Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentification RADIUS

Junos OS prend en charge RADIUS pour l’authentification centralisée des utilisateurs sur les équipements réseau. Pour utiliser l’authentification RADIUS sur l’équipement, vous (l’administrateur réseau) devez configurer des informations sur un ou plusieurs serveurs RADIUS sur le réseau. Vous pouvez également configurer la comptabilité RADIUS sur l’équipement pour collecter des données statistiques sur les utilisateurs qui se connectent à un LAN ou en sortent, et envoyer les données à un serveur de comptabilité RADIUS.

Configurer l’authentification du serveur RADIUS

L’authentification RADIUS est une méthode d’authentification des utilisateurs qui tentent d’accéder à un équipement réseau. Les sections suivantes décrivent pourquoi vous utiliseriez RADIUS et comment le configurer.

Pourquoi utiliser RADIUS

Vous (l’administrateur réseau) pouvez utiliser différents protocoles pour l’authentification centralisée des utilisateurs sur les équipements réseau, y compris RADIUS et TACACS+. Nous recommandons RADIUS car il s’agit d’une norme IETF multifournisseur et ses fonctionnalités sont plus largement acceptées que celles de TACACS+ ou d’autres systèmes propriétaires. En outre, nous recommandons d’utiliser un système de mot de passe à usage unique pour une sécurité accrue, et tous les fournisseurs de ces systèmes prennent en charge RADIUS.

Utilisez RADIUS lorsque vos priorités sont l’interopérabilité et les performances :

  • Interopérabilité : RADIUS est plus interopérable que TACACS+, principalement en raison de la nature propriétaire de TACACS+. Alors que TACACS+ prend en charge un plus grand nombre de protocoles, RADIUS est universellement pris en charge.

  • Performances : RADIUS est beaucoup plus léger sur vos routeurs et commutateurs. C’est pourquoi les ingénieurs réseau préfèrent généralement RADIUS à TACACS+.

Configurer les détails du serveur RADIUS

Pour utiliser l’authentification RADIUS sur l’équipement, configurez les informations relatives à un ou plusieurs serveurs RADIUS sur le réseau en incluant une radius-server déclaration au niveau de la [edit system] hiérarchie pour chaque serveur RADIUS. L’équipement interroge les serveurs RADIUS dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

L’équipement réseau peut mapper les utilisateurs authentifiés par RADIUS à un compte d’utilisateur ou à un compte modèle d’utilisateur défini localement, qui détermine l’autorisation. Par défaut, Junos OS attribue des utilisateurs authentifiés RADIUS au compte remotede modèle d’utilisateur, s’il est configuré, lorsque :

  • L’utilisateur authentifié n’a pas de compte d’utilisateur configuré sur l’équipement local.

  • Le serveur RADIUS n’assigne pas l’utilisateur à un modèle d’utilisateur local, ou le modèle qu’il assigne n’est pas configuré sur l’équipement local.

Le serveur RADIUS peut attribuer un utilisateur authentifié à un modèle d’utilisateur différent pour accorder différentes autorisations administratives à cet utilisateur. L’utilisateur conserve le même nom d’identification dans l’interface cli, mais hérite de la classe de connexion, des privilèges d’accès et de l’ID utilisateur effectif du modèle assigné. Si l’utilisateur authentifié PAR RADIUS ne correspond à aucun compte ou modèle d’utilisateur défini localement et que le remote modèle n’est pas configuré, l’authentification échoue.

REMARQUE :

Le remote nom d’utilisateur est un cas particulier et Junos OS doit toujours être en minuscule. Il agit comme un modèle pour les utilisateurs qui sont authentifiés par un serveur distant mais qui n’ont pas de compte utilisateur configuré localement sur l’équipement. Junos OS applique les autorisations du remote modèle aux utilisateurs authentifiés sans compte défini localement. Tous les utilisateurs mappés au remote modèle sont dans la même classe de connexion.

Comme vous configurez l’authentification à distance sur plusieurs équipements, il est courant de la configurer au sein d’un groupe de configuration. Les étapes indiquées ici sont dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration est facultative.

Pour configurer l’authentification par un serveur RADIUS :

  1. Configurez l’adresse IPv4 ou L’adresse IPv6 du serveur d’authentification RADIUS.

    Par exemple :

  2. (Facultatif) Configurez l’adresse source de paquets pour les demandes envoyées au serveur RADIUS.

    Par exemple :

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces du routeur ou du commutateur. Si l’équipement réseau dispose de plusieurs interfaces pouvant atteindre le serveur RADIUS, attribuez-lui une adresse IP qu’il peut utiliser pour toutes ses communications avec le serveur RADIUS. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  3. Configurez le mot de passe secret partagé utilisé par l’équipement réseau pour l’authentification auprès du serveur RADIUS.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur RADIUS. Si le mot de passe contient des espaces, enfermez-le entre guillemets. L’équipement stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple :

  4. (Facultatif) Spécifiez le port sur lequel contacter le serveur RADIUS, s’il est différent du port par défaut.

    Le port par défaut est 1812 (comme spécifié dans la RFC 2865).

    Par exemple :

    REMARQUE :

    Vous pouvez également configurer l’instruction accounting-port pour spécifier le port de serveur RADIUS à envoyer les paquets de comptabilité. La valeur par défaut est 1813 (comme spécifié dans la RFC 2866).

  5. (Facultatif) Configurez le nombre de fois que l’équipement tente de contacter le serveur RADIUS et le temps d’attente de l’équipement pour recevoir une réponse du serveur.

    Par défaut, l’équipement tente de contacter le serveur trois fois et attend trois secondes. Vous pouvez configurer la retry valeur de 1 à 100 fois et la timeout valeur de 1 à 1000 secondes.

    Par exemple, pour contacter un serveur RADIUS 2 fois et attendre 10 secondes pour obtenir une réponse :

  6. Spécifiez l’ordre d’authentification et incluez l’option radius .

    Dans l’exemple suivant, chaque fois qu’un utilisateur tente de se connecter, Junos OS il demande d’abord l’authentification au serveur RADIUS. En cas d’échec, il interroge le serveur TACACS+. En cas d’échec, il tente l’authentification à l’aide de comptes d’utilisateurs configurés localement.

  7. Attribuez une classe de connexion aux utilisateurs authentifiés PAR RADIUS qui n’ont pas de compte utilisateur défini localement.

    Vous configurez un compte de modèle d’utilisateur de la même manière qu’un compte d’utilisateur local, sauf que vous ne configurez pas de mot de passe d’authentification local car le serveur RADIUS authentifie l’utilisateur.

    • Pour utiliser les mêmes autorisations pour tous les utilisateurs authentifiés RADIUS, configurez le remote modèle utilisateur.

      Par exemple :

    • Pour utiliser différentes classes de connexion pour différents utilisateurs authentifiés RADIUS, en leur accordant différentes autorisations :

      1. Créez plusieurs modèles utilisateur dans la Junos OS configuration. Par exemple :

      2. Configurez le serveur RADIUS pour mapper l’utilisateur authentifié au modèle d’utilisateur approprié.

        Définissez juniper-local-user-name Juniper VSA (attribut spécifique au fournisseur) (fournisseur 2636, type 1, chaîne) le nom d’un modèle d’utilisateur configuré sur l’équipement, qui, dans l’exemple précédent, est RO, OP ou SU. Le serveur RADIUS inclut l’attribut dans le message d’acceptation d’accès RADIUS. L’authentification échoue si l’équipement ne peut pas affecter un utilisateur à un compte d’utilisateur local ou à un modèle d’utilisateur, et que le remote modèle d’utilisateur n’est pas configuré.

Configurer RADIUS pour utiliser l’instance de gestion

Par défaut, Junos OS achemine les paquets d’authentification, d’autorisation et de comptabilisation pour RADIUS via l’instance de routage par défaut. Vous pouvez également acheminer les paquets RADIUS via une interface de gestion dans une instance VRF non par défaut.

Pour acheminer les paquets RADIUS via l’instance de mgmt_junos gestion :

  1. Activez l’instance de mgmt_junos gestion.

  2. Configurez l’instruction routing-instance mgmt_junos pour le serveur d’authentification RADIUS et le serveur de comptabilité RADIUS, si configuré.

Exemple : Configurer un serveur RADIUS pour l’authentification du système

Cet exemple configure l’authentification système via un serveur RADIUS.

Conditions préalables

Avant de commencer :

  • Effectuez la configuration initiale de l’équipement. Consultez le guide de démarrage de votre équipement.

  • Configurez au moins un serveur RADIUS sur votre réseau.

Présentation

Dans cet exemple, vous ajoutez un nouveau serveur RADIUS avec une adresse IP 172.16.98.1. Vous spécifiez le mot de passe secret partagé du serveur RADIUS en tant que Radiussecret1. L’équipement stocke le secret dans la base de données de configuration sous forme de valeur chiffrée. Enfin, vous spécifiez l’adresse source que l’équipement utilise dans les demandes de serveur RADIUS. Dans la plupart des cas, vous pouvez utiliser l’adresse de bouclage de l’équipement, qui est 10.0.0.1 dans cet exemple.

Vous pouvez configurer la prise en charge de plusieurs méthodes d’authentification utilisateur, telles que l’authentification locale par mot de passe, RADIUS et TACACS+, sur l’équipement réseau. Lorsque vous configurez plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’équipement essaie les différentes méthodes. Dans cet exemple, vous configurez l’équipement pour qu’il utilise d’abord les services d’authentification RADIUS, puis, en cas d’échec, pour tenter l’authentification locale par mot de passe.

Un utilisateur authentifié par RADIUS doit mapper à un compte d’utilisateur local ou à un compte modèle d’utilisateur local sur l’équipement réseau, qui détermine l’autorisation. Par défaut, si un utilisateur authentifié PAR RADIUS ne se mappe pas à un compte d’utilisateur local ou à un modèle d’utilisateur spécifique, l’utilisateur est assigné au remote modèle utilisateur, s’il est configuré. Cet exemple configure le remote modèle utilisateur.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Pour configurer un serveur RADIUS pour l’authentification du système :

  1. Ajoutez un nouveau serveur RADIUS et définissez son adresse IP.

  2. Spécifiez le secret partagé (mot de passe) du serveur RADIUS.

  3. Spécifiez l’adresse de bouclage de l’équipement comme adresse source.

  4. Spécifiez l’ordre d’authentification de l’équipement et incluez l’option radius .

  5. Configurez le remote modèle utilisateur et sa classe de connexion.
Résultats

En mode configuration, confirmez votre configuration en entrant la show system commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Le résultat suivant inclut uniquement les parties de la hiérarchie de configuration qui sont pertinentes pour cet exemple.

Après avoir configuré l’équipement, saisissez commit le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier la configuration du serveur RADIUS

But

Vérifiez que le serveur RADIUS authentifie les utilisateurs.

Action

Connectez-vous à l’équipement réseau et vérifiez que la connexion a réussi. Pour vérifier que l’équipement utilise le serveur RADIUS pour l’authentification, vous pouvez tenter de vous connecter avec un compte qui ne définit pas de mot de passe d’authentification local dans la configuration.

Configurer l’authentification RADIUS (QFX Series ou OCX Series)

L’authentification RADIUS est une méthode d’authentification des utilisateurs qui tentent d’accéder au routeur ou au commutateur. Les tâches de configuration de l’authentification RADIUS sont les suivantes :

REMARQUE :

L’instruction source-address n’est pas prise en charge au [edit system-radius-server name] niveau hiérarchique sur le système QFabric.

Configurer les détails du serveur RADIUS

Pour utiliser l’authentification RADIUS sur le routeur ou le commutateur, configurez les informations sur un ou plusieurs serveurs RADIUS sur le réseau en incluant une radius-server déclaration au niveau de la [edit system] hiérarchie pour chaque serveur RADIUS :

server-address est l’adresse du serveur RADIUS.

Vous pouvez spécifier un port sur lequel contacter le serveur RADIUS. Par défaut, le numéro de port 1812 est utilisé (comme spécifié dans la RFC 2865). Vous pouvez également spécifier un port comptable pour l’envoi de paquets comptables. La valeur par défaut est 1813 (comme spécifié dans la RFC 2866).

Vous devez spécifier un mot de passe dans l’instruction secret password . Si le mot de passe contient des espaces, enfermez-le entre guillemets. Le secret utilisé par le routeur ou le commutateur local doit correspondre à celui utilisé par le serveur.

Vous pouvez éventuellement spécifier le temps d’attente du routeur ou du commutateur local pour recevoir une réponse d’un serveur RADIUS (dans l’instruction timeout ) et le nombre de fois que le routeur ou le commutateur tente de contacter un serveur d’authentification RADIUS (dans l’instruction retry ). Par défaut, le routeur ou le commutateur attend 3 secondes. Vous pouvez le configurer pour qu’il s’agisse d’une valeur de 1 à 90 secondes. Par défaut, le routeur ou le commutateur se connecte trois fois au serveur. Vous pouvez le configurer pour qu’il s’agisse d’une valeur de 1 à 10 fois.

Vous pouvez utiliser l’instruction source-address pour spécifier une adresse logique pour des serveurs individuels ou plusieurs serveurs RADIUS.

Pour configurer plusieurs serveurs RADIUS, incluez plusieurs radius-server déclarations.

Pour configurer un ensemble d’utilisateurs qui partagent un seul compte à des fins d’autorisation, vous créez un utilisateur modèle. Pour ce faire, incluez l’instruction user au niveau de la [edit system login] hiérarchie, comme décrit dans la section Exemple : Configurer l’ordre d’authentification.

Vous pouvez également configurer l’authentification RADIUS au niveau et [edit access profile] de la [edit access] hiérarchie. Junos OS utilise l’ordre de recherche suivant pour déterminer quel ensemble de serveurs est utilisé pour l’authentification :

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configurer MS-CHAPv2 pour la prise en charge du changement de mot de passe

Avant de configurer MS-CHAPv2 pour la prise en charge du changement de mot de passe, assurez-vous que vous :

  • Configurez les paramètres d’authentification du serveur RADIUS.

  • Configurez le authentication-order serveur RADIUS pour la tentative de mot de passe initiale.

Vous pouvez configurer l’implémentation Microsoft du protocole MS-CHAPv2 (Challenge Handshake Authentication Protocol version 2) sur le routeur ou le commutateur pour prendre en charge la modification des mots de passe. Cette fonctionnalité offre aux utilisateurs accédant à un routeur ou un commutateur la possibilité de modifier le mot de passe lorsque le mot de passe expire, est réinitialisé ou configuré pour être modifié lors de la prochaine connexion.

Pour configurer MS-CHAP-v2, incluez les déclarations suivantes au niveau de la [edit system radius-options] hiérarchie :

L’exemple suivant illustre les instructions de configuration du protocole de mot de passe MS-CHAPv2, de l’ordre d’authentification des mots de passe et des comptes utilisateur :

Spécifiez une adresse source pour Junos OS pour accéder aux serveurs RADIUS externes

Vous pouvez spécifier l’adresse source que Junos OS utilise pour accéder à votre réseau pour contacter un serveur RADIUS externe pour l’authentification. Vous pouvez également spécifier l’adresse source que Junos OS utilise lorsque vous contactez un serveur RADIUS pour envoyer des informations de comptabilité.

Pour spécifier une adresse source pour un serveur RADIUS, incluez l’instruction source-address au niveau de la [edit system radius-server server-address] hiérarchie :

source-address est une adresse IP valide configurée sur l’une des interfaces du routeur ou du commutateur.

Attributs RADIUS spécifiques aux fournisseurs De Juniper Networks

Junos OS prend en charge la configuration des attributs radius de Juniper Networks sur le serveur d’authentification. Ces VSA sont encapsulés dans un attribut spécifique au fournisseur RADIUS , l’ID du fournisseur étant défini sur le numéro d’identification Juniper Networks, 2636.

Tableau 1 répertorie les VSA Juniper Networks que vous pouvez configurer.

Certains attributs acceptent les expressions régulières étendues, telles que définies dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, joignez-la entre guillemets. Pour plus d’informations, consultez :

Tableau 1 : Attributs RADIUS spécifiques aux fournisseurs De Juniper Networks

Nom

Description

Type

Length

String

Nom de l’utilisateur local juniper

Indique le nom du modèle d’utilisateur assigné à cet utilisateur lorsque l’utilisateur se connecte à un équipement. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

1

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Commandes d’autorisation Juniper

Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de classe de connexion de l’utilisateur. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

2

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Deny-Commands

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter des commandes autorisées par les bits d’autorisation de classe de connexion de l’utilisateur. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

3

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Configuration d’autorisation Juniper

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus de celles autorisées par les bits d’autorisation de classe de connexion de l’utilisateur. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

4

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Configuration Juniper-Deny

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de classe de connexion de l’utilisateur. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

5

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Interactive-Command

Indique la commande interactive saisie par l’utilisateur. Cet attribut n’est utilisé que dans les paquets comptabilité-demande.

8

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Changement de configuration Juniper

Indique la commande interactive qui entraîne une modification de configuration (base de données). Cet attribut n’est utilisé que dans les paquets comptabilité-demande.

9

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Autorisations utilisateur Juniper

Contient les informations que le serveur utilise pour spécifier les autorisations des utilisateurs. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

REMARQUE :

Lorsque le serveur RADIUS définit l’attribut Juniper-User-Permissions permettant d’accorder l’autorisation ou all l’autorisation maintenance à un utilisateur, la liste d’appartenances de l’utilisateur n’inclut pas automatiquement le groupe de roues d’UNIX. Certaines opérations, telles que l’exécution de la su root commande à partir d’un shell local, nécessitent des autorisations d’appartenance à des groupes de roues. Toutefois, lorsque l’équipement réseau définit un compte d’utilisateur local avec les autorisations maintenance ou all, l’utilisateur est automatiquement admis au groupe de roues UNIX. Par conséquent, nous vous recommandons de créer un compte de modèle d’utilisateur avec les autorisations requises et d’associer des comptes d’utilisateurs individuels au compte de modèle d’utilisateur.

10

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables.

La chaîne est une liste d’indicateurs d’autorisation séparés par un espace. Le nom exact de chaque indicateur doit être spécifié dans son intégralité.

Voir Présentation des niveaux de privilèges d’accès.

Type d’authentification Juniper

Indique la méthode d’authentification (base de données locale ou serveur RADIUS) utilisée pour authentifier un utilisateur. Si l’utilisateur est authentifié à l’aide d’une base de données locale, la valeur de l’attribut indique « local ». Si l’utilisateur est authentifié à l’aide d’un serveur RADIUS ou LDAP, la valeur de l’attribut indique « distant ».

11

≥5

Un ou plusieurs octets contenant des caractères ASCII imprimables.

Juniper-Session-Port

Indique le numéro de port source de la session établie.

12

taille de l’entier

Entier

Juniper-Allow-Configuration-Regexps (RADIUS uniquement)

Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus de celles autorisées par les bits d’autorisation de classe de connexion de l’utilisateur. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

13

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Juniper-Deny-Configuration-Regexps (RADIUS uniquement)

Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de classe de connexion de l’utilisateur. Cet attribut est utilisé uniquement dans les paquets Access-Accept.

14

≥3

Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue.

Pour plus d’informations sur les VSA, voir RFC 2138, Service radius (Remote Authentication Dial in User Service).

Utiliser des expressions régulières sur un serveur RADIUS ou TACACS+ pour autoriser ou refuser des commandes

Junos OS peut mapper les utilisateurs authentifiés RADIUS et TACACS+ à un compte d’utilisateur défini localement ou à un compte modèle d’utilisateur, qui définit les privilèges d’accès de l’utilisateur. Vous pouvez également configurer les droits d’accès d’un utilisateur en définissant les attributs RADIUS et TACACS+ de Juniper Networks sur le serveur d’authentification respectif.

La classe de connexion d’un utilisateur définit l’ensemble des autorisations qui déterminent le mode opérationnel et les commandes de configuration qu’un utilisateur est autorisé à exécuter, ainsi que les zones de la configuration qu’il peut afficher et modifier. Une classe de connexion peut également définir des expressions régulières qui permettent ou empêchent un utilisateur d’exécuter certaines commandes ou d’afficher et de modifier certaines zones de la configuration, en plus de ce que les indicateurs d’autorisation autorisent. Une classe de connexion peut inclure les instructions suivantes pour définir l’autorisation utilisateur :

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De même, une configuration serveur RADIUS ou TACACS+ peut utiliser des VSA Juniper Networks pour définir des autorisations spécifiques ou des expressions régulières qui déterminent les droits d’accès d’un utilisateur. Pour obtenir la liste des VSA RADIUS et TACACS+ pris en charge, consultez les éléments suivants :

Vous pouvez définir des autorisations utilisateur sur le serveur RADIUS ou TACACS+ comme une liste de valeurs séparées par l’espace.

  • Un serveur RADIUS utilise l’attribut et la syntaxe suivants :

    Par exemple :

  • Un serveur TACACS+ utilise l’attribut et la syntaxe suivants :

    Par exemple :

Un serveur RADIUS ou TACACS+ peut également définir des VSA Juniper Networks qui utilisent une seule expression régulière étendue (telle que définie dans POSIX 1003.2) pour permettre ou refuser à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier des zones de la configuration. Vous enfermez plusieurs commandes ou hiérarchies de configuration entre parenthèses et séparez-les à l’aide d’un symbole de tuyau. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, joignez-la entre guillemets. Lorsque vous configurez les paramètres d’autorisation à la fois localement et à distance, l’équipement fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières définies sur l’équipement local.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

    Par exemple :

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple :

Les serveurs RADIUS et TACACS+ prennent également en charge la configuration d’attributs qui correspondent aux mêmes *-regexps déclarations que celles que vous pouvez configurer sur l’équipement local. Les *-regexps attributs TACACS+ et RADIUS utilisent la *-Regexps même syntaxe d’expression régulière que les attributs précédents, mais ils vous permettent de configurer des expressions régulières avec des variables.

  • Un serveur RADIUS utilise les attributs et la syntaxe suivants :

  • Un serveur TACACS+ utilise les attributs et la syntaxe suivants :

    Par exemple, la configuration du serveur TACACS+ peut définir les attributs suivants :

Sur un serveur RADIUS ou TACACS+, vous pouvez également définir les attributs à l’aide d’une syntaxe simplifiée dans laquelle vous spécifiez chaque expression individuelle sur une ligne distincte.

Pour un serveur RADIUS, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

Pour un serveur TACACS+, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :

REMARQUE :
  • Dans la syntaxe du serveur TACACS+, les valeurs numériques 1 à n doivent être uniques mais ne doivent pas être séquentielles. Par exemple, la syntaxe suivante est valide :

  • Le serveur RADIUS ou TACACS+ impose une limite au nombre de lignes d’expression régulières individuelles.

  • Lorsque vous émettez la show cli authorization commande, la sortie de la commande affiche l’expression régulière dans une seule ligne, même si vous spécifiez chaque expression individuelle sur une ligne distincte.

Les utilisateurs peuvent vérifier leur classe, leurs autorisations, ainsi que les autorisations de commande et de configuration en publiant la commande du show cli authorization mode opérationnel.

REMARQUE :

Lorsque vous configurez les paramètres d’autorisation à la fois localement sur l’équipement réseau et à distance sur le serveur RADIUS ou TACACS+, l’équipement fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières configurées localement. Si la dernière expression contient une erreur de syntaxe, le résultat global est une expression régulière non valide.

Directives VSA du filtre de commutation Juniper, conditions de correspondance et actions

Les équipements prennent en charge la configuration des attributs de serveur RADIUS spécifiques à Juniper Networks. Ces attributs sont connus sous le nom d’attributs spécifiques au fournisseur (VSA) et sont décrits dans la RFC 2138, Service RADIUS (Remote Authentication Dial in User Service ). Les attributs spécifiques aux fournisseurs étendent les fonctionnalités du serveur RADIUS au-delà de celles fournies par les attributs standard publics, ce qui permet d’implémenter de nombreuses fonctionnalités utiles nécessaires à la gestion des abonnés et à l’assistance aux services.

Les VSA De Juniper Networks ont l’ID du fournisseur défini sur 2636.

Les attributs sont des champs en texte clair envoyés du serveur RADIUS à l’équipement en raison de la réussite ou de l’échec de l’authentification. L’authentification empêche l’accès non autorisé des utilisateurs en bloquant un demandeur au niveau du port jusqu’à ce que l’équipement soit authentifié par le serveur RADIUS. L’implémentation d’attributs de filtrage avec authentification sur le serveur RADIUS fournit un emplacement central pour contrôler l’accès LAN pour les demandeurs.

L’attribut Juniper-Switching-Filter fonctionne conjointement avec l’authentification 802.1X pour centraliser l’accès des demandeurs au réseau. Vous pouvez utiliser cet attribut pour configurer des filtres sur le serveur RADIUS. Ces filtres sont envoyés au commutateur et appliqués aux utilisateurs qui ont été authentifiés à l’aide de l’authentification 802.1X.

Le filtre juniper-commutation peut contenir un ou plusieurs termes de filtre. Les termes de filtrage sont configurés à l’aide d’une ou plusieurs conditions de correspondance avec une action résultante. Les conditions de correspondance sont les critères auxquels un paquet doit répondre pour qu’une action configurée soit appliquée sur lui. L’action configurée est l’action que le commutateur effectue si un paquet répond aux critères spécifiés dans les conditions de correspondance. L’action que le commutateur peut effectuer est d’accepter ou de refuser un paquet.

L’ajout d’un filtre de pare-feu de port à un serveur RADIUS élimine le besoin d’ajouter le filtre à plusieurs ports et équipements. L’un des moyens d’y parvenir consiste à appliquer un filtre de pare-feu de port précédemment configuré directement sur le serveur RADIUS à l’aide du vsA de Juniper-Firewall-filter-name. Comme les attributs de filtrage de ports, ce filtre est appliqué pendant le processus d’authentification et ses actions sont appliquées au port de l’équipement.

Consignes VSA

Les attributs RADIUS spécifiques au fournisseur ont un maximum de 247 caractères par attribut. Si vous avez besoin de plus de longueur, Juniper prend en charge plusieurs instances du même attribut, jusqu’à 4 000 caractères. Pour prendre en charge les filtres de plus de 247 caractères, utilisez plusieurs attributs Juniper-Commutation-Filter. L’exemple ci-dessous montre deux attributs, chacun contenant un nouveau terme de filtre qui se trouve dans la limite de 247 caractères :

REMARQUE :

La limite de 4 000 caractères est soumise à la prise en charge de MTU sur le serveur RADIUS et l’équipement Juniper, ainsi que le nombre d’autres attributs RADIUS utilisés.

Les consignes suivantes s’appliquent aux conditions et actions de correspondance VSA :

  • match La déclaration et la action déclaration sont obligatoires.

  • Si aucune condition de correspondance n’est spécifiée, tout paquet est considéré comme une correspondance par défaut.

  • Si aucune action n’est spécifiée, l’action par défaut consiste à refuser le paquet.

  • Toutes les options peuvent être incluses dans chaque match action relevé.

  • L’opération AND est effectuée sur des champs d’un type différent, séparés par des virgules. Les champs du même type ne peuvent pas être répétés.

  • Pour que l’option forwarding-class soit appliquée, la classe de transfert doit être configurée sur le commutateur. Si la classe de transfert n’est pas configurée sur le commutateur, cette option est ignorée.

Conditions de correspondance

Tableau 2 décrit les conditions de correspondance que vous pouvez spécifier lorsque vous configurez un attribut VSA en tant que filtre de pare-feu à l’aide de la match commande sur le serveur RADIUS. La chaîne qui définit une condition de correspondance s’appelle une instruction de correspondance.

Tableau 2 : Conditions de correspondance

Option

Description

destination-mac mac-address

Adresse MAC (Destination Media Access Control) du paquet.

source-dot1q-tag tag

Valeur d’étiquette dans l’en-tête 802.1Q, dans la plage 0 jusqu’à 4095.

destination-ip ip-address

Adresse du nœud de destination finale.

ip-protocol protocol-id

Valeur du protocole IPv4. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants :

ah, egp (8), esp (50, gre (47), icmp (1), igmp (2), ipip (4), ipv6 (41), , ospf (89), pim (103), rsvp (46), , , tcp (6), ou udp (17)

source-port port

Champ de port source TCP ou UDP (User Datagram Protocol). Normalement, vous spécifiez cette instruction de correspondance en conjonction avec l’instruction ip-protocol de correspondance pour déterminer quel protocole est utilisé sur le port. Au lieu du champ numérique, vous pouvez spécifier l’une des options de texte répertoriées sous destination-port.

destination-port port

Champ de port de destination TCP ou UDP. Normalement, vous spécifiez cette instruction de correspondance en conjonction avec l’instruction ip-protocol de correspondance pour déterminer quel protocole est utilisé sur le port. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) :

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

Actions

Lorsque vous définissez un ou plusieurs termes qui spécifient les critères de filtrage, vous définissez également l’action à entreprendre si le paquet correspond à tous les critères. Tableau 3 affiche les actions que vous pouvez spécifier dans un terme.

Tableau 3 : Actions pour les VSA

Option

Description

(allow | deny)

Accepter un paquet ou jeter un paquet en silence sans envoyer de message ICMP (Internet Control Message Protocol).

forwarding-class class-of-service

(Facultatif) Classez le paquet dans l’une des classes de transfert suivantes :

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority (low | medium | high)

(Facultatif) Définissez la priorité de perte de paquets (PLP) sur low, mediumou high. Spécifiez à la fois la classe de transfert et la priorité des pertes.

Comprendre la comptabilité RADIUS

Les équipements réseau prennent en charge la RFC IETF 2866, Comptabilité RADIUS. Vous pouvez configurer la comptabilité RADIUS sur un équipement pour collecter des données statistiques sur les utilisateurs qui se connectent à un LAN et les envoyer à un serveur de comptabilité RADIUS. Les données statistiques peuvent être utilisées pour la surveillance générale du réseau, l’analyse et le suivi des modèles d’utilisation, ou la facturation d’un utilisateur en fonction de la durée de la session ou du type de services consultés.

Pour configurer la comptabilité RADIUS, spécifiez :

  • Un ou plusieurs serveurs de comptabilité RADIUS pour recevoir les données statistiques de l’équipement

  • Type de données comptables à collecter

Vous pouvez utiliser le même serveur pour la comptabilisation et l’authentification RADIUS, ou utiliser des serveurs distincts. Vous pouvez spécifier une liste de serveurs de comptabilité RADIUS. L’équipement interroge les serveurs dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.

Le processus de comptabilisation RADIUS entre l’équipement et un serveur RADIUS fonctionne comme ceci :

  1. Un serveur de comptabilité RADIUS écoute les paquets UDP (User Datagram Protocol) sur un port spécifique. Le port par défaut pour la comptabilité RADIUS est 1813.

  2. L’équipement transfère un paquet comptabilité-demande contenant un enregistrement d’événements au serveur de comptabilité. L’enregistrement d’événement associé à ce demandeur contient un attribut Acct-Status-Type dont la valeur indique le début du service utilisateur pour ce demandeur. Lorsque la session du demandeur se termine, la demande de comptabilité contient une valeur d’attribut Acct-Status-Type indiquant la fin du service utilisateur. Le serveur de comptabilité RADIUS l’enregistre sous la forme d’un enregistrement de comptabilisation d’arrêt contenant des informations de session et la durée de la session.

  3. Le serveur de comptabilité RADIUS enregistre ces événements dans un fichier sous la forme d’enregistrements de comptabilisation de début ou d’arrêt. Sur FreeRADIUS, le nom de fichier est l’adresse du serveur, par exemple 192.0.2.0.

  4. Le serveur de comptabilité envoie un paquet comptabilité-réponse à l’équipement confirmant qu’il a bien reçu la demande de comptabilité.

  5. Si l’équipement ne reçoit pas de paquet comptabilité-réponse du serveur, il continue d’envoyer des demandes de comptabilité jusqu’à ce que le serveur renvoie une réponse.

Vous pouvez consulter les statistiques collectées lors de ce processus sur le serveur RADIUS. Pour consulter ces statistiques, accédez au fichier journal configuré pour les recevoir.

Configurer la comptabilité du système RADIUS

Lorsque vous activez la comptabilité RADIUS, les équipements Juniper Networks, agissant en tant que clients RADIUS, peuvent informer le serveur RADIUS des activités utilisateur telles que les connexions logicielles, les modifications de configuration et les commandes interactives. La structure de la comptabilité RADIUS est décrite dans la RFC 2866, Comptabilité RADIUS.

Configurer l’audit des événements utilisateur sur un serveur RADIUS

Pour configurer la comptabilité RADIUS :

  1. Configurez les événements à auditer.

    Par exemple :

    events peuvent inclure un ou plusieurs des éléments suivants :

    • login— Connexions d’audit

    • change-log— Changements de configuration d’audit

    • interactive-commands— Audit des commandes interactives (n’importe quelle entrée de ligne de commande)

  2. Activez la comptabilité RADIUS.
  3. Configurez l’adresse d’un ou plusieurs serveurs de comptabilité RADIUS.

    Par exemple :

    REMARQUE :

    Si vous ne configurez aucun serveur RADIUS au niveau de la [edit system accounting destination radius] hiérarchie, l’équipement utilise les serveurs RADIUS configurés au niveau de la [edit system radius-server] hiérarchie.

  4. (Facultatif) Configurez l’adresse source pour les demandes de comptabilité RADIUS.

    Par exemple :

    L’adresse source est une adresse IPv4 ou une adresse IPv6 valide configurée sur l’une des interfaces du routeur ou du commutateur. Si l’équipement réseau dispose de plusieurs interfaces pouvant atteindre le serveur RADIUS, attribuez-lui une adresse IP qu’il peut utiliser pour toutes ses communications avec le serveur RADIUS. Cela définit une adresse fixe comme adresse source pour les paquets IP générés localement.

  5. Configurez le mot de passe secret partagé que l’équipement réseau utilise pour s’authentifier auprès du serveur de comptabilité RADIUS.

    Le mot de passe configuré doit correspondre au mot de passe configuré sur le serveur RADIUS. Si le mot de passe contient des espaces, enfermez-le entre guillemets. L’équipement stocke le mot de passe sous forme de valeur chiffrée dans la base de données de configuration.

    Par exemple :

  6. (Facultatif) Si nécessaire, spécifiez le port de serveur de comptabilité RADIUS à envoyer des paquets de comptabilité, s’il est différent du port par défaut (1813).
    REMARQUE :

    Si vous activez la comptabilité RADIUS au niveau de la [edit access profile profile-name accounting-order] hiérarchie, la comptabilisation est déclenchée sur le port par défaut de 1813 même si vous ne spécifiez pas de valeur pour l’état accounting-port .

  7. (Facultatif) Configurez le nombre de fois que l’équipement tente de contacter un serveur de comptabilité RADIUS et le temps d’attente de l’équipement pour recevoir une réponse d’un serveur.

    Par défaut, l’équipement tente de contacter le serveur trois fois et attend trois secondes. Vous pouvez configurer la retry valeur de 1 à 100 fois et la timeout valeur de 1 à 1000 secondes.

    Par exemple, pour contacter un serveur 2 fois et attendre 10 secondes pour obtenir une réponse :

  8. (Facultatif) Pour acheminer les paquets de comptabilisation RADIUS via l’instance de gestion non par défaut au lieu de l’instance de routage par défaut, configurez l’instruction routing-instance mgmt_junos .
  9. (Facultatif) Configurez l’instruction enhanced-accounting au niveau de la [edit system radius-options] hiérarchie pour inclure des attributs de comptabilisation supplémentaires, y compris la méthode d’accès, le port distant et les privilèges d’accès, pour les événements de connexion des utilisateurs.
    REMARQUE :

    Pour limiter le nombre de valeurs d’attribut à auditer, configurez l’instruction enhanced-avs-max <number> au niveau de la [edit system accounting] hiérarchie.

L’exemple suivant configure trois serveurs (10.5.5.5, 10.6.6.6 et 10.7.7.7) pour la comptabilité RADIUS :

Tableau de l'historique des versions
Version
Description
18.1R1
À partir de la version 18.1R1 de Junos OS, le comportement de RADIUS existant est amélioré pour prendre en charge une interface de gestion dans une instance VRF non par défaut.