인증 및 권한 부여를 위한 TACACS+ 서버 구성
Junos Space 네트워크 관리 플랫폼은 하나 이상의 TACACS+ 서버에서 사용자의 인증 및 권한 부여를 지원합니다. (TACACS+ 및 RADIUS 서버의 조합도 지원됩니다.) 여러 서버를 구성하는 경우 사용자 인터페이스에 나열된 순서대로 인증 중에 시도됩니다. 액세스한 첫 번째 서버에 연결할 수 없거나 공유 암호 불일치가 있는 경우 다음 서버가 시도됩니다. 원격 인증이 활성화된 경우의 로그인 동작을 이해하려면 원격 인증이 활성화된 Junos Space 로그인 동작 주제를 참조하십시오.
TACACS+ 서버를 사용하여 Junos Space 플랫폼에 로그인하도록 사용자를 인증하고 권한을 부여하기 전에 다음을 확인해야 합니다.
Junos Space 플랫폼에서 TACACS+ 원격 인증 서버를 생성하고 구성합니다( 원격 인증 서버 만들기 참조).
Junos Space 플랫폼에서 사용자에게 권한을 부여하는 데 필요한 원격 프로필을 생성합니다( 원격 프로필 만들기 참조).
원격 인증 및 로컬 권한 부여를 허용하려면 Junos Space 플랫폼의 역할 기반 액세스 제어 작업 공간을 사용하여 사용자 계정을 생성합니다( Junos Space 네트워크 관리 플랫폼에서 사용자 생성 참조).
TACACS+ 서버의 권한 부여 데이터는 AVP(attribute-value pair)로 저장됩니다. AVP에는 원격 프로필의 이름이 포함되어 있습니다. 따라서 사용자의 역할을 나타내기 위해 Junos Space 서버에서 생성된 원격 프로필에 해당하는 AVP를 사용하여 TACACS+ 서버의 사용자를 구성해야 합니다.
Junos Space 네트워크 관리 플랫폼이 사용자 인증을 위해 TACACS+ 서버를 쿼리하면 TACACS+ 서버의 junosspace-exec 서비스가 해당 사용자의 원격 프로필 이름을 반환합니다. Junos Space 네트워크 관리 플랫폼은 이 응답에서 사용자의 역할을 결정합니다.
원격 프로필 이름을 사용하여 사용자에게 역할을 할당하기 위해 TACACS+ 서버의 junosspace-exec 서비스에 대해 network-management-profiles AVP를 구성할 수 있습니다.
다음 예는 TACACS+ 서버에 구성 정보를 추가하여 사용자에게 원격 프로필을 할당하는 방법을 보여줍니다.
user = guestuser
{
pap = cleartext "<password>"
service = junosspace-exec
{
network-management-profiles = guest_profile
}
}
AVP를 구성하고 TACACS+ 서버의 사용자에게 Junos Space 원격 프로필을 할당하는 방법에 대한 자세한 내용은 TACACS+ 서버 설명서를 참조하십시오.