondent pas à une demande, Junos OS essaie toujours par défaut l’authentification par mot de passe local en dernier recours.
Si l’ordre d’authentification inclut des serveurs RADIUS ou TACACS+, mais que les serveurs rejettent la demande, le traitement de la demande est plus compliqué.
-
Si
password
(authentification par mot de passe local) est inclus à la fin de l’ordre d’authentification et que les serveurs d’authentification distants rejettent la demande d’authentification, l’appareil tente l’authentification par mot de passe local. -
Si
password
(authentification par mot de passe local) n’est pas inclus dans l’ordre d’authentification et que les serveurs d’authentification distants rejettent la demande d’authentification, la demande se termine par le rejet.
Par conséquent, l’appareil doit inclure password
comme ordre d’authentification final l’option permettant à l’appareil de tenter l’authentification par mot de passe local dans le cas où les serveurs d’authentification distants rejettent la demande.
Si l’ordre d’authentification est défini sur authentication-order password
, l’appareil utilise uniquement l’authentification par mot de passe local.
- Utilisation de l’authentification à distance
- Comment utiliser l’authentification par mot de passe local
- Ordre des tentatives d’authentification
Utilisation de l’authentification à distance
Vous pouvez configurer Junos OS pour qu’il soit un client d’authentification RADIUS ou TACACS+ (ou une combinaison des deux).
Si une méthode d’authentification incluse dans l’instruction n’est pas disponible, ou si la méthode d’authentification est disponible mais que le serveur d’authentification correspondant renvoie une réponse de rejet, Junos OS essaie la méthode d’authentification suivante incluse dans l’instruction.authentication-order
authentication-order
L’authentification du serveur RADIUS ou TACACS+ peut échouer pour une ou plusieurs des raisons suivantes :
-
La méthode d’authentification est configurée, mais pas les serveurs d’authentification correspondants. Par exemple, les méthodes d’authentification RADIUS et TACACS+ sont incluses dans l’instruction
authentication-order
, mais les serveurs RADIUS ou TACACS+ correspondants ne sont pas configurés aux niveaux respectifs[edit system radius-server]
et[edit system tacplus-server]
hiérarchiques. -
Le serveur d’authentification ne répond pas avant la valeur de délai d’expiration configurée pour ce serveur, ou avant le délai d’expiration par défaut, si aucun délai d’expiration n’est configuré.
-
Le serveur d’authentification n’est pas joignable en raison d’un problème réseau.
Le serveur d’authentification peut renvoyer une réponse de rejet pour l’une ou l’autre des raisons suivantes ou les deux :
-
Le profil utilisateur d’un utilisateur accédant à un routeur ou à un commutateur n’est pas configuré sur le serveur d’authentification.
-
L’utilisateur saisit des identifiants de connexion incorrects.
Comment utiliser l’authentification par mot de passe local
Vous pouvez configurer explicitement la méthode d’authentification dans l’instruction ou utiliser cette méthode comme mécanisme de secours en cas de défaillance des serveurs d’authentification password
authentication-order
distants. La password
méthode d’authentification consulte les profils d’utilisateurs locaux configurés au niveau de la [edit system login]
hiérarchie. Les utilisateurs peuvent se connecter à un routeur ou à un commutateur à l’aide de leur nom d’utilisateur et de leur mot de passe locaux dans les scénarios suivants :
-
La méthode d’authentification par mot de passe (
password
) est explicitement configurée comme l’une des méthodes d’authentification de l’instructionauthentication-order
.Dans ce cas, l’appareil tente l’authentification par mot de passe local si aucune méthode d’authentification précédente n’accepte les informations d’identification de connexion. Cela est vrai que les méthodes d’authentification précédentes ne répondent pas ou qu’elles renvoient une réponse de rejet en raison d’un nom d’utilisateur ou d’un mot de passe incorrect.
-
La méthode d’authentification par mot de passe n’est pas explicitement configurée comme l’une des méthodes d’authentification de l’instruction
authentication-order
.Dans ce cas, le système d’exploitation ne tente l’authentification par mot de passe local que si toutes les méthodes d’authentification configurées ne répondent pas. Le système d’exploitation n’utilise pas l’authentification par mot de passe local si une méthode d’authentification configurée renvoie une réponse de rejet en raison d’un nom d’utilisateur ou d’un mot de passe incorrect.
Ordre des tentatives d’authentification
Tableau 1décrit comment l’instruction au niveau de la hiérarchie détermine la [edit system]
procédure utilisée par Junos OS pour authentifier les utilisateurs pour l’accès authentication-order
à un périphérique.
Syntaxe |
Ordre des tentatives d’authentification |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Si des clés publiques SSH sont configurées, l’authentification de l’utilisateur SSH tente d’abord d’effectuer une authentification par clé publique avant d’utiliser les méthodes d’authentification configurées dans l’instruction authentication-order
. Si vous souhaitez que les connexions SSH utilisent les méthodes d’authentification configurées dans l’instruction sans essayer d’abord d’effectuer authentication-order
une authentification par clé publique, ne configurez pas de clés publiques SSH.
Configurer l’ordre d’authentification pour RADIUS, TACACS+ et l’authentification par mot de passe local
À l’aide de l’instruction, vous pouvez hiérarchiser l’ordre dans lequel Junos OS les différentes méthodes d’authentification sont essayées lors de la vérification de l’accès de l’utilisateur authentication-order
à un routeur ou à un commutateur. Si vous ne définissez pas d’ordre d’authentification, par défaut, les utilisateurs sont vérifiés en fonction de leurs mots de passe configurés localement.
Lorsque vous configurez un mot de passe à l’aide de texte brut et que vous comptez sur Junos OS pour le chiffrer, vous envoyez toujours le mot de passe sur Internet en texte brut. L’utilisation de mots de passe pré-cryptés est plus sûre car cela signifie que le texte brut du mot de passe n’a jamais besoin d’être envoyé sur Internet. De plus, avec les mots de passe, un seul utilisateur peut être affecté à un mot de passe à la fois.
D’autre part, RADIUS et TACACS+ chiffrent les mots de passe. Ces méthodes d’authentification vous permettent d’affecter un ensemble d’utilisateurs à la fois au lieu d’affecter des utilisateurs un par un. Mais voici en quoi ces systèmes d’authentification diffèrent :
-
RADIUS utilise UDP ; TACACS+ utilise TCP.
-
RADIUS ne chiffre que le mot de passe lors de la transmission, tandis que TACACS+ crypte l’intégralité de la session.
-
RADIUS combine l’authentification (appareil) et l’autorisation (utilisateur), tandis que TACACS+ sépare l’authentification, l’autorisation et la responsabilité.
En bref, TACACS+ est plus sécurisé que RADIUS. Cependant, RADIUS a de meilleures performances et est plus interopérable. RADIUS est largement pris en charge, tandis que TACACS+ est un produit propriétaire de Cisco et n’est pas largement pris en charge en dehors de Cisco.
Vous pouvez configurer l’ordre d’authentification en fonction de votre système, de ses restrictions, de votre stratégie informatique et de vos préférences opérationnelles.
Pour configurer l’ordre d’authentification, incluez l’instruction authentication-order
au niveau de la [edit system]
hiérarchie.
[edit system] user@host# set authentication-order [authentication-methods ]
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez inclure cette instruction, reportez-vous à la section Résumé de cette instruction.
Voici les options possibles de saisie de l’ordre d’authentification :
-
radius
: vérifiez l’utilisateur à l’aide des serveurs d’authentification RADIUS. -
tacplus
: vérifiez l’utilisateur à l’aide des serveurs d’authentification TACACS+. -
password
: vérifiez l’utilisateur à l’aide du nom d’utilisateur et du mot de passe configurés localement dans l’instruction d’authentification au niveau de la[edit system login user]
hiérarchie.
La séquence d’authentification CHAP (Challenge Handshake Authentication Protocol) ne peut pas prendre plus de 30 secondes. S’il faut plus de 30 secondes pour authentifier un client, l’authentification est abandonnée et une nouvelle séquence est lancée.
Par exemple, supposons que vous configuriez trois serveurs RADIUS de manière à ce que le routeur ou le commutateur tente de contacter chaque serveur trois fois. Supposons en outre qu’à chaque nouvelle tentative, le serveur expire au bout de 3 secondes. Dans ce scénario, le temps maximal accordé à la méthode d’authentification RADIUS avant que le protocole CHAP ne considère qu’il s’agit d’un échec est de 27 secondes. Si vous ajoutez d’autres serveurs RADIUS à cette configuration, il se peut qu’ils ne soient pas contactés, car le processus d’authentification peut être abandonné avant que ces serveurs ne soient essayés.
Junos OS applique une limite sur le nombre de requêtes serveur d’authentification permanentes que l’authentification CHAP peut avoir en même temps. Ainsi, une méthode de serveur d’authentification (RADIUS, par exemple) peut ne pas authentifier un client lorsque cette limite est dépassée. Si l’authentification échoue, la séquence d’authentification est relancée par le routeur ou le commutateur jusqu’à ce que l’authentification réussisse et que la liaison soit établie. Toutefois, si les serveurs RADIUS ne sont pas disponibles et que des méthodes d’authentification supplémentaires telles que tacplus
ou password
sont également configurées, la méthode d’authentification suivante est essayée.
L’exemple suivant montre comment configurer radius
l’authentification password
:
[edit system] user@switch# set authentication-order [ radius password ]
L’exemple suivant montre comment insérer l’instruction après l’instruction tacplus
radius
:
[edit system] user@switch# insert authentication-order tacplus after radius
L’exemple suivant montre comment supprimer l’instruction de l’ordre radius
d’authentification :
[edit system] user@switch# delete authentication-order radius
Exemple : Configurer l’ordre d’authentification
Cet exemple montre comment configurer l’ordre d’authentification pour la connexion de l’utilisateur.
Conditions préalables
Avant de commencer, effectuez la configuration initiale de l’appareil. Consultez le Guide de démarrage de votre appareil.
Présentation
Vous pouvez configurer l’ordre des méthodes d’authentification qu’un appareil utilise pour vérifier l’accès de l’utilisateur à l’appareil. Pour chaque tentative de connexion, l’appareil essaie les méthodes d’authentification dans l’ordre configuré, jusqu’à ce que le mot de passe corresponde ou que toutes les méthodes d’authentification aient été essayées. Si vous ne configurez pas l’authentification à distance, les utilisateurs sont vérifiés en fonction de leurs mots de passe locaux configurés.
Cet exemple configure l’appareil pour qu’il tente d’authentifier l’utilisateur avec les services d’authentification RADIUS d’abord, puis avec les services d’authentification TACACS+, et enfin avec l’authentification par mot de passe local.
Lorsque vous utilisez l’authentification par mot de passe local, vous devez créer un compte d’utilisateur local pour chaque utilisateur qui souhaite accéder au système. Toutefois, lorsque vous utilisez des serveurs d’authentification distants, vous pouvez créer des comptes modèles (à des fins d’autorisation) partagés par un ensemble d’utilisateurs. Lorsqu’un utilisateur est affecté à un compte modèle, le nom d’utilisateur de l’interface de ligne de commande (CLI) est le nom de connexion ; Toutefois, l’utilisateur hérite des privilèges, de la propriété du fichier et de l’ID utilisateur effectif du compte de modèle.
Configuration
Procédure
- Configuration rapide de l’interface de ligne de commande
- Configuration rapide de l’interface graphique
- Procédure étape par étape
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie, puis passez commit
en mode de [edit]
configuration.
delete system authentication-order set system authentication-order radius insert system authentication-order tacplus after radius insert system authentication-order password after tacplus
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer l’ordre d’authentification :
-
Dans l’interface utilisateur de J-Web, sélectionnez
Configure>System Properties>User Management
. -
Cliquez sur
Edit
. La boîte de dialogue Modifier la gestion des utilisateurs s’affiche. -
Sélectionnez l’onglet
Authentication Method and Order
. -
Sous Méthodes disponibles, sélectionnez la méthode d’authentification que l’appareil doit utiliser pour authentifier les utilisateurs. Utilisez le bouton fléché pour déplacer l’élément vers la liste Méthodes sélectionnées. Les méthodes disponibles sont les suivantes :
-
RAYON
-
TACACS+
-
Mot de passe local
Si vous souhaitez utiliser plusieurs méthodes pour authentifier les utilisateurs, répétez cette étape pour ajouter les autres méthodes à la liste Méthodes sélectionnées.
-
-
Sous Méthodes sélectionnées, utilisez la flèche vers le haut et la flèche vers le bas pour spécifier l’ordre dans lequel l’appareil doit exécuter les méthodes d’authentification.
-
Vérifiez
OK
votre configuration et enregistrez-la en tant que configuration candidate. -
Après avoir configuré l’appareil, cliquez sur
Commit Options>Commit
.
Procédure étape par étape
Pour configurer l’ordre d’authentification :
-
Supprimez toute instruction existante
authentication-order
.[edit] user@host# delete system authentication-order
-
Ajoutez l’authentification RADIUS à l’ordre d’authentification.
[edit] user@host# set system authentication-order radius
-
Ajoutez l’authentification TACACS+ à l’ordre d’authentification.
[edit] user@host# insert system authentication-order tacplus after radius
-
Ajoutez l’authentification par mot de passe local à l’ordre d’authentification.
[edit] user@host# insert system authentication-order password after tacplus
Résultats
En mode configuration, confirmez votre configuration en entrant la show system authentication-order
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show system authentication-order authentication-order [ radius tacplus password ];
Après avoir configuré l’appareil, passez commit
en mode de configuration.
Pour configurer complètement l’authentification RADIUS ou TACACS+, vous devez configurer au moins un serveur RADIUS ou TACACS+ et créer des comptes d’utilisateur ou des comptes de modèle d’utilisateur .
-
Configurez un serveur RADIUS. Reportez-vous à la section Exemple : Configurer un serveur RADIUS pour l’authentification du système.
-
Configurez un serveur TACACS+. Reportez-vous à la section Exemple : Configurer un serveur TACACS+ pour l’authentification du système.
-
Configurez un utilisateur. Reportez-vous à la section Exemple : Configurer de nouveaux comptes d’utilisateur.
-
Configurez les comptes de modèle. Reportez-vous à la section Exemple : Créer des comptes modèles.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifier la configuration de l’ordre d’authentification
But
Vérifiez que l’appareil utilise les méthodes d’authentification dans l’ordre configuré.
Action
Créez un utilisateur de test avec un mot de passe différent pour chaque méthode d’authentification. Connectez-vous à l’appareil à l’aide des différents mots de passe. Vérifiez que l’appareil interroge les méthodes d’authentification suivantes lorsque celles-ci rejettent le mot de passe ou ne répondent pas.
Dans un environnement de test, vous pouvez également désactiver la configuration du serveur d’authentification ou la configuration du compte d’utilisateur local (ou les deux) pour tester chaque méthode d’authentification. Par exemple, pour tester le serveur TACACS+, vous pouvez désactiver la configuration du serveur RADIUS et le compte local de l’utilisateur. Toutefois, si vous désactivez le compte local de l’utilisateur, vous devez vous assurer que l’utilisateur est toujours mappé à un compte de modèle d’utilisateur local tel que le modèle d’utilisateur remote
.
Exemple : Configurer l’authentification système pour RADIUS, TACACS+ et l’authentification par mot de passe
L’exemple suivant montre comment configurer l’authentification système pour RADIUS, TACACS+ et l’authentification par mot de passe sur un périphérique exécutant Junos OS.
Dans cet exemple, seuls l’utilisateur Philip et les utilisateurs authentifiés par un serveur RADIUS peuvent se connecter. Si un utilisateur se connecte et n’est pas authentifié par le serveur RADIUS, il se voit refuser l’accès au routeur ou au commutateur. Si le serveur RADIUS n’est pas disponible, l’utilisateur est authentifié à l’aide de la méthode d’authentification password
et autorisé à accéder au routeur ou au commutateur. Pour plus d’informations sur la méthode d’authentification par mot de passe, reportez-vous à la section Vue d’ensemble de la commande d’authentification.
Lorsque Philip tente de se connecter au système, si le serveur RADIUS l’authentifie, il obtient l’accès et les privilèges de la super-user
classe. Les comptes locaux ne sont pas configurés pour les autres utilisateurs. Lorsqu’ils se connectent au système et que le serveur RADIUS les authentifie, ils y accèdent en utilisant le même ID utilisateur (UID) 9999 et les mêmes privilèges associés à la operator
classe.
[edit] system { authentication-order radius; login { user philip { full-name "Philip"; uid 1001; class super-user; } user remote { full-name "All remote users"; uid 9999; class operator; } } }
À des fins d’autorisation, vous pouvez utiliser un modèle de compte pour créer un compte unique qu’un ensemble d’utilisateurs peut partager en même temps. Par exemple, lorsque vous créez un compte de modèle distant, un ensemble d’utilisateurs distants peut partager simultanément un seul UID. Pour plus d’informations sur les comptes modèles, reportez-vous à la section Exemple : Configurer l’ordre d’authentification.
Lorsqu’un utilisateur se connecte à un périphérique, le serveur RADIUS ou TACACS+ utilise le nom de connexion de l’utilisateur pour l’authentification. Si le serveur d’authentification authentifie l’utilisateur avec succès et que l’utilisateur n’est pas configuré au niveau de la [edit system login user]
hiérarchie, voici le résultat : L’appareil utilise le compte d’utilisateur de modèle distant par défaut pour l’utilisateur, à condition qu’un compte de modèle distant soit configuré au niveau de la edit system login user remote
hiérarchie. Le compte de modèle distant sert de compte d’utilisateur de modèle par défaut pour tous les utilisateurs qui sont authentifiés par le serveur d’authentification, mais qui ne disposent pas d’un compte d’utilisateur configuré localement sur l’appareil. Ces utilisateurs partagent la même classe de connexion et le même UID.
Pour configurer un autre utilisateur de modèle, spécifiez le paramètre renvoyé dans le user-name
paquet de réponses d’authentification RADIUS. Tous les serveurs RADIUS ne vous permettent pas de modifier ce paramètre. Voici un exemple de configuration de Junos OS :
[edit] system { authentication-order radius; login { user philip { full-name "Philip"; uid 1001; class super-user; } user operator { full-name "All operators"; uid 9990; class operator; } user remote { full-name "All remote users"; uid 9999; class read-only; } } }
Supposons que votre serveur RADIUS soit configuré avec les informations suivantes :
Utilisateur Philip avec le mot de passe « olympia »
Utilisateur Alexander avec le mot de passe « bucephalus » et le nom d’utilisateur « operator »
Utilisateur Darius avec le mot de passe « redhead » et le nom d’utilisateur « operator »
Utilisateur Roxane avec le mot de passe « athena »
Philip se verrait accorder l’accès en tant que superutilisateur (super-user
) en raison de son compte d’utilisateur local unique. Alexander et Darius partagent l’UID 9990 et y ont accès en tant qu’opérateurs. Roxane n’a pas de remplacement d’utilisateur de modèle et partage donc l’accès avec tous les autres utilisateurs distants, obtenant un accès en lecture seule.