Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentification RADIUS

Junos OS prend en charge RADIUS pour l’authentification centralisée des utilisateurs sur les périphériques réseau. Pour utiliser l’authentification RADIUS sur l’équipement, vous (l’administrateur réseau) devez configurer les informations relatives à un ou plusieurs serveurs RADIUS sur le réseau. Vous pouvez également configurer la comptabilité RADIUS sur l’appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité RADIUS.

Configurer l’authentification du serveur RADIUS

L’authentification RADIUS est une méthode d’authentification des utilisateurs qui tentent d’accéder à un périphérique réseau. Les sections suivantes expliquent pourquoi vous devez utiliser RADIUS et comment le configurer.

Pourquoi utiliser RADIUS ?

Vous (l’administrateur réseau) pouvez utiliser différents protocoles pour l’authentification centralisée des utilisateurs sur les périphériques réseau, y compris RADIUS et TACACS+. Nous recommandons RADIUS car il s’agit d’une norme IETF multifournisseur et ses fonctionnalités sont plus largement acceptées que celles de TACACS+ ou d’autres systèmes propriétaires. De plus, nous vous recommandons d’utiliser un système de mot de passe à usage unique pour une sécurité accrue, et tous les fournisseurs de ces systèmes prennent en charge RADIUS.

Il est conseillé d’utiliser RADIUS lorsque vos priorités sont l’interopérabilité et la performance :

  • Interopérabilité : RADIUS est plus interopérable que TACACS+, principalement en raison de sa nature propriétaire. Bien que TACACS+ prenne en charge davantage de protocoles, RADIUS est universellement pris en charge.

  • Performances : RADIUS est beaucoup plus léger pour vos routeurs et commutateurs. C’est pourquoi les ingénieurs réseau préfèrent généralement RADIUS à TACACS+.

Détails de la configuration du serveur RADIUS

Pour utiliser l’authentification RADIUS sur l’équipement, configurez les informations relatives à un ou plusieurs serveurs RADIUS sur le réseau en incluant une radius-server instruction au niveau de la [edit system] hiérarchie pour chaque serveur RADIUS. L’équipement interroge les serveurs RADIUS dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

L’équipement réseau peut mapper des utilisateurs authentifiés par RADIUS à un compte d’utilisateur défini localement ou à un compte d’utilisateur modèle, qui détermine l’autorisation. Par défaut, attribue des utilisateurs authentifiés par RADIUS au compte remotede modèle d’utilisateur , s’il est configuré, Junos OS dans les cas suivants :

  • L’utilisateur authentifié n’a pas de compte d’utilisateur configuré sur l’appareil local.

  • Soit le serveur RADIUS n’affecte pas l’utilisateur à un modèle d’utilisateur local, soit le modèle qu’il attribue n’est pas configuré sur le périphérique local.

Le serveur RADIUS peut affecter un utilisateur authentifié à un modèle d’utilisateur différent pour lui accorder des autorisations administratives différentes. L’utilisateur conserve le même nom d’utilisateur dans l’interface de ligne de commande, mais hérite de la classe de connexion, des privilèges d’accès et de l’ID utilisateur effectif du modèle attribué. Si l’utilisateur authentifié par RADIUS n’est pas mappé à un compte d’utilisateur ou à un modèle d’utilisateur défini localement et que le modèle n’est pas configuré, l’authentification remote échoue.

REMARQUE :

Le remote nom d’utilisateur est un cas particulier et Junos OS doit toujours être en minuscules. Il sert de modèle pour les utilisateurs qui sont authentifiés par un serveur distant, mais qui n’ont pas de compte d’utilisateur configuré localement sur l’appareil. Junos OS Applique les remote autorisations du modèle aux utilisateurs authentifiés qui n’ont pas de compte défini localement. Tous les utilisateurs mappés au remote modèle appartiennent à la même classe de connexion.

Étant donné que vous configurez l’authentification à distance sur plusieurs appareils, il est courant de la configurer à l’intérieur d’un groupe de configuration. Les étapes indiquées ici se trouvent dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration est facultative.

Pour configurer l’authentification par un serveur RADIUS :

  1. Configurez l’adresse IPv4 ou l’adresse IPv6 du serveur d’authentification RADIUS.

    Par exemple :

  2. (Facultatif) Configurez l’adresse source du paquet pour les requêtes envoyées au serveur RADIUS.

    Par exemple :

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces de routeur ou de commutateur. Si le périphérique réseau dispose de plusieurs interfaces pouvant atteindre le serveur RADIUS, attribuez une adresse IP que le périphérique peut utiliser pour toutes ses communications avec le serveur RADIUS. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  3. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur RADIUS.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur RADIUS. Si le mot de passe contient des espaces, mettez-le entre guillemets. L’appareil stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple :

  4. (Facultatif) Spécifiez le port sur lequel contacter le serveur RADIUS, s’il est différent de celui par défaut.

    Le port par défaut est 1812 (comme spécifié dans la RFC 2865).

    Par exemple :

    REMARQUE :

    Vous pouvez également configurer l’instruction accounting-port pour spécifier le port du serveur RADIUS vers lequel envoyer les paquets de comptabilité. La valeur par défaut est 1813 (comme spécifié dans la RFC 2866).

  5. (Facultatif) Configurez le nombre de fois que l’équipement tente de contacter le serveur RADIUS et le temps pendant lequel l’appareil attend de recevoir une réponse du serveur.

    Par défaut, l’appareil tente de contacter le serveur trois fois et attend trois secondes. Vous pouvez configurer la valeur de 1 à 100 fois et la retrytimeout valeur de 1 à 1000 secondes.

    Par exemple, pour contacter un serveur RADIUS 2 fois et attendre 10 secondes pour une réponse :

  6. Spécifiez l’ordre d’authentification et incluez l’option radius .

    Dans l’exemple suivant, chaque fois qu’un utilisateur tente de se connecter, Junos OS il interroge d’abord le serveur RADIUS pour s’authentifier. En cas d’échec, il interroge le serveur TACACS+. En cas d’échec, il tente de s’authentifier avec des comptes d’utilisateur configurés localement.

  7. Attribuez une classe de connexion aux utilisateurs authentifiés par RADIUS qui n’ont pas de compte d’utilisateur défini localement.

    Vous configurez un compte de modèle d’utilisateur de la même manière qu’un compte d’utilisateur local, sauf que vous ne configurez pas de mot de passe d’authentification locale, car le serveur RADIUS authentifie l’utilisateur.

    • Pour utiliser les mêmes autorisations pour tous les utilisateurs authentifiés RADIUS, configurez le modèle d’utilisateur remote .

      Par exemple :

    • Pour utiliser différentes classes de connexion pour différents utilisateurs authentifiés par RADIUS, en leur accordant des autorisations différentes :

      1. Créez plusieurs modèles utilisateur dans la Junos OS configuration. Par exemple :

      2. Configurez le serveur RADIUS pour mapper l’utilisateur authentifié au modèle d’utilisateur approprié.

        Définissez Juniper-Local-User-Name Juniper VSA (attribut spécifique au fournisseur) (Vendor 2636, type 1, string) sur le nom d’un modèle utilisateur configuré sur l’équipement, qui dans l’exemple précédent est RO, OP ou SU. Le serveur RADIUS inclut l’attribut dans le message RADIUS Access-Accept. L’authentification échoue si l’appareil ne peut pas affecter un utilisateur à un compte d’utilisateur local ou à un modèle d’utilisateur et que le modèle d’utilisateur n’est remote pas configuré.

Configurer RADIUS pour utiliser l’instance de gestion

Par défaut, achemine les paquets d’authentification, Junos OS d’autorisation et de comptabilisation pour RADIUS via l’instance de routage par défaut. Vous pouvez également acheminer les paquets RADIUS via une interface de gestion dans une instance VRF autre que celle par défaut.

Pour acheminer des paquets RADIUS via l’instance mgmt_junos de gestion :

  1. Activez l’instance de mgmt_junos gestion.

  2. Configurez l’instruction routing-instance mgmt_junos du serveur d’authentification RADIUS et du serveur de comptabilité RADIUS, le cas échéant.

Exemple : Configurer un serveur RADIUS pour l’authentification du système

Cet exemple configure l’authentification du système par le biais d’un serveur RADIUS.

Conditions préalables

Avant de commencer :

  • Effectuez la configuration initiale de l’appareil. Consultez le Guide de démarrage de votre appareil.

  • Configurez au moins un serveur RADIUS sur votre réseau.

Présentation

Dans cet exemple, vous ajoutez un nouveau serveur RADIUS dont l’adresse IP est 172.16.98.1. Vous spécifiez le mot de passe secret partagé du serveur RADIUS en tant que Radiussecret1. L’appareil stocke le secret dans la base de données de configuration sous forme de valeur chiffrée. Enfin, vous spécifiez l’adresse source que l’appareil utilise dans les requêtes du serveur RADIUS. Dans la plupart des cas, vous pouvez utiliser l’adresse de bouclage de l’appareil, qui dans cet exemple est 10.0.0.1.

Vous pouvez configurer la prise en charge de plusieurs méthodes d’authentification utilisateur, telles que l’authentification par mot de passe local, RADIUS et TACACS+, sur l’équipement réseau. Lorsque vous configurez plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Dans cet exemple, vous configurez l’appareil pour qu’il utilise d’abord les services d’authentification RADIUS, puis, en cas d’échec, pour qu’il tente l’authentification par mot de passe local.

Un utilisateur authentifié par RADIUS doit être mappé à un compte d’utilisateur local ou à un compte de modèle d’utilisateur local sur l’équipement réseau, ce qui détermine l’autorisation. Par défaut, si un utilisateur authentifié par RADIUS n’est pas mappé à un compte d’utilisateur local ou à un modèle d’utilisateur spécifique, l’utilisateur est affecté au modèle d’utilisateur, s’il remote est configuré. Cet exemple configure le remote modèle utilisateur.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

Pour configurer un serveur RADIUS pour l’authentification du système :

  1. Ajoutez un nouveau serveur RADIUS et définissez son adresse IP.

  2. Spécifiez le secret partagé (mot de passe) du serveur RADIUS.

  3. Spécifiez l’adresse de bouclage de l’appareil comme adresse source.

  4. Spécifiez l’ordre d’authentification de l’appareil et incluez l’option radius .

  5. Configurez le remote modèle utilisateur et sa classe de connexion.
Résultats

En mode configuration, confirmez votre configuration en entrant la show system commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

La sortie suivante inclut uniquement les parties de la hiérarchie de configuration qui sont pertinentes pour cet exemple.

Après avoir configuré l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la configuration du serveur RADIUS

But

Vérifiez que le serveur RADIUS authentifie les utilisateurs.

Action

Connectez-vous à l’équipement réseau et vérifiez que la connexion a réussi. Pour vérifier que l’appareil utilise le serveur RADIUS pour l’authentification, vous pouvez essayer de vous connecter avec un compte qui ne définit pas de mot de passe d’authentification locale dans la configuration.

Configurer l’authentification RADIUS (QFX Series ou OCX Series)

L’authentification RADIUS est une méthode d’authentification des utilisateurs qui tentent d’accéder au routeur ou au commutateur. Les tâches de configuration de l’authentification RADIUS sont les suivantes :

REMARQUE :

L’instruction source-address n’est pas prise en charge au [edit system-radius-server name] niveau de la hiérarchie sur le système QFabric.

Détails de la configuration du serveur RADIUS

Pour utiliser l’authentification RADIUS sur le routeur ou le commutateur, configurez les informations relatives à un ou plusieurs serveurs RADIUS sur le réseau en incluant une radius-server instruction au niveau de la [edit system] hiérarchie pour chaque serveur RADIUS :

server-address est l’adresse du serveur RADIUS.

Vous pouvez spécifier un port sur lequel contacter le serveur RADIUS. Par défaut, le numéro de port 1812 est utilisé (comme spécifié dans la RFC 2865). Vous pouvez également spécifier un port comptable pour l’envoi de paquets comptables. La valeur par défaut est 1813 (comme spécifié dans la RFC 2866).

Vous devez spécifier un mot de passe dans l’instruction secret password . Si le mot de passe contient des espaces, mettez-le entre guillemets. Le secret utilisé par le routeur ou le commutateur local doit correspondre à celui utilisé par le serveur.

Si vous le souhaitez, vous pouvez spécifier la durée pendant laquelle le routeur ou le commutateur local attend de recevoir une réponse d’un serveur RADIUS (dans l’instruction) et le nombre de fois que le routeur ou le commutateur tente de contacter un serveur d’authentification RADIUS (dans l’instruction timeoutretry ). Par défaut, le routeur ou le commutateur attend 3 secondes. Vous pouvez configurer cette valeur pour qu’elle soit comprise entre 1 et 90 secondes. Par défaut, le routeur ou le commutateur tente à nouveau de se connecter au serveur trois fois. Vous pouvez configurer cette valeur pour qu’elle soit comprise entre 1 et 10 fois.

Vous pouvez utiliser l’instruction source-address pour spécifier une adresse logique pour des serveurs individuels ou plusieurs serveurs RADIUS.

Pour configurer plusieurs serveurs RADIUS, incluez plusieurs radius-server instructions.

Pour configurer un ensemble d’utilisateurs qui partagent un seul compte à des fins d’autorisation, vous créez un modèle d’utilisateur. Pour ce faire, incluez l’instruction user au niveau de la hiérarchie, comme décrit à la [edit system login] section Exemple : Configurer l’ordre d’authentification.

Vous pouvez également configurer l’authentification RADIUS au niveau de la hiérarchie et [edit access profile] de la [edit access] hiérarchie. Junos OS utilise l’ordre de recherche suivant pour déterminer quel ensemble de serveurs est utilisé pour l’authentification :

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configurer MS-CHAPv2 pour la prise en charge du changement de mot de passe

Avant de configurer MS-CHAPv2 pour la prise en charge du changement de mot de passe, assurez-vous que vous :

  • Configurez les paramètres d’authentification du serveur RADIUS.

  • Définissez le pour utiliser le authentication-order serveur RADIUS pour la première tentative de mot de passe.

Vous pouvez configurer l’implémentation Microsoft du protocole MS-CHAPv2 (Challenge Handshake Authentication Protocol) version 2 sur le routeur ou le commutateur pour prendre en charge la modification des mots de passe. Cette fonctionnalité offre aux utilisateurs accédant à un routeur ou à un commutateur la possibilité de modifier le mot de passe lorsque celui-ci expire, est réinitialisé ou configuré pour être modifié lors de la prochaine connexion.

Pour configurer MS-CHAP-v2, incluez les instructions suivantes au niveau de la [edit system radius-options] hiérarchie :

L’exemple suivant montre des instructions pour configurer le protocole de mot de passe MS-CHAPv2, l’ordre d’authentification du mot de passe et les comptes d’utilisateur :

Spécifier une adresse source pour que Junos OS puisse accéder aux serveurs RADIUS externes

Vous pouvez spécifier l’adresse source que Junos OS utilise pour accéder à votre réseau et contacter un serveur RADIUS externe à des fins d’authentification. Vous pouvez également spécifier l’adresse source utilisée par Junos OS pour contacter un serveur RADIUS afin d’envoyer des informations comptables.

Pour spécifier l’adresse source d’un serveur RADIUS, incluez l’instruction source-address au niveau de la [edit system radius-server server-address] hiérarchie :

source-address est une adresse IP valide configurée sur l’une des interfaces de routeur ou de commutateur.

Attributs RADIUS spécifiques aux fournisseurs Juniper Networks

Junos OS prend en charge la configuration des attributs spécifiques au fournisseur (VSA) RADIUS de Juniper Networks sur le serveur d’authentification. Ces VSA sont encapsulés dans un attribut RADIUS spécifique au fournisseur dont l’ID de fournisseur est défini sur le numéro d’ID Juniper Networks, 2636.

Tableau 1 répertorie les VSA Juniper Networks que vous pouvez configurer.

Certains attributs acceptent des expressions régulières étendues, telles que définies dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Pour plus d’informations, voir :

Tableau 1 : Attributs RADIUS spécifiques aux fournisseurs Juniper Networks

Nom

Description

Type

Longueur

String

Nom d’utilisateur local Juniper

Indique le nom du modèle d’utilisateur attribué à cet utilisateur lorsque celui-ci se connecte à un périphérique. Cet attribut n’est utilisé que dans les paquets Access-Accept.

1

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Juniper-allow-Commands

Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

2

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

commandes Juniper Deny-Command

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter les commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

3

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-allow-configuration

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

4

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Deny-Configuration

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

5

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Interactive-Command

Indique la commande interactive saisie par l’utilisateur. Cet attribut n’est utilisé que dans les paquets Accounting-Request.

8

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Changement de configuration Juniper

Indique la commande interactive qui entraîne une modification de la configuration (base de données). Cet attribut n’est utilisé que dans les paquets Accounting-Request.

9

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

autorisations de l’utilisateur Juniper

Contient les informations utilisées par le serveur pour spécifier les autorisations utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

REMARQUE :

Lorsque le serveur RADIUS définit l’attribut qui doit accorder l’autorisation ou all l’autorisation Juniper-User-Permissionsmaintenance à un utilisateur, la liste des appartenances à un groupe de l’utilisateur n’inclut pas automatiquement le groupe de roues UNIX. Certaines opérations, telles que l’exécution de la commande à partir d’un shell local, nécessitent des autorisations d’appartenance su root à un groupe de roues. Toutefois, lorsque le périphérique réseau définit un compte d’utilisateur local avec les autorisations maintenance ou all, l’utilisateur se voit automatiquement accorder l’appartenance au groupe de roues UNIX. Par conséquent, nous vous recommandons de créer un compte de modèle d’utilisateur avec les autorisations requises et d’associer des comptes d’utilisateur individuels au compte de modèle d’utilisateur.

10

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

La chaîne est une liste d’indicateurs d’autorisation séparés par un espace. Le nom exact de chaque drapeau doit être spécifié dans son intégralité.

Reportez-vous à la section Vue d’ensemble des niveaux de privilèges d’accès.

Type d’authentification Juniper

Indique la méthode d’authentification (base de données locale ou serveur RADIUS) utilisée pour authentifier un utilisateur. Si l’utilisateur est authentifié à l’aide d’une base de données locale, la valeur de l’attribut indique « local ». Si l’utilisateur est authentifié à l’aide d’un serveur RADIUS ou LDAP, la valeur de l’attribut indique « distant ».

11

≥5

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Port de session Juniper

Indique le numéro de port source de la session établie.

12

taille de l’entier

Entier

Juniper-Allow-Configuration-Regexps (RADIUS uniquement)

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

13

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Deny-Configuration-Regexps (RADIUS uniquement)

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. Cet attribut n’est utilisé que dans les paquets Access-Accept.

14

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Pour plus d’informations sur les VSA, reportez-vous à la RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Utiliser des expressions régulières sur un serveur RADIUS ou TACACS+ pour autoriser ou refuser des commandes

Junos OS peut mapper des utilisateurs authentifiés RADIUS et TACACS+ à un compte d’utilisateur défini localement ou à un compte d’utilisateur modèle, qui définit les privilèges d’accès de l’utilisateur. Vous pouvez également configurer les privilèges d’accès d’un utilisateur en définissant des attributs spécifiques au fournisseur (VSA) RADIUS et TACACS+ de Juniper Networks sur le serveur d’authentification correspondant.

La classe de connexion d’un utilisateur définit l’ensemble des autorisations qui détermine les commandes de mode opérationnel et de mode de configuration qu’un utilisateur est autorisé à exécuter, ainsi que les zones de la configuration qu’un utilisateur peut afficher et modifier. Une classe login peut également définir des expressions régulières qui autorisent ou refusent à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier certaines zones de la configuration, en plus de ce que les indicateurs d’autorisation autorisent. Une classe de connexion peut inclure les instructions suivantes pour définir l’autorisation de l’utilisateur :

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De même, une configuration de serveur RADIUS ou TACACS+ peut utiliser les VSA de Juniper Networks pour définir des autorisations spécifiques ou des expressions régulières qui déterminent les privilèges d’accès d’un utilisateur. Pour obtenir la liste des VSA RADIUS et TACACS+ pris en charge, consultez les rubriques suivantes :

Vous pouvez définir les autorisations utilisateur sur le serveur RADIUS ou TACACS+ sous la forme d’une liste de valeurs séparées par des espaces.

  • Un serveur RADIUS utilise l’attribut et la syntaxe suivants :

    Par exemple :

  • Un serveur TACACS+ utilise l’attribut et la syntaxe suivants :

    Par exemple :

Un serveur RADIUS ou TACACS+ peut également définir des VSA Juniper Networks qui utilisent une seule expression régulière étendue (telle que définie dans POSIX 1003.2) pour autoriser ou refuser à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier des zones de la configuration. Vous placez plusieurs commandes ou hiérarchies de configuration entre parenthèses et les séparez à l’aide d’un symbole de barre verticale. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Lorsque vous configurez des paramètres d’autorisation à la fois localement et à distance, l’appareil fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières définies sur l’équipement local.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

    Par exemple :

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple :

Les serveurs RADIUS et TACACS+ prennent également en charge la configuration d’attributs qui correspondent aux mêmes *-regexps instructions que celles que vous pouvez configurer sur le périphérique local. Les *-regexps attributs TACACS+ et RADIUS *-Regexps utilisent la même syntaxe d’expression régulière que les attributs précédents, mais ils vous permettent de configurer des expressions régulières avec des variables.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple, la configuration du serveur TACACS+ peut définir les attributs suivants :

Sur un serveur RADIUS ou TACACS+, vous pouvez également définir les attributs à l’aide d’une syntaxe simplifiée dans laquelle vous spécifiez chaque expression individuelle sur une ligne distincte.

Pour un serveur RADIUS, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

Pour un serveur TACACS+, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

REMARQUE :
  • Dans la syntaxe du serveur TACACS+, les valeurs numériques comprises entre 1 et n 1 doivent être uniques, mais pas nécessairement séquentielles. Par exemple, la syntaxe suivante est valide :

  • Le serveur RADIUS ou TACACS+ impose une limite sur le nombre de lignes d’expression régulière individuelles.

  • Lorsque vous émettez la commande, la sortie de la show cli authorization commande affiche l’expression régulière sur une seule ligne, même si vous spécifiez chaque expression individuelle sur une ligne distincte.

Les utilisateurs peuvent vérifier leur classe, leurs autorisations et leur autorisation de commande et de configuration en exécutant la commande en show cli authorization mode opérationnel.

REMARQUE :

Lorsque vous configurez les paramètres d’autorisation à la fois localement sur le périphérique réseau et à distance sur le serveur RADIUS ou TACACS+, le périphérique fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières configurées localement. Si l’expression finale contient une erreur de syntaxe, le résultat global est une expression régulière non valide.

Directives, conditions de correspondance et actions de Juniper Switching-Filter VSA

Les équipements prennent en charge la configuration des attributs de serveur RADIUS spécifiques à Juniper Networks. Ces attributs sont connus sous le nom d’attributs spécifiques au fournisseur (VSA) et sont décrits dans la RFC 2138, Remote Authentication Dial In User Service (RADIUS). Les attributs spécifiques au fournisseur étendent les fonctionnalités du serveur RADIUS au-delà de celles fournies par les attributs standard publics, ce qui permet la mise en œuvre de nombreuses fonctionnalités utiles nécessaires à la gestion des abonnés et à la prise en charge des services.

L’ID fournisseur des VSA Juniper Networks est défini sur 2636.

Les attributs sont des champs en texte clair envoyés par le serveur RADIUS à l’appareil à la suite de la réussite ou de l’échec de l’authentification. L’authentification empêche l’accès non autorisé des utilisateurs en bloquant un demandeur sur le port jusqu’à ce que l’appareil soit authentifié par le serveur RADIUS. L’implémentation d’attributs de filtrage avec authentification sur le serveur RADIUS permet d’obtenir un emplacement central pour contrôler l’accès LAN des demandeurs.

L’attribut Juniper-Switching-Filter fonctionne conjointement avec l’authentification 802.1X pour contrôler de manière centralisée l’accès des demandeurs au réseau. Vous pouvez utiliser cet attribut pour configurer des filtres sur le serveur RADIUS. Ces filtres sont envoyés au commutateur et appliqués aux utilisateurs qui ont été authentifiés à l’aide de l’authentification 802.1X.

Le filtre de commutation Juniper peut contenir un ou plusieurs termes de filtrage. Les termes de filtre sont configurés à l’aide d’une ou plusieurs conditions de correspondance avec une action résultante. Les conditions de correspondance sont les critères qu’un paquet doit remplir pour qu’une action configurée lui soit appliquée. L’action configurée est l’action que le commutateur effectue si un paquet répond aux critères spécifiés dans les conditions de correspondance. Le commutateur peut accepter ou refuser un paquet.

L’ajout d’un filtre de pare-feu de port à un serveur RADIUS élimine le besoin d’ajouter le filtre à plusieurs ports et périphériques. Pour ce faire, appliquez un filtre de pare-feu de port préalablement configuré directement sur le serveur RADIUS à l’aide du VSA Juniper-Firewall-filter-name. Comme les attributs de filtrage de port, ce filtre est appliqué pendant le processus d’authentification et ses actions sont appliquées au niveau du port de l’appareil.

Lignes directrices VSA

Les attributs RADIUS spécifiques au fournisseur comportent un maximum de 247 caractères par attribut. Si plus de longueur est requise, Juniper prend en charge plusieurs instances du même attribut, jusqu’à 4 000 caractères. Pour prendre en charge les filtres de plus de 247 caractères, utilisez plusieurs attributs Juniper-Switching-Filter. L’exemple ci-dessous montre deux attributs, chacun contenant un nouveau terme de filtre compris dans la limite de 247 caractères :

REMARQUE :

La limite de 4 000 caractères dépend de la MTU prise en charge sur le serveur RADIUS et l’équipement Juniper, ainsi que du nombre d’autres attributs RADIUS utilisés.

Les directives suivantes s’appliquent aux conditions et actions de correspondance VSA :

  • La déclaration et la matchaction déclaration sont obligatoires.

  • Si aucune condition de correspondance n’est spécifiée, tout paquet est considéré comme une correspondance par défaut.

  • Si aucune action n’est spécifiée, l’action par défaut consiste à refuser le paquet.

  • Une ou toutes les options peuvent être incluses dans chaque match instruction and action .

  • L’opération ET est effectuée sur des champs d’un type différent, séparés par des virgules. Les champs du même type ne peuvent pas être répétés.

  • Pour que l’option forwarding-class soit appliquée, la classe de transfert doit être configurée sur le commutateur. Si la classe de transfert n’est pas configurée sur le commutateur, cette option est ignorée.

Match Conditions

Tableau 2 décrit les conditions de correspondance que vous pouvez spécifier lorsque vous configurez un attribut VSA en tant que filtre de pare-feu à l’aide de la match commande sur le serveur RADIUS. La chaîne qui définit une condition de correspondance est appelée instruction de correspondance.

Tableau 2 : Match Conditions

Option

Description

destination-mac mac-address

Adresse MAC (Media Access Control) de destination du paquet.

source-dot1q-tag tag

Valeur de balise dans l’en-tête 802.1Q, dans la plage 0 allant jusqu’à 4095.

destination-ip ip-address

Adresse du noeud de destination final.

ip-protocol protocol-id

Valeur du protocole IPv4. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants :

ah, , , gre (47)igmp (2)ipip (4)ipv6 (41)egp (8)pim (103)esp (50tcp (6)icmp (1)ospf (89)rsvp (46)ouudp (17)

source-port port

Champ de port source TCP ou UDP (User Datagram Protocol). Normalement, vous spécifiez cette instruction match en conjonction avec l’instruction ip-protocol match pour déterminer quel protocole est utilisé sur le port. À la place du champ numérique, vous pouvez spécifier l’une des options de texte répertoriées sous destination-port.

destination-port port

Champ de port de destination TCP ou UDP. Normalement, vous spécifiez cette instruction match en conjonction avec l’instruction ip-protocol match pour déterminer quel protocole est utilisé sur le port. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) :

afs (1483), , , bgp (179)biff (512)bootpc (68)bootps (67)cvspserver (2401)cmd (514)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)telnet (23)tacacs-ds (65)talk (517)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

Actions

Lorsque vous définissez un ou plusieurs termes qui spécifient les critères de filtrage, vous définissez également l’action à effectuer si le paquet correspond à tous les critères. Tableau 3 Affiche les actions que vous pouvez spécifier dans un terme.

Tableau 3 : Actions pour les VSA

Option

Description

allow ( | deny)

Acceptez un paquet ou supprimez-le silencieusement sans envoyer de message ICMP (Internet Control Message Protocol).

forwarding-class class-of-service

(Facultatif) Classez le paquet dans l’une des classes de transfert suivantes :

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-prioritylow ( | | mediumhigh)

(Facultatif) Définissez la priorité de perte de paquets (PLP) sur low, mediumou high. Spécifiez à la fois la classe de transfert et la priorité de perte.

Comprendre la comptabilité RADIUS

Les périphériques réseau prennent en charge IETF RFC 2866, RADIUS Accounting. Vous pouvez configurer la comptabilité RADIUS sur un périphérique pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité RADIUS. Les données statistiques peuvent être utilisées pour la surveillance générale du réseau, l’analyse et le suivi des modèles d’utilisation, ou la facturation d’un utilisateur en fonction de la durée de la session ou du type de services consultés.

Pour configurer la comptabilité RADIUS, spécifiez :

  • Un ou plusieurs serveurs comptables RADIUS pour recevoir les données statistiques de l’appareil

  • Le type de données comptables à collecter

Vous pouvez utiliser le même serveur pour la comptabilisation et l’authentification RADIUS, ou vous pouvez utiliser des serveurs distincts. Vous pouvez spécifier une liste de serveurs comptables RADIUS. L’appareil interroge les serveurs dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

Le processus de comptabilisation RADIUS entre l’appareil et un serveur RADIUS fonctionne comme suit :

  1. Un serveur de comptabilité RADIUS écoute les paquets UDP (User Datagram Protocol) sur un port spécifique. Le port par défaut pour la comptabilité RADIUS est 1813.

  2. L’appareil transfère un paquet Accounting-Request contenant un enregistrement d’événement au serveur de comptabilité. L’enregistrement d’événement associé à ce demandeur contient un attribut Acct-Status-Type dont la valeur indique le début du service utilisateur pour ce demandeur. À la fin de la session du demandeur, la demande de comptabilisation contient une valeur d’attribut Acct-Status-Type indiquant la fin du service utilisateur. Le serveur de comptabilité RADIUS l’enregistre sous la forme d’un enregistrement d’arrêt de comptabilisation contenant les informations de session et la durée de la session.

  3. Le serveur de comptabilité RADIUS consigne ces événements dans un fichier en tant qu’enregistrements de comptabilité de démarrage ou d’arrêt de comptabilité. Sur FreeRADIUS, le nom de fichier est l’adresse du serveur, par exemple 192.0.2.0.

  4. Le serveur de comptabilité envoie un paquet Accounting-Response à l’appareil pour confirmer qu’il a bien reçu la demande de comptabilité.

  5. Si l’appareil ne reçoit pas de paquet Accounting-Response du serveur, il continue d’envoyer des demandes de comptabilité jusqu’à ce que le serveur renvoie une réponse.

Vous pouvez consulter les statistiques collectées par ce processus sur le serveur RADIUS. Pour consulter ces statistiques, accédez au fichier journal configuré pour les recevoir.

Configurer la comptabilité du système RADIUS

Lorsque vous activez la comptabilité RADIUS, les équipements Juniper Networks, agissant en tant que clients RADIUS, peuvent notifier le serveur RADIUS des activités des utilisateurs, telles que les connexions logicielles, les modifications de configuration et les commandes interactives. Le cadre de la comptabilité RADIUS est décrit dans la RFC 2866, Comptabilité RADIUS.

Configurer l’audit des événements utilisateur sur un serveur RADIUS

Pour configurer la comptabilité RADIUS :

  1. Configurez les événements à auditer.

    Par exemple :

    events Il peut s’agir d’un ou de plusieurs des éléments suivants :

    • login—Connexions d’audit

    • change-log—Modifications de la configuration d’audit

    • interactive-commands—Auditer les commandes interactives (n’importe quelle entrée de ligne de commande)

  2. Activez la comptabilité RADIUS.
  3. Configurez l’adresse d’un ou de plusieurs serveurs de comptabilité RADIUS.

    Par exemple :

    REMARQUE :

    Si vous ne configurez aucun serveur RADIUS au niveau de la hiérarchie, l’appareil utilise les serveurs RADIUS configurés au niveau de la [edit system accounting destination radius][edit system radius-server] hiérarchie.

  4. (Facultatif) Configurez l’adresse source pour les demandes de comptabilité RADIUS.

    Par exemple :

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces de routeur ou de commutateur. Si le périphérique réseau dispose de plusieurs interfaces pouvant atteindre le serveur RADIUS, attribuez une adresse IP que le périphérique peut utiliser pour toutes ses communications avec le serveur RADIUS. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  5. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur de comptabilité RADIUS.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur RADIUS. Si le mot de passe contient des espaces, mettez-le entre guillemets. L’appareil stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple :

  6. (Facultatif) Si nécessaire, spécifiez le port du serveur de comptabilité RADIUS vers lequel envoyer les paquets de comptabilité, s’il est différent de celui par défaut (1813).
    REMARQUE :

    Si vous activez la comptabilisation RADIUS au niveau de la hiérarchie, la comptabilisation est déclenchée sur le port par défaut 1813, même si vous ne spécifiez pas de [edit access profile profile-name accounting-order] valeur pour l’instruction accounting-port .

  7. (Facultatif) Configurez le nombre de fois que l’appareil tente de contacter un serveur de comptabilité RADIUS et le temps pendant lequel l’appareil attend de recevoir une réponse d’un serveur.

    Par défaut, l’appareil tente de contacter le serveur trois fois et attend trois secondes. Vous pouvez configurer la valeur de 1 à 100 fois et la retrytimeout valeur de 1 à 1000 secondes.

    Par exemple, pour contacter un serveur 2 fois et attendre 10 secondes pour une réponse :

  8. (Facultatif) Pour acheminer les paquets de comptabilité RADIUS via l’instance de gestion autre que l’instance de routage par défaut au lieu de l’instance de routage par défaut, configurez l’instruction routing-instance mgmt_junos .
  9. (Facultatif) Configurez l’instruction au niveau de la hiérarchie pour inclure des attributs de comptabilité supplémentaires, notamment la méthode d’accès, le port distant et les privilèges d’accès enhanced-accounting , pour les événements de [edit system radius-options] connexion des utilisateurs.
    REMARQUE :

    Pour limiter le nombre de valeurs d’attribut à auditer, configurez l’instruction enhanced-avs-max <number> au niveau de la [edit system accounting] hiérarchie.

L’exemple suivant configure trois serveurs (10.5.5.5, 10.6.6.6 et 10.7.7.7) pour la comptabilité RADIUS :

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
18.1R1
À compter de Junos OS version 18.1R1, le comportement RADIUS existant a été amélioré pour prendre en charge une interface de gestion dans une instance VRF autre que celle par défaut.