Authentification TACACS+
Junos OS prend en charge TACACS+ pour l’authentification centralisée des utilisateurs sur les périphériques réseau. Pour utiliser l’authentification TACACS+ sur l’appareil, vous (l’administrateur réseau) devez configurer les informations relatives à un ou plusieurs serveurs TACACS+ sur le réseau. Vous pouvez également configurer la comptabilité TACACS+ sur l’appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité TACACS+.
Configurer l’authentification TACACS+
L’authentification TACACS+ est une méthode d’authentification des utilisateurs qui tentent d’accéder à un périphérique réseau.
Pour configurer TACACS+, effectuez les tâches suivantes :
- Configurer les détails du serveur TACACS+
- Configurer TACACS+ pour utiliser l’instance de gestion
- Configurer le même service d’authentification pour plusieurs serveurs TACACS+
- Configurer les attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Configurer les détails du serveur TACACS+
Pour utiliser l’authentification TACACS+ sur l’appareil, configurez les informations relatives à un ou plusieurs serveurs TACACS+ sur le réseau en incluant une tacplus-server
instruction au niveau de la [edit system]
hiérarchie pour chaque serveur TACACS+. L’appareil interroge les serveurs TACACS+ dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.
Le périphérique réseau peut mapper des utilisateurs authentifiés TACACS+ à un compte d’utilisateur défini localement ou à un compte d’utilisateur-modèle, qui détermine l’autorisation. Par défaut, attribue des utilisateurs authentifiés TACACS+ au compte remote
de modèle d’utilisateur , s’il est configuré, Junos OS dans les cas suivants :
-
L’utilisateur authentifié n’a pas de compte d’utilisateur configuré sur l’appareil local.
-
Soit le serveur TACACS+ n’affecte pas l’utilisateur à un modèle d’utilisateur local, soit le modèle que le serveur attribue n’est pas configuré sur le périphérique local.
Le serveur TACACS+ peut affecter un utilisateur authentifié à un modèle d’utilisateur différent afin d’accorder différentes autorisations d’administration à cet utilisateur. L’utilisateur conserve le même nom d’utilisateur dans l’interface de ligne de commande, mais hérite de la classe de connexion, des privilèges d’accès et de l’ID utilisateur effectif du modèle attribué. Si l’utilisateur authentifié TACACS+ n’est pas mappé à un compte d’utilisateur ou à un modèle d’utilisateur défini localement et que le modèle n’est pas configuré, l’authentification remote
échoue.
Le remote
nom d’utilisateur est un cas particulier et Junos OS doit toujours être en minuscules. Il sert de modèle pour les utilisateurs qui sont authentifiés par un serveur distant, mais qui n’ont pas de compte d’utilisateur configuré localement sur l’appareil. Junos OS Applique les remote
autorisations du modèle aux utilisateurs authentifiés qui n’ont pas de compte défini localement. Tous les utilisateurs mappés au remote
modèle appartiennent à la même classe de connexion.
Étant donné que l’authentification à distance est configurée sur plusieurs appareils, elle est généralement configurée à l’intérieur d’un groupe de configuration. Les étapes indiquées ici se trouvent dans un groupe de configuration appelé global
. L’utilisation d’un groupe de configuration est facultative.
Pour configurer l’authentification par un serveur TACACS+ :
Configurer TACACS+ pour utiliser l’instance de gestion
Par défaut, achemine les paquets d’authentification, Junos OS d’autorisation et de comptabilisation pour TACACS+ via l’instance de routage par défaut. Vous pouvez également acheminer des paquets TACACS+ via une interface de gestion dans une instance VRF autre que celle par défaut.
Pour acheminer les paquets TACACS+ via l’instance mgmt_junos
de gestion :
-
Activez l’instance de
mgmt_junos
gestion.[edit system] user@host# set management-instance
-
Configurez l’instruction pour le serveur d’authentification
routing-instance mgmt_junos
TACACS+ et le serveur de comptabilité TACACS+, le cas échéant.[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
Configurer le même service d’authentification pour plusieurs serveurs TACACS+
Vous pouvez configurer le même service d’authentification pour plusieurs serveurs TACACS+ en incluant des instructions aux niveaux et [edit system tacplus-options]
de la [edit system tacplus-server]
hiérarchie.
Pour attribuer le même service d’authentification à plusieurs serveurs TACACS+ :
L’exemple suivant montre comment configurer le même service d’authentification pour plusieurs serveurs TACACS+ :
[edit system] tacplus-server { 10.2.2.2 secret "$ABC123"; ## SECRET-DATA 10.3.3.3 secret "$ABC123"; ## SECRET-DATA } tacplus-options { service-name bob; }
Configurer les attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Junos OS peut mapper des utilisateurs authentifiés TACACS+ à un compte d’utilisateur défini localement ou à un compte d’utilisateur-modèle, qui détermine l’autorisation. Vous pouvez également configurer les privilèges d’accès d’un utilisateur en définissant des attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks sur le serveur TACACS+. Vous définissez les attributs dans le fichier de configuration du serveur TACACS+ pour chaque utilisateur. L’équipement réseau récupère ces attributs par le biais d’une demande d’autorisation du serveur TACACS+ après avoir authentifié un utilisateur.
Pour spécifier ces attributs, incluez une service
instruction de la forme suivante dans le fichier de configuration du serveur TACACS+ :
service = junos-exec { local-user-name = <username-local-to-router> allow-commands = "<allow-commands-regex>" allow-configuration-regexps = "<allow-configuration-regex>" deny-commands = "<deny-commands-regex>" deny-configuration-regexps = "<deny-configuration-regex>" }
Vous pouvez définir l’instruction service
dans une instruction ou une user
group
instruction.
Configurer l’actualisation périodique du profil d’autorisation TACACS+
Lorsque vous configurez un périphérique en cours d’exécution Junos OS pour utiliser un serveur TACACS+ pour l’authentification, le périphérique invite les utilisateurs à fournir des informations de connexion, qui sont vérifiées par le serveur TACACS+. Une fois qu’un utilisateur est authentifié, le périphérique réseau envoie une demande d’autorisation au serveur TACACS+ pour obtenir le profil d’autorisation de l’utilisateur. Les profils d’autorisation spécifient les autorisations d’accès pour les utilisateurs ou les appareils authentifiés.
Le serveur TACACS+ envoie le profil d’autorisation dans le cadre d’un message de réponse d’autorisation. L’utilisateur distant configuré sur le serveur TACACS+ est mappé à un utilisateur local ou à un modèle d’utilisateur configuré sur l’appareil en cours d’exécution . Junos OS combine le profil d’autorisation à distance de l’utilisateur et le profil d’autorisation Junos OSconfiguré localement, ce dernier étant configuré au niveau de la hiérarchie [edit system login class
].
Par défaut, l’échange de demandes d’autorisation et de messages de réponse n’a lieu qu’une seule fois, après l’authentification réussie. Vous pouvez configurer les périphériques de manière à ce qu’ils récupèrent périodiquement le profil d’autorisation à distance à partir du serveur TACACS+ et actualisent le profil d’autorisation Junos OS stocké localement. Cette actualisation périodique garantit que l’appareil local reflète toute modification des paramètres d’autorisation sans que l’utilisateur doive redémarrer le processus d’authentification.
Pour activer l’actualisation périodique du profil d’autorisation, vous devez définir l’intervalle de temps pendant lequel l’équipement local vérifie le profil d’autorisation configuré à distance sur le serveur TACACS+. Si le profil d’autorisation à distance change, l’appareil récupère le profil d’autorisation à partir du serveur TACACS+ et le profil d’autorisation configuré sous la hiérarchie des classes de connexion. L’appareil actualise le profil d’autorisation stocké localement en combinant les profils d’autorisation configurés localement et distants.
Vous pouvez configurer l’intervalle de temps d’actualisation localement sur l’appareil en cours d’exécution Junos OS ou directement sur le serveur TACACS+. L’intervalle de temps peut aller de 15 à 1440 minutes.
Suivez les instructions ci-dessous pour déterminer quelle configuration d’intervalle de temps est prioritaire :
- Si l’intervalle de temps d’actualisation est configuré uniquement sur le serveur TACACS+ ou uniquement sur l’appareil en cours d’exécution Junos OS, la valeur configurée prend effet.
-
Si l’intervalle de temps d’actualisation est configuré à la fois sur le serveur TACACS+ et sur l’appareil en cours d’exécution Junos OS, la valeur configurée sur le serveur TACACS+ est prioritaire.
-
Si aucun intervalle de temps d’actualisation n’est configuré sur le serveur TACACS+ ou sur l’appareil en cours d’exécution Junos OS, aucune actualisation périodique n’a lieu.
-
Si l’intervalle de temps d’actualisation configuré sur le serveur TACACS+ est hors plage ou non valide, l’intervalle de temps d’actualisation configuré localement prend effet. Si aucun intervalle de temps d’actualisation n’est configuré localement, aucune actualisation périodique n’a lieu.
Une fois l’intervalle de temps d’actualisation périodique défini, si l’utilisateur modifie l’intervalle d’actualisation avant l’envoi de la demande d’autorisation à partir de l’appareil local, l’intervalle d’actualisation mis à jour prend effet après l’actualisation périodique immédiate suivante.
Exemple : Configurer un serveur TACACS+ pour l’authentification du système
Cet exemple configure l’authentification du système via un serveur TACACS+.
Conditions préalables
Avant de commencer :
-
Effectuez la configuration initiale de l’appareil. Consultez le Guide de démarrage de votre appareil.
-
Configurez au moins un serveur TACACS+ sur votre réseau.
Présentation
Dans cet exemple, vous ajoutez un nouveau serveur TACACS+ dont l’adresse IP est 172.16.98.1. Vous spécifiez le mot de passe secret partagé du serveur TACACS+ en tant que Tacacssecret1. L’appareil stocke le secret dans la base de données de configuration sous forme de valeur chiffrée. Enfin, vous spécifiez l’adresse source que l’appareil utilise dans les requêtes du serveur TACACS+. Dans la plupart des cas, vous pouvez utiliser l’adresse de bouclage de l’appareil, qui dans cet exemple est 10.0.0.1.
Vous pouvez configurer la prise en charge de plusieurs méthodes d’authentification utilisateur, telles que l’authentification par mot de passe local, TACACS+ et RADIUS, sur l’équipement réseau. Lorsque vous configurez plusieurs méthodes d’authentification, vous pouvez hiérarchiser l’ordre dans lequel l’appareil essaie les différentes méthodes. Dans cet exemple, vous configurez l’appareil pour qu’il utilise d’abord les services d’authentification TACACS+ et, en cas d’échec, pour qu’il tente ensuite l’authentification par mot de passe local.
Un utilisateur authentifié TACACS+ doit être mappé à un compte d’utilisateur local ou à un compte de modèle d’utilisateur local sur l’équipement réseau, ce qui détermine l’autorisation. Par défaut, si un utilisateur authentifié TACACS+ n’est pas mappé à un compte d’utilisateur local ou à un modèle d’utilisateur spécifique, l’utilisateur est affecté au modèle d’utilisateur remote
, s’il est configuré. Cet exemple configure le remote
modèle utilisateur.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie, puis passez commit
en mode de [edit]
configuration.
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
Procédure étape par étape
Pour configurer un serveur TACACS+ pour l’authentification du système :
-
Ajoutez un nouveau serveur TACACS+ et définissez son adresse IP.
[edit system] user@host# set tacplus-server 172.16.98.1
-
Spécifiez le secret partagé (mot de passe) du serveur TACACS+.
[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
-
Spécifiez l’adresse de bouclage de l’appareil comme adresse source.
[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
-
Spécifiez l’ordre d’authentification de l’appareil et incluez l’option
tacplus
.[edit system] user@host# set authentication-order [tacplus password]
- Configurez le
remote
modèle utilisateur et sa classe de connexion.[edit system] user@host# set login user remote class operator
Résultats
En mode configuration, confirmez votre configuration en entrant la show system
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
La sortie suivante inclut uniquement les parties de la hiérarchie de configuration qui sont pertinentes pour cet exemple :
[edit] user@host# show system login { user remote { class operator; } } authentication-order [ tacplus password ]; tacplus-server { 172.16.98.1 { secret "$9$ABC123"; ## SECRET-DATA source-address 10.0.0.1; } }
Après avoir configuré l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifier la configuration du serveur TACACS+
But
Vérifiez que le serveur TACACS+ authentifie les utilisateurs.
Action
Connectez-vous à l’équipement réseau et vérifiez que la connexion a réussi. Pour vérifier que l’appareil utilise le serveur TACACS+ pour l’authentification, vous pouvez essayer de vous connecter avec un compte qui ne définit pas de mot de passe d’authentification local dans la configuration.
Attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Junos OS prend en charge la configuration des attributs spécifiques au fournisseur (VSA) TACACS+ de Juniper Networks sur le serveur TACACS+. Tableau 1 répertorie les VSA Juniper Networks pris en charge.
Certains attributs acceptent des expressions régulières étendues, telles que définies dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Pour plus d’informations, voir :
Nom |
Description |
Longueur |
String |
---|---|---|---|
|
Indique le nom du modèle d’utilisateur attribué à cet utilisateur lorsque celui-ci se connecte à un périphérique. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables. |
|
Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
allow-commands-regexps |
Contient une expression régulière étendue qui permet à l’utilisateur d’exécuter des commandes en plus des commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
allow-configuration-regexps |
Contient une expression régulière étendue qui permet à l’utilisateur d’afficher et de modifier les instructions de configuration en plus des instructions autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter les commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
deny-commands-regexps |
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’exécuter les commandes autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
deny-configuration-regexps |
Contient une expression régulière étendue qui refuse à l’utilisateur l’autorisation d’afficher ou de modifier les instructions de configuration autorisées par les bits d’autorisation de la classe de connexion de l’utilisateur. |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables, sous la forme d’une expression régulière étendue. |
|
Contient les informations utilisées par le serveur pour spécifier les autorisations utilisateur. REMARQUE :
Lorsque le serveur TACACS+ définit l’attribut pour accorder l’autorisation ou |
≥3 |
Un ou plusieurs octets contenant des caractères ASCII imprimables. Reportez-vous à la section Vue d’ensemble des niveaux de privilèges d’accès. |
|
Indique la méthode d’authentification (base de données locale ou serveur TACACS+) utilisée pour authentifier un utilisateur. Si l’utilisateur est authentifié à l’aide d’une base de données locale, la valeur de l’attribut indique « local ». Si l’utilisateur est authentifié à l’aide d’un serveur TACACS+, la valeur de l’attribut indique « distant ». |
≥5 |
Un ou plusieurs octets contenant des caractères ASCII imprimables. |
|
Indique le numéro de port source de la session établie. |
taille de l’entier |
Entier |
Utiliser des expressions régulières sur un serveur RADIUS ou TACACS+ pour autoriser ou refuser des commandes
Junos OS peut mapper des utilisateurs authentifiés RADIUS et TACACS+ à un compte d’utilisateur défini localement ou à un compte d’utilisateur modèle, qui définit les privilèges d’accès de l’utilisateur. Vous pouvez également configurer les privilèges d’accès d’un utilisateur en définissant des attributs spécifiques au fournisseur (VSA) RADIUS et TACACS+ de Juniper Networks sur le serveur d’authentification correspondant.
La classe de connexion d’un utilisateur définit l’ensemble des autorisations qui détermine les commandes de mode opérationnel et de mode de configuration qu’un utilisateur est autorisé à exécuter, ainsi que les zones de la configuration qu’un utilisateur peut afficher et modifier. Une classe login peut également définir des expressions régulières qui autorisent ou refusent à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier certaines zones de la configuration, en plus de ce que les indicateurs d’autorisation autorisent. Une classe de connexion peut inclure les instructions suivantes pour définir l’autorisation de l’utilisateur :
-
permissions
-
allow-commands
-
allow-commands-regexps
-
allow-configuration
-
allow-configuration-regexps
-
deny-commands
-
deny-commands-regexps
-
deny-configuration
-
deny-configuration-regexps
De même, une configuration de serveur RADIUS ou TACACS+ peut utiliser les VSA de Juniper Networks pour définir des autorisations spécifiques ou des expressions régulières qui déterminent les privilèges d’accès d’un utilisateur. Pour obtenir la liste des VSA RADIUS et TACACS+ pris en charge, consultez les rubriques suivantes :
- Attributs RADIUS spécifiques aux fournisseurs Juniper Networks
- Attributs TACACS+ spécifiques aux fournisseurs de Juniper Networks
Vous pouvez définir les autorisations utilisateur sur le serveur RADIUS ou TACACS+ sous la forme d’une liste de valeurs séparées par des espaces.
-
Un serveur RADIUS utilise l’attribut et la syntaxe suivants :
Juniper-User-Permissions += "flag1 flag2 flag3",
Par exemple :
Juniper-User-Permissions += "interface interface-control configure",
-
Un serveur TACACS+ utilise l’attribut et la syntaxe suivants :
user-permissions = "flag1 flag2 flag3"
Par exemple :
user-permissions = "interface interface-control configure"
Un serveur RADIUS ou TACACS+ peut également définir des VSA Juniper Networks qui utilisent une seule expression régulière étendue (telle que définie dans POSIX 1003.2) pour autoriser ou refuser à un utilisateur la possibilité d’exécuter certaines commandes ou d’afficher et de modifier des zones de la configuration. Vous placez plusieurs commandes ou hiérarchies de configuration entre parenthèses et les séparez à l’aide d’un symbole de barre verticale. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, placez-les entre guillemets. Lorsque vous configurez des paramètres d’autorisation à la fois localement et à distance, l’appareil fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières définies sur l’équipement local.
-
Un serveur RADIUS utilise les attributs et la syntaxe suivants :
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Par exemple :
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Un serveur TACACS+ utilise les attributs et la syntaxe suivants :
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Par exemple :
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Les serveurs RADIUS et TACACS+ prennent également en charge la configuration d’attributs qui correspondent aux mêmes *-regexps
instructions que celles que vous pouvez configurer sur le périphérique local. Les *-regexps
attributs TACACS+ et RADIUS *-Regexps
utilisent la même syntaxe d’expression régulière que les attributs précédents, mais ils vous permettent de configurer des expressions régulières avec des variables.
-
Un serveur RADIUS utilise les attributs et la syntaxe suivants :
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Un serveur TACACS+ utilise les attributs et la syntaxe suivants :
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Par exemple, la configuration du serveur TACACS+ peut définir les attributs suivants :
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
Sur un serveur RADIUS ou TACACS+, vous pouvez également définir les attributs à l’aide d’une syntaxe simplifiée dans laquelle vous spécifiez chaque expression individuelle sur une ligne distincte.
Pour un serveur RADIUS, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Pour un serveur TACACS+, spécifiez les expressions régulières individuelles à l’aide de la syntaxe suivante :
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
Dans la syntaxe du serveur TACACS+, les valeurs numériques comprises entre 1 et n 1 doivent être uniques, mais pas nécessairement séquentielles. Par exemple, la syntaxe suivante est valide :
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
Le serveur RADIUS ou TACACS+ impose une limite sur le nombre de lignes d’expression régulière individuelles.
-
Lorsque vous émettez la commande, la sortie de la
show cli authorization
commande affiche l’expression régulière sur une seule ligne, même si vous spécifiez chaque expression individuelle sur une ligne distincte.
Les utilisateurs peuvent vérifier leur classe, leurs autorisations et leur autorisation de commande et de configuration en exécutant la commande en show cli authorization
mode opérationnel.
user@host> show cli authorization
Lorsque vous configurez les paramètres d’autorisation à la fois localement sur le périphérique réseau et à distance sur le serveur RADIUS ou TACACS+, le périphérique fusionne les expressions régulières reçues lors de l’autorisation TACACS+ ou RADIUS avec toutes les expressions régulières configurées localement. Si l’expression finale contient une erreur de syntaxe, le résultat global est une expression régulière non valide.
Configuration de la comptabilité système TACACS+
Vous pouvez configurer la comptabilité TACACS+ sur un appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité TACACS+. Les données statistiques peuvent être utilisées pour la surveillance générale du réseau, l’analyse et le suivi des modèles d’utilisation, ou la facturation d’un utilisateur en fonction de la durée de la session ou du type de services consultés.
Pour configurer la comptabilité TACACS+, spécifiez :
-
Un ou plusieurs serveurs comptables TACACS+ pour recevoir les données statistiques de l’appareil
-
Le type de données comptables à collecter
Vous pouvez utiliser le même serveur pour la comptabilité et l’authentification TACACS+, ou vous pouvez utiliser des serveurs distincts. Vous pouvez spécifier une liste de serveurs de comptabilité TACACS+. L’appareil interroge les serveurs dans l’ordre dans lequel ils sont configurés. Si le serveur principal (le premier configuré) n’est pas disponible, l’équipement tente de contacter chaque serveur de la liste jusqu’à ce qu’il reçoive une réponse.
Lorsque vous activez la comptabilité TACACS+, les équipements Juniper Networks, agissant en tant que clients TACACS+, peuvent notifier le serveur TACACS+ des activités des utilisateurs telles que les connexions logicielles, les modifications de configuration et les commandes interactives.
Configurer la comptabilité du serveur TACACS+
Pour configurer la comptabilité du serveur TACACS+ :
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.