Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration du serveur RADIUS pour l’authentification

Juniper Networks Commutateurs Ethernet utiliser l’authentification 802.1X, RADIUS MAC ou portail captif pour fournir un contrôle d’accès aux appareils ou aux utilisateurs. Lorsque les authentifications 802.1X, RADIUS MAC ou de portail captif sont configurées sur le commutateur, les terminaux sont évalués lors de la connexion initiale par un serveur d’authentification (RADIUS). Pour utiliser l’authentification 802.1X ou MAC RADIUS, vous devez spécifier les connexions sur le commutateur pour chaque serveur RADIUS auquel vous souhaitez vous connecter. Lisez cette rubrique pour plus d’informations.

Spécification des connexions au serveur RADIUS sur les commutateurs (procédure CLI)

L’authentification IEEE 802.1X et MAC RADIUS assure la sécurité de la périphérie du réseau, protégeant les réseaux locaux Ethernet contre tout accès non autorisé des utilisateurs en bloquant tout le trafic à destination et en provenance des périphériques à l’interface jusqu’à ce que les informations d’identification ou l’adresse MAC du demandeur soient présentées et mises en correspondance sur le authentication server serveur RADIUS. Lorsque le demandeur est authentifié, le commutateur cesse de bloquer l’accès et ouvre l’interface au demandeur.

Pour utiliser l’authentification 802.1X ou MAC RADIUS, vous devez spécifier les connexions sur le commutateur pour chaque serveur RADIUS auquel vous allez vous connecter.

Pour configurer plusieurs serveurs RADIUS, incluez plusieurs radius-server instructions. Lorsque plusieurs serveurs sont configurés, l’accès aux serveurs s’effectue par défaut dans l’ordre de configuration. Le premier serveur configuré est le serveur principal. Si le serveur principal est inaccessible, le routeur tente d’atteindre le deuxième serveur configuré, et ainsi de suite. Vous pouvez équilibrer la charge des demandes en configurant la méthode round-robin. Les serveurs sont testés dans l’ordre et selon un tourniquet jusqu’à ce qu’une réponse valide soit reçue de l’un des serveurs, ou jusqu’à ce que toutes les limites de nouvelles tentatives configurées soient atteintes.

REMARQUE :

La méthode d’accès Round-Robin n’est pas recommandée pour les commutateurs EX Series.

Vous pouvez également configurer un nom de domaine complet (FQDN) qui se résout en une ou plusieurs adresses IP. Reportez-vous à la section Spécification des connexions au serveur RADIUS sur les commutateurs (procédure CLI).

Pour configurer un serveur RADIUS sur le commutateur :

  1. Configurez l’adresse IP du serveur RADIUS, le numéro de port d’authentification du serveur RADIUS et le mot de passe secret. Le mot de passe secret sur le commutateur doit correspondre au mot de passe secret sur le serveur.
    REMARQUE :

    La spécification du port d’authentification est facultative et le port 1812 est le port par défaut. Cependant, nous vous recommandons de le configurer afin d’éviter toute confusion, car certains serveurs RADIUS peuvent faire référence à une valeur par défaut plus ancienne.

  2. (Facultatif) Spécifiez l’adresse IP par laquelle le commutateur est identifié par le serveur RADIUS. Si vous ne spécifiez pas l’adresse IP, le serveur RADIUS utilise l’adresse de l’interface qui envoie la requête RADIUS. Nous vous recommandons de spécifier cette adresse IP, car si la demande est redirigée vers le serveur RADIUS via une autre route, l’interface qui relaie la demande peut ne pas être une interface du commutateur.
  3. Configurez l’ordre d’authentification, en faisant radius de la première méthode d’authentification :
  4. (Facultatif) Configurez la méthode utilisée par le routeur pour accéder aux serveurs d’authentification et de comptabilité RADIUS lorsque plusieurs serveurs sont configurés :

    • direct—Méthode par défaut, dans laquelle il n’y a pas d’équilibrage de charge. Le premier serveur configuré est le serveur principal ; Les serveurs sont accessibles dans l’ordre de configuration. Si le serveur principal est inaccessible, le routeur tente d’atteindre le deuxième serveur configuré, et ainsi de suite.

    • round-robin—Méthode assurant l’équilibrage de charge par rotation des requêtes de routeur dans la liste des serveurs RADIUS configurés. Le serveur choisi pour l’accès fait l’objet d’une rotation en fonction du serveur utilisé en dernier. Le premier serveur de la liste est traité comme principal pour la première demande d’authentification, mais pour la deuxième demande, le deuxième serveur configuré est traité comme principal, et ainsi de suite. Avec cette méthode, tous les serveurs configurés reçoivent à peu près le même nombre de requêtes en moyenne, de sorte qu’aucun serveur n’a à traiter toutes les requêtes.

      REMARQUE :

      Lorsqu’un serveur RADIUS de la liste Round-Robin devient inaccessible, le serveur joignable suivant dans la liste Round-Robin est utilisé pour la requête en cours. Ce même serveur est également utilisé pour la requête suivante car il se trouve en haut de la liste des serveurs disponibles. Par conséquent, après une panne de serveur, le serveur utilisé prend la charge de deux serveurs.

    • Pour configurer la méthode utilisée par le routeur pour accéder aux serveurs de comptabilité RADIUS :

    • Pour configurer la méthode utilisée par le routeur pour accéder aux serveurs d’authentification RADIUS :

  5. Créez un profil et spécifiez la liste des serveurs RADIUS à associer au profil. Par exemple, vous pouvez choisir de regrouper géographiquement vos serveurs RADIUS par ville. Cette fonctionnalité permet une modification facile chaque fois que vous souhaitez passer à un autre envoyé de serveurs d’authentification.
  6. Spécifiez le groupe de serveurs à utiliser pour l’authentification 802.1X ou MAC RADIUS en identifiant le nom du profil :
  7. Configurez l’adresse IP du commutateur dans la liste des clients du serveur RADIUS. Pour plus d’informations sur la configuration du serveur RADIUS, consultez la documentation de votre serveur.

Configuration d’un serveur RADIUS à l’aide d’un nom de domaine complet

Vous pouvez configurer un nom de domaine complet (FQDN) qui se résout en une ou plusieurs adresses IP. Configurez un serveur RADIUS à l’aide d’un nom de domaine complet au niveau de la hiérarchie [edit access radius-server-name hostname]. Lorsqu’un nom de domaine complet se résout en plusieurs adresses, les serveurs sont accédés par défaut dans l’ordre de configuration. La première adresse résolue est le serveur principal. Si le serveur principal est inaccessible, le routeur tente d’atteindre le deuxième serveur, et ainsi de suite. Vous pouvez équilibrer la charge des demandes en configurant la méthode round-robin. Les serveurs sont testés dans l’ordre et selon un tourniquet jusqu’à ce qu’une réponse valide soit reçue de l’un des serveurs, ou jusqu’à ce que toutes les limites de nouvelles tentatives configurées soient atteintes.

  1. Configurez le nom de domaine complet du serveur RADIUS, le numéro de port d’authentification du serveur RADIUS et le mot de passe secret. Le mot de passe secret sur le commutateur doit correspondre au mot de passe secret sur le serveur.
    REMARQUE :

    La spécification du port d’authentification est facultative et le port 1812 est le port par défaut. Cependant, nous vous recommandons de le configurer afin d’éviter toute confusion, car certains serveurs RADIUS peuvent faire référence à une valeur par défaut plus ancienne.

  2. (Facultatif) Configurez l’intervalle de résolution d’un nom de domaine complet en tant qu’adresse de serveur. Le nom de domaine complet est résolu dynamiquement à intervalles fixes en fonction de la valeur configurée.
  3. (Facultatif) Spécifiez l’adresse IP par laquelle le commutateur est identifié par le serveur RADIUS. Si vous ne spécifiez pas l’adresse IP, le serveur RADIUS utilise l’adresse de l’interface qui envoie la requête RADIUS. Nous vous recommandons de spécifier cette adresse IP, car si la demande est redirigée vers le serveur RADIUS via une autre route, l’interface qui relaie la demande peut ne pas être une interface du commutateur.
  4. Configurez l’ordre d’authentification, en faisant radius de la première méthode d’authentification :
  5. (Facultatif) Configurez la méthode utilisée par le commutateur pour accéder aux serveurs d’authentification et de comptabilité RADIUS lorsque plusieurs serveurs sont configurés :

    • direct—Méthode par défaut, dans laquelle il n’y a pas d’équilibrage de charge. Le premier serveur configuré est le serveur principal ; Les serveurs sont accessibles dans l’ordre de configuration. Si le serveur principal est inaccessible, le routeur tente d’atteindre le deuxième serveur configuré, et ainsi de suite.

    • round-robin—Méthode qui assure l’équilibrage de charge en effectuant la rotation des requêtes dans la liste des serveurs RADIUS configurés. Le serveur choisi pour l’accès fait l’objet d’une rotation en fonction du serveur utilisé en dernier. Le premier serveur de la liste est traité comme principal pour la première demande d’authentification, mais pour la deuxième demande, le deuxième serveur configuré est traité comme principal, et ainsi de suite. Avec cette méthode, tous les serveurs configurés reçoivent à peu près le même nombre de requêtes en moyenne, de sorte qu’aucun serveur n’a à traiter toutes les requêtes.

      REMARQUE :

      Lorsqu’un serveur RADIUS de la liste Round-Robin devient inaccessible, le serveur joignable suivant dans la liste Round-Robin est utilisé pour la requête en cours. Ce même serveur est également utilisé pour la requête suivante car il se trouve en haut de la liste des serveurs disponibles. Par conséquent, après une panne de serveur, le serveur utilisé prend la charge de deux serveurs.

    • Pour configurer la méthode utilisée par le commutateur pour accéder aux serveurs de comptabilité RADIUS :

    • Pour configurer la méthode utilisée par le commutateur pour accéder aux serveurs d’authentification RADIUS :

  6. Créez un profil et spécifiez la liste des serveurs RADIUS à associer au profil. Par exemple, vous pouvez choisir de regrouper géographiquement vos serveurs RADIUS par ville. Cette fonctionnalité permet une modification facile chaque fois que vous souhaitez passer à un autre ensemble de serveurs d’authentification.
  7. Spécifiez le groupe de serveurs à utiliser pour l’authentification 802.1X ou MAC RADIUS en identifiant le nom du profil :
  8. Configurez l’adresse IP du commutateur dans la liste des clients du serveur RADIUS. Pour plus d’informations sur la configuration du serveur RADIUS, consultez la documentation de votre serveur.

Voir également

Comprendre les requêtes RADIUS Round-Robin basées sur les sessions

À compter de Junos OS version 22.4R1, les services d’authentification (authd) suivent les sessions lorsque l’algorithme Round-Robin est configuré de sorte que la demande d’accès correspondante soit envoyée au même serveur RADIUS en réponse à la demande d’accès du serveur RADIUS, ce qui entraîne une authentification réussie.

Selon le comportement existant, à la réception d’une demande d’accès et d’un attribut d’état de l’un des serveurs RADIUS, la demande d’accès correspondante est envoyée au serveur RADIUS suivant à l’aide de l’algorithme Round-robin. Étant donné que le serveur RADIUS suivant ne dispose pas d’enregistrement de cette session, il rejette la demande d’accès, ce qui entraîne l’échec de l’authentification. Avec la nouvelle fonctionnalité, l’algorithme correspondant est configuré de manière à ce que la demande d’accès correspondante soit envoyée au même serveur RADIUS en réponse à la contestation d’accès du serveur RADIUS, ce qui se traduit par une authentification réussie. Si le serveur RADIUS ne répond pas par une contestation d’accès, il accepte ou rejette la demande. Pour la demande d’authentification suivante, les requêtes sont envoyées au serveur RADIUS suivant selon la méthode Round-robin. Un nombre illimité de défis d’accès peut être envoyé à partir du serveur RADIUS en réponse à chaque demande d’accès et l’authentification répond au même serveur RADIUS jusqu’à ce que la demande soit acceptée ou rejetée par le serveur RADIUS.

Notez que cette fonctionnalité n’est prise en charge que pour les clients authd-lite (dot1x, etc.) et non pour les clients haut débit qui utilisent le protocole PPP (Point-to-Point Protocol), car cela n’est pas pris en charge sur les clients haut débit. De plus, les messages de contestation d’accès ne sont échangés entre le client RADIUS et le serveur RADIUS qu’en cas d’authentification, et non pour la comptabilité.

Configuration de MS-CHAPv2 pour la prise en charge du changement de mot de passe (procédure CLI)

Junos OS pour commutateurs EX Series vous permet de configurer l’implémentation Microsoft Corporation du protocole MS-CHAPv2 (Challenge Handshake Authentication Protocol version 2) sur le commutateur pour prendre en charge le changement de mot de passe. La configuration de MS-CHAPv2 sur le commutateur offre aux utilisateurs accédant à un commutateur la possibilité de modifier le mot de passe lorsque celui-ci expire, est réinitialisé ou est configuré pour être modifié lors de la prochaine connexion.

Pour plus d’informations sur MS-CHAP, reportez-vous à la RFC 2433, Microsoft PPP CHAP Extensions.

Avant de configurer MS-CHAPv2 pour fournir une prise en charge du changement de mot de passe, assurez-vous que vous disposez des éléments suivants :

Pour configurer MS-CHAPv2, spécifiez ce qui suit :

Vous devez disposer de l’autorisation d’accès requise sur le commutateur pour pouvoir modifier votre mot de passe.

Voir également

Configuration de MS-CHAPv2 pour la prise en charge du changement de mot de passe

Avant de configurer MS-CHAPv2 pour la prise en charge du changement de mot de passe, assurez-vous d’avoir effectué les opérations suivantes :

  • Paramètres d’authentification du serveur RADIUS configurés.

  • Définissez la première option essayée dans l’ordre d’authentification sur Serveur RADIUS.

Vous pouvez configurer l’implémentation Microsoft du protocole MS-CHAPv2 (Challenge Handshake Authentication Protocol) version 2 sur le routeur ou le commutateur pour prendre en charge la modification des mots de passe. Cette fonctionnalité offre aux utilisateurs accédant à un routeur ou à un commutateur la possibilité de modifier le mot de passe lorsque celui-ci expire, est réinitialisé ou est configuré pour être modifié lors de la prochaine connexion.

Pour configurer MS-CHAP-v2, incluez les instructions suivantes au niveau de la [edit system radius-options] hiérarchie :

L’exemple suivant montre des instructions pour configurer le protocole de mot de passe MS-CHAPv2, l’ordre d’authentification du mot de passe et les comptes d’utilisateur :

Comprendre la solution de secours et l’authentification en cas de faille serveur sur les commutateurs

Juniper Networks Commutateurs Ethernet utiliser l’authentification pour mettre en uvre le contrôle d’accès dans un réseau d’entreprise. Si l’authentification 802.1X, RADIUS MAC ou de portail captif est configurée sur le commutateur, les périphériques finaux sont évalués lors de la connexion initiale par un serveur d’authentification (RADIUS). Si le terminal est configuré sur le serveur d’authentification, l’accès au réseau local lui est accordé et le commutateur EX Series ouvre l’interface pour autoriser l’accès.

La solution de secours contre échec de serveur vous permet de spécifier la manière dont les périphériques finaux connectés au commutateur sont pris en charge si le serveur d’authentification RADIUS devient indisponible. La solution de secours en cas d’échec du serveur est déclenchée le plus souvent lors de la réauthentification, lorsque le serveur RADIUS déjà configuré et en cours d’utilisation devient inaccessible. Toutefois, la solution de secours en cas d’échec du serveur peut également être déclenchée par la première tentative d’authentification d’un terminal via le serveur RADIUS.

La solution de secours en cas d’échec du serveur vous permet de spécifier l’une des quatre actions à effectuer pour les terminaux en attente d’authentification lorsque le serveur a expiré. Le commutateur peut accepter ou refuser l’accès aux demandeurs, ou conserver l’accès déjà accordé aux demandeurs avant l’expiration du délai d’expiration RADIUS. Vous pouvez également configurer le commutateur pour qu’il déplace les demandeurs vers un VLAN spécifique. Le VLAN doit déjà être configuré sur le commutateur. Le nom de VLAN configuré remplace tous les attributs envoyés par le serveur.

  • Permit l’authentification, qui permet au trafic de circuler depuis le terminal via l’interface comme si le terminal avait été authentifié avec succès par le serveur RADIUS.

  • Deny l’authentification, empêchant le trafic de circuler de l’équipement final via l’interface. Il s’agit de l’option par défaut.

  • Move l’équipement final à un VLAN spécifié si le commutateur reçoit un message d’accès-rejet RADIUS. Le nom de VLAN configuré remplace tous les attributs envoyés par le serveur. (Le VLAN doit déjà exister sur le commutateur.)

  • Sustain les terminaux authentifiés qui disposent déjà d’un accès LAN et deny les terminaux non authentifiés. Si le délai d’expiration des serveurs RADIUS est expiré lors de la réauthentification, les terminaux précédemment authentifiés sont à nouveau authentifiés et les nouveaux utilisateurs se voient refuser l’accès au réseau local.

Voir également

Configuration de la solution de secours en cas d’échec du serveur RADIUS (procédure CLI)

Vous pouvez configurer des options de secours d’authentification pour spécifier comment les périphériques finaux connectés à un commutateur sont pris en charge si le serveur d’authentification RADIUS devient indisponible.

Lorsque vous configurez l’authentification 802.1X ou MAC RADIUS sur le commutateur, vous spécifiez un serveur d’authentification principal et un ou plusieurs serveurs d’authentification de secours. Si le commutateur ne peut pas atteindre le serveur d’authentification principal et que les serveurs d’authentification secondaires sont également inaccessibles, un délai d’expiration du serveur RADIUS se produit. Si cela se produit, étant donné que c’est le serveur d’authentification qui accorde ou refuse l’accès aux terminaux en attente d’authentification, le commutateur ne reçoit pas les instructions d’accès pour les terminaux qui tentent d’accéder au réseau local et l’authentification normale ne peut pas être effectuée.

Vous pouvez configurer la fonctionnalité de secours d’échec du serveur pour spécifier une action que le commutateur applique aux périphériques finaux lorsque les serveurs d’authentification ne sont pas disponibles. Le commutateur peut accepter ou refuser l’accès aux demandeurs, ou conserver l’accès déjà accordé aux demandeurs avant l’expiration du délai d’expiration RADIUS. Vous pouvez également configurer le commutateur pour qu’il déplace les demandeurs vers un VLAN spécifique.

Vous pouvez également configurer la fonction de repli de rejet du serveur pour les terminaux qui reçoivent un message d’accès-rejet RADIUS du serveur d’authentification. La fonctionnalité de secours de rejet de serveur fournit un accès limité à un réseau local, généralement uniquement à Internet, pour les terminaux réactifs qui sont compatibles 802.1X, mais qui ont envoyé des informations d’identification incorrectes.

La reprise de secours contre le basculement du serveur est prise en charge pour le trafic vocal à partir de la version 14.1X53-D40 et de la version 15.1R4. Pour configurer des actions de secours en cas d’échec du serveur pour les clients VoIP qui envoient du trafic vocal, utilisez l’instruction server-fail-voip . Pour tout le trafic de données, utilisez l’instruction server-fail . Le commutateur détermine la méthode de secours à utiliser en fonction du type de trafic envoyé par le client. Les trames de données non balisées sont soumises à l’action configurée avec server-fail, même si elles sont envoyées par un client VoIP. Les trames VLAN VoIP balisées sont soumises à l’action configurée avec server-fail-voip. S’il server-fail-voip n’est pas configuré, le trafic vocal est abandonné.

REMARQUE :

Le repli de rejet du serveur n’est pas pris en charge pour le trafic VoIP balisé VLAN. Si un client VoIP démarre l’authentification en envoyant du trafic de données non balisé à un VLAN alors que le repli de rejet du serveur est en vigueur, le client VoIP est autorisé à accéder au VLAN de secours. Si, par la suite, le même client envoie du trafic vocal balisé, celui-ci est abandonné.

Si un client VoIP démarre l’authentification en envoyant du trafic vocal balisé alors que le repli de rejet du serveur est en vigueur, le client VoIP se voit refuser l’accès au VLAN de secours.

Vous pouvez utiliser la procédure suivante pour configurer des actions d’échec de serveur pour les clients de données. Pour configurer la reprise après échec du serveur pour les clients VoIP qui envoient du trafic vocal, utilisez l’instruction server-fail-voip à la place de l’instruction server-fail .

Pour configurer les actions de secours en cas d’échec du serveur :

  • Configurez une interface pour autoriser le trafic à circuler d’un demandeur vers le réseau local en cas d’expiration du délai d’expiration d’un serveur RADIUS (comme si l’équipement final avait été authentifié avec succès par un serveur RADIUS) :
  • Configurez une interface pour empêcher le flux de trafic d’un terminal vers le LAN (comme si l’équipement final avait échoué à l’authentification et s’était vu refuser l’accès par le serveur RADIUS) :
  • Configurez une interface pour déplacer un terminal vers un VLAN spécifié en cas d’expiration du délai d’expiration d’un serveur RADIUS :
  • Configurez une interface pour qu’elle reconnaisse les terminaux déjà connectés comme ayant été réauthentifiés en cas d’expiration d’un délai RADIUS lors de la réauthentification (l’accès aux nouveaux terminaux se voit refuser l’accès) :

Vous pouvez configurer une interface qui reçoit un message d’accès-rejet RADIUS du serveur d’authentification pour déplacer les périphériques finaux qui tentent d’accéder au réseau local sur l’interface vers un VLAN de rejet du serveur, un VLAN spécifié déjà configuré sur le commutateur.

Pour configurer un VLAN de secours de rejet de serveur :

Voir également

Rubriques connexes

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
14.1X53-D40
La reprise de secours contre le basculement du serveur est prise en charge pour le trafic vocal à partir de la version 14.1X53-D40 et de la version 15.1R4.