Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

TACACS+ 인증

이 Junos OS 라우터나 스위치 또는 보안 장비상의 사용자 중앙 인증을 위해 TACACS+를 지원합니다. 장비에서 TACACS+ 인증을 사용하려면 네트워크에서 하나 이상의 TACACS+ 서버에 대한 정보를 구성해야 합니다. 또한 장비에서 TACACS+ 계정을 구성하여 LAN에 로그인하거나 LAN에서 로그아웃하는 사용자에 대한 통계 데이터를 수집하고 데이터를 TACACS+ 계정 서버로 전송할 수도 있습니다. 자세한 내용은 이 주제를 참조하십시오.

TACACS+ 인증 구성

TACACS+ 인증은 라우터 또는 스위치에 액세스하려고 시도하는 사용자를 인증하는 방법입니다.

주:

Release 13.3부터 Junos OS TACACS+ 서버를 사용해 사용자 인증을 위한 기존 IPv4 지원과 함께 IPv6를 지원한다.

TACACS+ 구성을 구성하는 작업은:

TACACS+ 서버 세부 사항 구성

라우터 또는 스위치에서 TACACS+ 인증을 사용하기 위해 계층 수준에서 명령문을 포함해 네트워크에서 하나 이상의 TACACS+ 서버에 대한 정보를 tacplus-server[edit system] 구성합니다.

server-address TACACS+ 서버 주소입니다.

port-number 은 TACACS+ 서버 포트 번호입니다.

routing-instance routing-instance 는 TACACS+ 패킷을 송수신하는 데 사용되는 라우팅 인스턴스의 이름입니다. 기본적으로 Junos OS 라우팅 인스턴스를 통해 TACACS+에 대한 인증, 권한 부여 및 어카우링 패킷을 라우팅합니다. 릴리스 Junos OS 릴리스 17.4R1, 기존의 TACACS+ 동작은 에지로 명명된 비보상 VRF 인스턴스의 관리 인터페이스를 통해 TACACS+ 패킷의 라우팅을 지원할 수 있도록 mgmt_junos. 이 VRF 관리 인스턴스에 대한 자세한 내용은 관리 인스턴스를 사용할 TACACS+의 구성 를 참조하십시오. 릴리스 Junos OS 릴리스 18.2R1 구성하는 모든 라우팅 인스턴스를 통해 TACACS+ 트래픽을 라우팅할 수 있습니다.

명령문을 포함해 로컬 라우터 또는 스위치가 TACACS+ 클라이언트에 통과하는 암호(암호)를 secret 지정해야 합니다. 암호에 공백이 포함되는 경우, 암호를 견적 마크에 동봉합니다. 로컬 라우터 또는 스위치에서 사용하는 비밀은 서버에서 사용하는 비밀과 일치해야 합니다.

선택적으로, 명령문을 포함해 로컬 라우터 또는 스위치가 TACACS+ 서버로부터 응답을 받기 위해 대기하는 시간을 지정할 timeout 수 있습니다. 기본적으로 라우터 또는 스위치는 3초를 기다립니다. 이를 1~90초 범위의 값으로 구성할 수 있습니다.

선택적으로, 명령문을 포함해 각 연결 시도에 대한 연결을 여는 대신, 소프트웨어가 여러 요청을 위해 하나의 개방형 TCP(Transmission Control Protocol) 연결을 서버에 유지 관리해야 single-connection 합니다.

주:

TACACS+ 서버의 초기 버전은 해당 옵션을 지원하지 single-connection 않습니다. 이 옵션을 지정하면 서버가 이 옵션을 지원하지 Junos OS TACACS+ 서버와 통신할 수 없습니다.

다수의 TACACS+ 서버를 구성하기 위해 여러 tacplus-server 명령문을 포함합니다.

TX Matrix 라우터에서 TACACS+ 계정은 그룹 및 re0 에서만 구성해야 re1 합니다.

주:

회계는 계층 수준에서 구성되어선 안 [edit system] 됩니다. TX Matrix 라우터에서 제어는 스위치 카드 섀시에서만 수행됩니다.

인증 목적으로 단일 계정을 공유하는 사용자 집합을 구성하려면 템플릿 사용자를 생성합니다. 이를 위해 다음 예제에 설명된 계층 수준에서 user[edit system login] 명령문을 포함합니다. 인증 순서를 구성합니다.

관리 인스턴스를 사용할 TACACS+의 구성

기본적으로 Junos OS 라우팅 인스턴스를 통해 TACACS+에 대한 인증, 권한 부여 및 어카우링 패킷을 라우팅합니다. 릴리스 Junos OS 릴리스부터 17.4R1, 기존의 TACACS+ 동작은 비보상 VRF 인스턴스에서 관리 인터페이스를 지원할 수 있도록 향상됩니다.

명령문과 명령문 모두에서 옵션이 구성되면(tacplus 참조), 명령문이 구성된 routing-instance mgmt_junostacplus-server server-addresstacplus server server-ip 경우, tacplusTACACS+ 패킷은 각 명령문의 관리 인스턴스를 management-instance 통해 라우팅 mgmt_junos.

주:

routing-instance mgmt_junos 옵션은 명령문과 명령문 tacplus-servertacplus server 모두에서 구성되어야 합니다. 명령문이 구성된 경우에도 TACACS+ 패킷은 기본 라우팅 인스턴스만 management-instance 사용합니다.

릴리스 Junos OS 17.4R1 TACACS+를 위한 라우팅 인스턴스 구성 옵션은 없습니다. 따라서 구성된 경우에도 릴리스가 릴리스가 제공될 때까지 TACACS+ 라우팅 인스턴스 Junos OS management-instance 17.4R1.

관리 인스턴스에 대한 자세한 내용은 mgmt_junos 인스턴스 를 참조합니다.

외부 TACACS+ Junos OS 액세스하기 위한 소스 주소 지정

인증을 위해 Junos OS 네트워크에 액세스할 때 사용하는 소스 주소를 지정할 수 있습니다. 또한 회계 정보를 전송할 때 TACACS+ Junos OS 사용할 소스를 지정할 수 있습니다.

인증을 위한 TACACS+ 서버의 소스 주소를 지정하기 위해 계층 수준에서 source-address[edit system tacplus-server server-address] 명령문을 포함하십시오.

source-address 라우터 또는 스위치 인터페이스 중 하나에 구성된 유효한 IP 주소입니다.

시스템 어카우킹을 위한 TACACS+ 서버의 소스 주소를 지정하려면, 계층 수준에서 source-address[edit system accounting destination tacplus server server-address] 명령문을 포함하십시오.

source-address 라우터 또는 스위치 인터페이스 중 하나에 구성된 유효한 IP 주소입니다.

여러 TACACS+ 서버에 동일한 인증 서비스 구성

여러 TACACS+ 서버에 대해 동일한 인증 서비스를 구성하기 위해 계층 수준에서 [edit system tacplus-server][edit system tacplus-options] 명령문을 포함합니다. 계층 수준에서 TACACS+ 서버를 구성하는 방법에 대한 자세한 내용은 [edit system tacplus-server]TACACS+ 인증 구성 을 참조하십시오.

동일한 인증 서비스를 여러 TACACS+ 서버에 할당하기 위해 계층 수준에서 service-name[edit system tacplus-options] 명령문을 포함하십시오.

service-name 은 인증 서비스의 이름입니다. 기본적으로 서비스 이름은 junos-exec 으로 설정됩니다.

다음 예제에서는 여러 TACACS+ 서버에 대해 동일한 인증 서비스를 구성하는 방법을 보여줍니다.

벤더 주니퍼 네트웍스 TACACS+ 속성 구성

벤더별 주니퍼 네트웍스 TACACS+ 속성을 사용하면 TACACS+ 서버의 사용자에 대한 액세스 권한을 구성할 수 있습니다. 사용자에 따라 TACACS+ 서버 구성 파일에 지정됩니다. JUNOS OS 인증한 후 TACACS+ 서버의 인증 요청을 통해 이러한 속성을 검색합니다. TACACS+와 함께 이 Junos OS 구성할 필요가 없습니다.

이러한 속성을 지정하려면 TACACS+ 서버 구성 파일에 다음 service 양식의 명령문을 포함합니다.

service 명령문은 명령문이나 user 명령문으로 나타날 수 group 있습니다.

예를 들면 다음과 같습니다. 시스템 인증을 위한 TACACS+ 서버 구성

이 예에서는 시스템 인증을 위해 TACACS+ 서버를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  • 초기 디바이스 구성을 수행합니다. 디바이스를 위한 시작하기 가이드를 참조하십시오.

  • 하나 이상의 TACACS+ 서버를 구성합니다.

개요

이 예에서는 IP 주소를 172.16.98.24로 설정하고 TACACS+ 서버의 공유 암호 암호를 Tacacsecret1로 설정합니다. 암호 암호는 구성 데이터베이스에서 암호화된 값으로 저장됩니다. 루프백 소스 주소를 10.0.0.1로 설정하면

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

GUI 빠른 구성
단계별 절차

시스템 인증을 위한 TACACS+ 서버 구성:

  1. J-Web 사용자 인터페이스에서 Configure>System Properties>User Management 를 선택합니다.

  2. Edit을 클릭합니다. 사용자 관리 편집 대화 상자가 나타납니다.

  3. 탭을 Authentication Method and Order 선택합니다.

  4. TACACS 섹션에서 Add 을 클릭합니다. TACACS Server 추가 대화 상자가 나타납니다.

  5. IP 주소 상자에서 서버의 32비트 IP 주소를 입력합니다.

  6. Password and Confirm Password 상자에서 서버에 대한 암호 암호를 입력하고 항목을 검증합니다.

  7. Server Port Box에서 해당 포트를 입력합니다.

  8. Source Address box에서 TACACS+ 패킷의 소스 주소로 사용되는 로컬 구성된 인터페이스 주소를 입력합니다.

    주:

    소스 주소 상자는 호스트 이름이나 IP 주소를 허용할 수 있습니다.

  9. 재시도 시도 상자에서 서버가 사용자의 증명을 검증하려고 시도해야 하는 횟수를 지정합니다.

  10. Time Out 박스에서 디바이스가 서버의 응답을 기다릴 수 있는 시간(초)을 지정합니다.

  11. 구성을 OK 확인하고 후보 구성으로 저장하려면 클릭하십시오.

  12. 디바이스 구성이 완료되면 Commit Options>Commit 을 클릭합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

시스템 인증을 위한 TACACS+ 서버 구성:

  1. 새로운 TACACS+ 서버를 추가하고 IP 주소를 설정합니다.

  2. TACACS+ 서버의 공유 암호(암호)를 지정합니다.

  3. 장치의 루프백 주소를 소스 주소로 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system tacplus-server 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

주:

TACACS+ 인증을 완벽하게 설정하려면 사용자 템플릿 계정을 생성하고 시스템 인증 순서를 지정해야 합니다. 다음 작업 중 하나를 수행합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

TACACS+ 서버 시스템 인증 구성 검증

목적

TACACS+ 서버가 시스템 인증을 위해 구성된지 확인

실행

구성 모드에서 명령을 show system tacplus-server 입력합니다.

TACACS+ 권한 부여 프로파일의 주기적인 갱신 구성

인증을 위해 TACACS+ Junos OS 사용하도록 구성하면 이 장치는 사용자에게 로그인 정보를 묻는 메시지를 표시하고 TACACS+ 서버에 의해 검증됩니다. 사용자가 인증에 성공하면 Junos OS 장치에 인증 요청을 TACACS+ 서버로 보내어 사용자에 대한 인증 프로파일을 획득합니다. 권한 부여 프로파일은 인증된 사용자 또는 장치에 대한 액세스 권한을 지정합니다.

TACACS+ 서버는 인증 응답 메시지의 일부로 인증 프로필을 전송합니다. TACACS+ 서버에서 구성된 원격 사용자는 해당 장비에 구성된 로컬 사용자에게 Junos OS 있습니다. 이 Junos OS 장비는 원격 인증 프로필을 사용자에 대한 로컬로 구성된 인증 프로파일과 결합합니다. 사용자에 대한 [ edit system login class 계층 수준]으로 구성됩니다.

인증 요청 및 응답 메시지 교환은 기본적으로 성공적인 인증 후에 한 번만 발생합니다. 네트워크 디바이스를 Junos OS TACACS+ 서버에서 원격 인증 프로필을 주기적으로 페치하고 로컬에 저장된 인증 프로필을 새로 고침하도록 구성할 수 있습니다. 이를 통해 인증 매개 변수의 변경이 인증 프로세스를 재시작하지 않고도 로컬 장비에 반영됩니다.

인증 프로필을 주기적으로 갱신하려면, 인증 장비가 TACACS+ 서버에서 원격으로 구성된 인증 Junos OS 확인되는 시간 간격을 설정해야 합니다. 원격 인증 프로필에 변경이 있는 경우 디바이스는 TACACS+ 서버와 로그인 클래스 계층에 따라 구성된 인증 프로파일에서 인증 프로필을 페치합니다. 이 장치는 원격 및 로컬로 구성된 인증 프로필을 결합하여 로컬에 저장된 인증 프로필을 새로 고쳐나가게 됩니다.

시간 간격은 TACACS+ 서버에서 직접 구성하거나 이 인터벌을 사용하여 Junos OS 디바이스에서 CLI. 시간 간격은 15~1440분 범위에서 분으로 구성됩니다.

  • 인증 정보를 사용하여 로컬 장비에서 인증 프로필의 주기적인 갱신을 CLI 계층 수준에서 명령문을 authorization-time-interval[edit system tacplus-options] 포함하십시오.
  • TACACS+ 서버의 주기적 갱신을 위한 시간 간격을 구성하려면 다음 구문을 사용하여 인증 프로파일에서 매개 변수로 시간 간격을 추가합니다.

다음 지침을 사용하여 우선 순위를 정하는 시간 간격 구성을 결정하십시오.

  • 주기적인 갱신을 위해 TACACS+ 서버에서 구성된 갱신 시간 간격이 없는 경우 Junos OS 장비는 인증 응답에서 시간 간격 값을 수신하지 않습니다. 이 경우 디바이스에서 로컬로 구성된 Junos OS 적용됩니다.

  • TACACS+ 서버에서 갱신 시간 간격이 구성되어 있으며 Junos OS 장비에서 로컬로 구성된 갱신 시간 간격이 없는 경우 TACACS+ 서버에 구성된 값이 적용됩니다.

  • 갱신 시간 간격이 TACACS+ 서버와 로컬로 Junos OS 디바이스에서 구성된 경우, TACACS+ 서버에 구성된 가치가 우선적으로 적용됩니다.

  • TACACS+ 서버에서 구성된 갱신 시간 간격이 없는 데다 장비에서 구성된 갱신 Junos OS 간격이 없는 경우 주기적인 갱신이 없습니다.

  • TACACS+ 서버상에서 구성된 갱신 시간 간격이 범위를 밝히지 못하거나 올인 경우, 로컬로 구성된 갱신 시간 간격 값이 적용됩니다.

  • TACACS+ 서버상에서 구성된 갱신 시간 간격이 범위를 밝히지 못하거나 올인 경우, 로컬로 구성된 갱신 시간 간격이 없는 경우, 주기적인 갱신이 없습니다.

주기적인 갱신 시간 간격이 설정된 후 인증 요청이 Junos OS 디바이스에서 전송되기 전에 갱신 간격을 변경하면 업데이트된 갱신 간격은 다음 즉각적인 주기적 갱신 후에 적용됩니다.

명령어에 대한 액세스를 허용하거나 RADIUS TACACS+ 서버 상에서 Regular Expressions 사용

정규 표현식을 사용하여 사용자 인증을 위해 RADIUS 또는 TACACS+ 서버를 사용할 때 허용 또는 거부되는 운영 또는 구성 모드 명령을 지정합니다. 인증 서버 구성에서 벤더별 주니퍼 네트웍스 또는 TACACS+ 속성을 사용하여 RADIUS 표현식을 지정할 수 있습니다.

다음과 같은 속성이 지원되어 RADIUS TACACS+ 서버에서 인증을 구성할 수 있습니다.

  • user-permissions

  • allow-configuration

  • deny-configuration

  • allow-commands

  • deny-commands

  • allow-configuration-regexp

  • deny-configuration-regexp

  • (TACACS+ 전용) allow-commands-regexp

  • (TACACS+ 전용) deny-commands-regexp

파이프 기호를 사용하여 괄호 안에 여러 명령을 동봉하고 분리하는 확장된 단일 정규 표현식을 지정할 allow-configurationdeny-configurationallow-commandsdeny-commands 있습니다. 예를 들어 다음과 같은 여러 매개 변수를 allow-commands 지정할 수 있습니다. allow-commands= (cmd1 | cmd2 | cmdn). 정규 표현식이 아닌 콤마 구분 값의 목록으로 지정할 user-permissions 수 있습니다.

또는 속성을 사용하여 인증을 구성하기 위해 각 문자열이 이중 따옴표로 동봉되어 공간 운영자와 분리되는 문자열 집합을 allow/deny-configuration-regexpsallow/deny-commands-regexps 구성합니다. 예를 들어, 다음과 같은 구문을 사용할 수 있는 여러 allow-commands-regexp 매개 변수를 지정할 수 있습니다. allow-commands-regexps = (“regexp1” “regexp2”...).

또한 RADIUS 또는 TACACS+ 서버에서는 별도의 라인에서 각 개별 표현식을 지정할 수 있는 정규 표현식에 간소화된 버전을 사용할 수도 있습니다. 단순화된 버전은 , , 및 벤더별 속성에 allow-commandsdeny-commandsallow-configurationdeny-configurationpermissions 유효합니다.

서버의 RADIUS 다음 구문을 사용하여 개별 정규 표현식을 지정합니다.

TACACS+ 서버의 경우 다음 구문을 사용하여 개별 정규 표현식을 지정합니다.

주:
  • 숫자 값 1~ n in the syntax(TACACS+ 서버의 경우)는 고유해야 하지만, 시차가 필요하지 않습니다. 예를 들어, 다음과 같은 구문이 유효합니다.

  • TACACS+ 또는 RADIUS 개별 정규 표현식의 수에 대한 RADIUS 있습니다.

  • 명령을 실행하면 명령 출력은 별도의 라인에 각 개별 표현식을 지정하는 경우에도 단일 라인에서 정규 show cli authorization 표현식을 표시합니다.

주니퍼 네트웍스 특정 RADIUS 및 TACACS+ 속성에 대한 자세한 내용은 주니퍼 네트웍스 RADIUS 및 LDAP 속성과 주니퍼 네트웍스 TACACS+ 속성을 참조하십시오.

주:

RADIUS 또는 TACACS+ 인증이 라우터를 위해 구성되는 경우, RADIUS 또는 TACACS+ 서버 상에 구성된 정규 표현식은 , 또는 명령문을 사용하는 계층 수준에서 로컬 라우터에 구성된 모든 정규 표현식과 [edit system login class]allow-commandsdeny-commandsallow-configurationdeny-configurationpermissions 병합됩니다. 최종 표현식에 구문 오류가 있는 경우, 전체적인 결과는 잘못된 정규 표현식입니다.

주니퍼 네트웍스 TACACS+ 속성

Junos OS TACACS+ 벤더별 속성(주니퍼 네트웍스 VSAS)의 구성을 지원 이러한 VSAS는 TACACS+ 벤더별 속성에 캡슐화되어 벤더 ID는 주니퍼 네트웍스 ID 번호인 2636으로 설정됩니다. 표 1 구성할 수 주니퍼 네트웍스 VSAS를 나열합니다.

표 1: 주니퍼 네트웍스 TACACS+ 속성

이름

설명

길이

문자열

local-user-name

장치에 로그인할 때 이 사용자가 사용하는 사용자 템플릿의 이름을 나타냅니다.

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

allow-commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령어 외에도 사용자가 작업 모드 명령을 실행할 수 있도록 하는 확장된 정규 표현이 포함되어 있습니다.

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

allow-configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령어 외에도 사용자가 구성 모드 명령을 실행할 수 있도록 하는 확장된 정규 표현이 포함되어 있습니다.

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

deny-commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 운영 모드 명령을 실행할 수 있도록 사용자 권한을 거부하는 확장 정규 표현이 포함되어 있습니다.

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

deny-configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 모드 명령을 실행할 수 있는 사용자 권한을 거부하는 확장 정규 표현이 포함되어 있습니다.

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

user-permissions

서버가 사용자 권한을 지정하는 데 사용하는 정보를 포함

주:

user-permissionsmaintenance IPv4 또는 IPv6 TACACS+ 서버에 대한 Junos OS 또는 권한을 부여하도록 속성이 구성된 경우, UNIX 휠 그룹 멤버십은 사용자의 그룹 멤버십 목록에 자동으로 추가되지 all 않습니다. 로컬 쉘에서 명령을 실행하는 등의 일부 작업은 휠 그룹 su root 멤버십 권한을 필요로 합니다. 그러나 사용자가 권한을 통해 로컬로 구성되면 사용자에게 자동으로 UNIX wheel 그룹에 대한 멤버십이 maintenanceall 부여됩니다. 따라서 필요한 권한을 사용하여 템플릿 사용자 계정을 생성하고 개별 사용자 계정을 해당 템플릿 사용자 계정과 연관하는 것이 좋습니다.

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트. 액세스 권한 Junos OS 이해하기 를 참조합니다.

authentication-type

사용자를 인증하는 데 사용되는 인증 방법(로컬 데이터베이스 또는 TACACS+ 서버)을 나타냅니다. 로컬 데이터베이스를 사용하여 사용자가 인증된 경우 속성 값에 '로컬'이 표시됩니다. TACACS+ 서버를 사용해 사용자가 인증을 이수하면 속성 값에 '원격'이 표시된다.

≥5

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

session-port

설정된 세션의 소스 포트 번호를 나타냅니다.

정수 크기

정수

TACACS+ 시스템 회계 구성

TACACS+를 사용하여 소프트웨어 로그인, 구성 변경 및 대화형 명령을 추적하고 기록할 수 있습니다. 이러한 이벤트를 감사하기 위해 계층 수준에서 다음 [edit system accounting] 명령문을 포함합니다.

TACACS+ 시스템 회계 구성 작업은:

TACACS+ 감사 및 회계 이벤트 지정

인증을 위해 TACACS+ 서버를 사용할 때 감사하려는 이벤트를 지정하기 위해 계층 수준에서 events[edit system accounting] 명령문을 포함하십시오.

events 는 다음 중 하나 이상입니다.

  • login—감사 로그인

  • change-log—구성 변경 감사

  • interactive-commands—대화형 명령어 감사(모든 명령줄 입력)

TACACS+ 서버 회계 구성

TACACS+ 서버 계정을 구성하려면 계층 수준에서 server[edit system accounting destination tacplus] 명령문을 포함합니다.

server-address TACACS+ 서버 주소를 지정합니다. 다수의 TACACS+ 서버를 구성하기 위해 여러 server 명령문을 포함합니다.

주:

명령문 계층 수준에서 TACACS+ 서버가 구성되지 않는 경우 Junos OS 계층 수준에서 구성된 [edit system accounting destination tacplus] TACACS+ 서버를 [edit system tacplus-server] 사용하게 됩니다.

명령문 계층 수준에서 다음 구성을 추가하여 대상을 식별하고 오류 조건을 생성하지 않도록 하는 [edit system accounting destination tacplus] 것이 좋습니다.

port-number TACACS+ 서버 포트 번호를 지정합니다.

routing-instance routing-instance 는 TACACS+ 패킷을 송수신하는 데 사용되는 라우팅 인스턴스의 이름입니다. 기본적으로 Junos OS 라우팅 인스턴스를 통해 TACACS+에 대한 인증, 권한 부여 및 어카우링 패킷을 라우팅합니다. 릴리스 Junos OS 릴리스 17.4R1 기존 TACACS+ 동작이 향상되어 네트워크로 명명된 비보상 VRF 인스턴스의 관리 인터페이스를 통해 TACACS+ 패킷의 라우팅을 mgmt_junos. 이 VRF 관리 인스턴스에 대한 자세한 내용은 관리 인스턴스를 사용할 TACACS+의 구성 를 참조하십시오. 릴리스 Junos OS 릴리스에서 18.2R1 구성한 라우팅 인스턴스를 통해 TACACS+ 트래픽을 라우팅할 수 있습니다.

명령문을 포함해 로컬 라우터 또는 스위치가 TACACS+ 클라이언트에 통과하는 암호(암호)를 secret 지정해야 합니다. 암호에 공백이 있는 경우 전체 암호를 견적 마크(" ")에 동봉합니다. 로컬 라우터 또는 스위치에서 사용하는 암호는 서버에서 사용하는 암호와 일치해야 합니다.

선택적으로, 명령문을 포함해 로컬 라우터 또는 스위치가 TACACS+ 서버로부터 응답을 받기 위해 대기하는 시간을 지정할 timeout 수 있습니다. 기본적으로 라우터 또는 스위치는 3초를 기다립니다. 이를 1~90초 범위의 값으로 구성할 수 있습니다.

선택적으로, 명령문을 포함해 각 연결 시도에 대한 연결을 여는 대신, 여러 요청을 위해 하나의 개방형 TCP 연결을 서버에 유지할 수 single-connection 있습니다.

로그인 이벤트에 대한 요청의 시작 및 중단이 TACACS+ 서버의 관리 로그 파일 대신 Accounting 파일에 올바르게 로깅되도록 보장하기 위해 명령문이나 계층 수준에서 명령문을 no-cmd-attribute-valueexclude-cmd-attribute[edit system tacplus-options] 포함합니다.

명령문을 사용하는 경우 속성의 값은 시작 및 중지 요청에서 no-cmd-attribute-valuecmd null 문자열로 설정됩니다. 명령문을 사용하는 경우 속성은 시작 및 중지 요청에서 exclude-cmd-attributecmd 완전히 제외됩니다. 두 진술 모두 관리 파일 대신 Accounting 파일에서 회계 요청의 올바른 로깅을 지원한다.

관리 인스턴스를 사용할 TACACS+의 구성

기본적으로 Junos OS 라우팅 인스턴스를 통해 TACACS+에 대한 인증, 권한 부여 및 어카우링 패킷을 라우팅합니다. 릴리스 Junos OS 릴리스부터 17.4R1, 기존의 TACACS+ 동작은 비보상 VRF 인스턴스에서 관리 인터페이스를 지원할 수 있도록 향상됩니다.

명령문이 구성된 경우, 명령문과 명령문 모두에서 옵션이 routing-instance mgmt_junostacplus-server server-addresstacplus server server-ip 구성되면, TACACS+ 패킷은 각 명령문의 관리 인스턴스를 통해 management-instance mgmt_junos.

주:

routing-instance mgmt_junos 옵션은 명령문과 명령문 tacplus-servertacplus server 모두에서 구성되어야 합니다. 명령문이 설정되어 있는 경우에도 TACACS+ 패킷은 여전히 기본 라우팅 인스턴스를 사용하여 management-instance 전송됩니다.

이 관리 인스턴스에 대한 자세한 내용은 관리 인스턴스 를 참조합니다.

TX Matrix 라우터에서 TACACS+ 계정 구성

TX Matrix 라우터에서 TACACS+ 계정은 그룹 및 re0 에서만 구성해야 re1 합니다.

주:

회계는 계층에서 구성할 수 [edit system] 없습니다. TX Matrix 라우터에서 제어는 스위치 카드 섀시에서만 수행됩니다.

출시 내역 표
릴리스
설명
18.2R1
릴리스 Junos OS 릴리스 18.2R1 구성하는 모든 라우팅 인스턴스를 통해 TACACS+ 트래픽을 라우팅할 수 있습니다.
18.2R1
릴리스 Junos OS 릴리스에서 18.2R1 구성한 라우팅 인스턴스를 통해 TACACS+ 트래픽을 라우팅할 수 있습니다.
17.4R1
릴리스 Junos OS 릴리스 17.4R1, 기존의 TACACS+ 동작은 에지로 명명된 비보상 VRF 인스턴스의 관리 인터페이스를 통해 TACACS+ 패킷의 라우팅을 지원할 수 있도록 mgmt_junos.
17.4R1
릴리스 Junos OS 릴리스부터 17.4R1, 기존의 TACACS+ 동작은 비보상 VRF 인스턴스에서 관리 인터페이스를 지원할 수 있도록 향상됩니다.
17.4R1
릴리스 Junos OS 릴리스 17.4R1 기존 TACACS+ 동작이 향상되어 네트워크로 명명된 비보상 VRF 인스턴스의 관리 인터페이스를 통해 TACACS+ 패킷의 라우팅을 mgmt_junos.
17.4R1
릴리스 Junos OS 릴리스부터 17.4R1, 기존의 TACACS+ 동작은 비보상 VRF 인스턴스에서 관리 인터페이스를 지원할 수 있도록 향상됩니다.