Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

TACACS+ 인증

Junos OS 네트워크 디바이스에서 사용자의 중앙 인증을 위해 TACACS+를 지원합니다. 장치에서 TACACS+ 인증을 사용하려면 사용자(네트워크 관리자)가 네트워크에서 하나 이상의 TACACS+ 서버에 대한 정보를 구성해야 합니다. 또한 장비에서 TACACS+ 어카운팅을 구성하여 LAN에 로그인하거나 LAN으로 로그인하는 사용자에 대한 통계 데이터를 수집하고 데이터를 TACACS+ 어카운팅 서버로 보낼 수도 있습니다.

TACACS+ 인증 구성

TACACS+ 인증은 네트워크 디바이스에 액세스를 시도하는 사용자를 인증하는 방법입니다.

TACACS+를 구성하려면 다음 작업을 수행합니다.

TACACS+ 서버 세부 정보 구성

장치에서 TACACS+ 인증을 사용하려면 각 TACACS+ 서버에 대해 계층 수준에서 하나의 명령문을 [edit system] 포함함으로써 네트워크에서 하나 tacplus-server 이상의 TACACS+ 서버에 대한 정보를 구성합니다. 이 장치는 구성된 순서대로 TACACS+ 서버를 쿼리합니다. 기본 서버(처음 구성된 서버)를 사용할 수 없는 경우, 장비는 응답을 받을 때까지 목록의 각 서버에 연락하려고 시도합니다.

네트워크 디바이스는 TACACS+인증 사용자를 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑하여 인증을 결정할 수 있습니다. 기본적으로 Junos OS 다음과 같이 구성된 경우 TACACS+인증 사용자를 사용자 템플릿 계정에 remote할당합니다.

  • 인증된 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.

  • TACACS+ 서버는 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에서 구성되지 않습니다.

TACACS+ 서버는 인증된 사용자를 다른 사용자 템플릿에 할당하여 해당 사용자에게 서로 다른 관리 권한을 부여할 수 있습니다. 사용자는 CLI에서 동일한 로그인 이름을 유지하지만 할당된 템플릿에서 로그인 클래스, 액세스 권한 및 효과적인 사용자 ID를 상속합니다. TACACS+인증된 사용자가 로컬 정의 사용자 계정이나 사용자 템플릿에 매핑되지 않고 템플릿이 remote 구성되지 않으면 인증에 실패합니다.

주:

사용자 이름은 remote 특별한 경우 Junos OS 이며 항상 소문자여야 합니다. 이는 원격 서버에 의해 인증을 받았지만 장치에 로컬로 구성된 사용자 계정이 없는 사용자를 위한 템플릿 역할을 합니다. Junos OS 로컬에서 정의된 계정 없이 인증된 사용자에게 템플릿의 remote 권한을 적용합니다. 템플릿에 remote 매핑된 모든 사용자는 동일한 로그인 클래스에 있습니다.

원격 인증은 여러 디바이스에서 구성되므로 일반적으로 구성 그룹 내에서 구성됩니다. 여기에 나와 있는 단계는 으로 구성된 global구성 그룹입니다. 구성 그룹 사용은 선택 사항입니다.

TACACS+ 서버에 의해 인증을 구성하려면 다음을 수행합니다.

  1. TACACS+ 인증 서버의 IPv4 주소 또는 IPv6 주소를 구성합니다.

    예를 들어,

  2. (선택사항) TACACS+ 서버로 전송된 요청에 대해 패킷 소스 주소를 구성합니다.

    예를 들어,

    소스 주소는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 주소 또는 IPv6 주소입니다. 네트워크 디바이스에 TACACS+ 서버에 연결할 수 있는 여러 인터페이스가 있는 경우, 해당 장비가 TACACS+ 서버와의 모든 통신에 사용할 수 있는 IP 주소를 할당합니다. 이를 통해 로컬에서 생성된 IP 패킷의 소스 주소로 고정 주소를 설정합니다.

  3. 네트워크 디바이스가 TACACS+ 서버로 인증하기 위해 사용하는 공유 암호 구성

    구성된 암호는 TACACS+ 서버에서 구성된 암호와 일치해야 합니다. 암호에 공백이 있는 경우 견적 표시에 동봉합니다. 디바이스는 암호를 구성 데이터베이스에 암호화된 값으로 저장합니다.

    예를 들어,

  4. (선택사항) 기본 포트(49)와 다른 경우 TACACS+ 서버에 연락할 포트를 지정합니다.

    예를 들어,

  5. (선택사항) TACACS+ 서버로부터 응답을 받기 위해 장비가 대기하는 시간을 구성합니다.

    기본적으로 디바이스는 10초 동안 기다려야 합니다. 1초에서 90초까지 값을 구성할 timeout 수 있습니다.

    예를 들어, 서버에서 응답하는 데 15초가 기다려야 합니다.

  6. (선택사항) 각 연결 시도에 대해 별도의 연결을 열지 않고 여러 요청에 대해 하나의 개방형 TCP 연결을 서버로 유지하도록 디바이스를 구성합니다.
    주:

    TACACS+ 서버의 초기 버전은 이 single-connection 옵션을 지원하지 않습니다. 이 옵션을 지정하고 서버가 이를 지원하지 않으면 해당 장치가 해당 TACACS+ 서버와 통신할 수 없습니다.

  7. (선택사항) 특정 라우팅 인스턴스를 통해 TACACS+ 패킷을 라우팅하려면 명령문을 구성 routing-instance 하고 유효한 라우팅 인스턴스를 지정합니다.

    기본적으로 Junos OS TACACS+에 대한 인증, 권한 부여 및 회계 패킷을 기본 라우팅 인스턴스를 통해 라우팅합니다.

  8. 인증 순서를 지정하고 옵션을 포함합니다 tacplus .

    다음 예에서는 사용자가 로그인 Junos OS 을 시도할 때마다 먼저 인증을 위해 TACACS+ 서버를 쿼리합니다. 장애가 발생하면 RADIUS 서버를 쿼리합니다. 실패하면 로컬로 구성된 사용자 계정으로 인증을 시도합니다.

  9. 로컬 정의 사용자 계정이 없는 TACACS+인증 사용자에게 로그인 클래스를 할당합니다.

    TACACS+ 서버가 사용자를 인증하기 때문에 로컬 인증 암호를 구성하지 않는 것을 제외하고는 로컬 사용자 계정과 동일한 방식으로 사용자 템플릿 계정을 구성합니다.

    • 모든 TACACS+인증 사용자를 위해 동일한 권한을 사용하려면 사용자 템플릿을 remote 구성하십시오.

      예를 들어,

    • 서로 다른 TACACS+인증 사용자를 위해 서로 다른 로그인 클래스를 사용하려면 서로 다른 권한을 부여합니다.

      1. 구성에서 여러 사용자 템플릿을 만듭니다 Junos OS . 예를 들어,

      2. 인증된 사용자를 적합한 사용자 템플릿에 매핑하도록 TACACS+ 서버를 구성합니다.

        예를 들어, 주니퍼 VSA(Vendor-specific attribute)를 장비에서 구성된 사용자 템플릿의 이름으로 설정 local-user-name 합니다( 이전 예에서는 RO, OP 또는 SU). 장비가 사용자를 로컬 사용자 계정이나 사용자 템플릿에 할당할 수 없고 사용자 템플릿이 구성되지 않으면 인증에 remote 실패합니다.

관리 인스턴스를 사용하도록 TACACS+를 구성합니다.

기본적으로 Junos OS TACACS+에 대한 인증, 권한 부여 및 회계 패킷을 기본 라우팅 인스턴스를 통해 라우팅합니다. 또한 TACACS+ 패킷을 기본값이 아닌 VRF 인스턴스의 관리 인터페이스를 통해 라우팅할 수도 있습니다.

관리 인스턴스를 통해 TACACS+ 패킷을 라우팅하려면 다음을 mgmt_junos 수행합니다.

  1. 관리 인스턴스를 mgmt_junos 활성화합니다.

  2. routing-instance mgmt_junos 구성된 경우 TACACS+ 인증 서버 및 TACACS+ 어카운팅 서버에 대한 명령문을 구성합니다.

여러 TACACS+ 서버에 대해 동일한 인증 서비스 구성

명령문 및 [edit system tacplus-options] 계층 수준에 명령 [edit system tacplus-server] 문을 포함함으로써 여러 TACACS+ 서버에 대해 동일한 인증 서비스를 구성할 수 있습니다.

동일한 인증 서비스를 여러 TACACS+ 서버에 할당하려면 다음을 수행합니다.

  1. 에 설명된 TACACS+ 인증 구성대로 TACACS+ 서버를 구성합니다.
  2. service-name 계층 수준에서 명령 [edit system tacplus-options] 문을 구성합니다.
    service-name 인증 서비스의 이름입니다 junos-exec. 기본적으로 .

    예를 들어,

다음 예제에서는 여러 TACACS+ 서버에 대해 동일한 인증 서비스를 구성하는 방법을 보여줍니다.

주니퍼 네트웍스 벤더별 TACACS+ 속성 구성

Junos OS 인증을 결정하는 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 TACACS+인증 사용자를 매핑할 수 있습니다. 또한 TACACS+ 서버에서 주니퍼 네트웍스 벤더별 TACACS+ 속성을 정의하여 사용자 액세스 권한을 선택적으로 구성할 수 있습니다. 사용자별로 TACACS+ 서버 구성 파일의 속성을 정의합니다. 네트워크 장치는 사용자 인증 후 TACACS+ 서버의 인증 요청을 통해 이러한 속성을 검색합니다.

이러한 속성을 지정하려면 TACACS+ 서버 구성 파일에 다음 양식의 명령문을 포함 service 하십시오.

명령문 또는 명령문에서 user 명령문을 정의 servicegroup 수 있습니다.

TACACS+ 권한 부여 프로파일의 주기적인 새로 고침 구성

인증을 위해 TACACS+ 서버를 사용하도록 실행하는 Junos OS 디바이스를 구성하면 사용자에게 로그인 정보를 묻는 메시지가 표시되며, 이 정보는 TACACS+ 서버에 의해 검증됩니다. 사용자가 인증에 성공하면 네트워크 장비는 사용자에 대한 인증 프로필을 얻기 위해 TACACS+ 서버로 인증 요청을 보냅니다. 인증 프로필은 인증된 사용자 또는 장치에 대한 액세스 권한을 지정합니다.

TACACS+ 서버는 인증 응답 메시지의 일부로 인증 프로파일을 보냅니다. TACACS+ 서버에서 구성된 원격 사용자는 실행 중인 Junos OS장비에서 구성된 로컬 사용자 또는 사용자 템플릿에 매핑됩니다. Junos OS 사용자의 원격 인증 프로파일과 로컬로 구성된 인증 프로파일을 결합하며, 후자는 [edit system login class] 계층 수준에서 구성됩니다.

기본적으로 인증 요청 및 회신 메시지의 교환은 인증에 성공한 후에 한 번만 발생합니다. TACACS+ 서버에서 원격 인증 프로필을 주기적으로 가져오고 로컬에 저장된 인증 프로필을 새로 고치도록 Junos OS 디바이스를 구성할 수 있습니다. 이러한 주기적인 교체는 로컬 장치가 사용자가 인증 프로세스를 다시 시작할 필요 없이 인증 매개변수의 변경 사항을 반영하도록 보장합니다.

인증 프로파일을 주기적으로 새로 고치려면 로컬 장비가 TACACS+ 서버에서 원격으로 구성된 인증 프로필을 확인하는 시간 간격을 설정해야 합니다. 원격 인증 프로필이 변경되면 장비는 TACACS+ 서버의 인증 프로파일과 로그인 클래스 계층에 구성된 인증 프로파일을 가져옵니다. 이 장치는 원격 및 로컬로 구성된 인증 프로필을 결합하여 로컬에 저장된 인증 프로필을 새로 고칩니다.

디바이스에서 실행되는 Junos OS 디바이스 또는 TACACS+ 서버에서 직접 리프레시 시간 간격을 구성할 수 있습니다. 시간 간격은 15 ~1440 분 범위가 될 수 있습니다.

  • 로컬 디바이스에서 인증 프로필의 주기적인 리프레시를 구성하려면 다음과 같이 계층 레벨의 명령문을 [edit system tacplus-options] 포함합니다authorization-time-interval.
  • TACACS+ 서버에서 주기적인 교체를 구성하려면 다음 구문을 사용하여 인증 프로파일에 매개 변수를 추가 refresh-time-interval 합니다.

다음 지침을 사용하여 간격 구성이 우선되는 시간을 결정합니다.

  • 교체 시간 간격이 TACACS+ 서버에서만 구성되거나 실행 중인 Junos OS장치에서만 구성된 경우 구성된 값이 적용됩니다.
  • TACACS+ 서버와 실행 중인 Junos OS장치 모두에서 교체 시간 간격이 구성되면 TACACS+ 서버에서 구성된 값이 우선합니다.

  • TACACS+ 서버 또는 실행 중인 Junos OS장비에서 교체 시간 간격이 구성되지 않으면 주기적인 교체가 발생하지 않습니다.

  • TACACS+ 서버에서 구성된 교체 시간 간격이 범위를 벗어나거나 잘못된 경우, 로컬로 구성된 교체 시간 간격이 적용됩니다. 로컬에서 갱신 시간 간격이 구성되지 않으면 주기적인 교체가 발생하지 않습니다.

주기적인 갱신 시간 간격이 설정되면 사용자가 로컬 장비에서 인증 요청이 전송되기 전에 갱신 간격을 변경하면 업데이트된 교체 간격이 다음 즉시 주기적인 갱신 후에 적용됩니다.

예를 들면 다음과 같습니다. 시스템 인증을 위한 TACACS+ 서버 구성

이 예에서는 TACACS+ 서버를 통해 시스템 인증을 구성합니다.

요구 사항

시작하기 전:

  • 초기 디바이스 구성을 수행합니다. 디바이스 시작 가이드를 참조하십시오.

  • 네트워크에서 최소 하나의 TACACS+ 서버를 설정합니다.

개요

이 예에서는 IP 주소가 172.16.98.1인 새로운 TACACS+ 서버를 추가합니다. TACACS+ 서버의 공유 암호는 Tacacssecret1로 지정합니다. 디바이스는 구성 데이터베이스에 암호화된 값으로 비밀을 저장합니다. 마지막으로, 디바이스가 TACACS+ 서버 요청에서 사용하는 소스 주소를 지정합니다. 대부분의 경우 디바이스의 루프백 주소를 사용할 수 있습니다. 이 예에서는 10.0.0.1입니다.

로컬 암호 인증, TACACS+, RADIUS 등과 같은 여러 사용자 인증 방법에 대한 지원을 네트워크 디바이스에서 구성할 수 있습니다. 여러 인증 방법을 구성할 때 장비가 다른 방법을 시도하는 순서에 우선 순위를 지정할 수 있습니다. 이 예에서는 먼저 TACACS+ 인증 서비스를 사용하도록 디바이스를 구성하고, 장애가 발생하면 로컬 암호 인증을 시도합니다.

TACACS+인증된 사용자는 인증을 결정하는 네트워크 디바이스의 로컬 사용자 계정 또는 로컬 사용자 템플릿 계정에 매핑해야 합니다. 기본적으로 TACACS+인증된 사용자가 로컬 사용자 계정이나 특정 사용자 템플릿에 매핑되지 않는 경우 사용자는 구성된 경우 사용자 템플릿에 remote 할당됩니다. 이 예에서는 사용자 템플릿을 remote 구성합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 맞게 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드로 입력 commit 합니다.

단계별 절차

시스템 인증을 위해 TACACS+ 서버를 구성하려면 다음을 수행합니다.

  1. 새로운 TACACS+ 서버를 추가하고 IP 주소를 설정합니다.

  2. TACACS+ 서버의 공유 암호(암호)를 지정합니다.

  3. 디바이스의 루프백 주소를 소스 주소로 지정합니다.

  4. 장비의 인증 순서를 지정하고 옵션을 포함합니다 tacplus .

  5. remote 사용자 템플릿과 로그인 클래스를 구성합니다.
결과

구성 모드에서 명령을 입력하여 구성을 show system 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

다음 출력에는 이 예제와 관련된 구성 계층의 부분만 포함됩니다.

디바이스를 구성한 후 구성 모드로 입력 commit 합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

TACACS+ 서버 구성 확인

목적

TACACS+ 서버가 사용자를 인증했는지 확인합니다.

실행

네트워크 디바이스에 로그인하여 로그인에 성공했는지 확인합니다. 장치가 인증을 위해 TACACS+ 서버를 사용하는지 확인하려면 구성에서 로컬 인증 암호를 정의하지 않는 계정으로 로그인을 시도할 수 있습니다.

주니퍼 네트웍스 벤더별 TACACS+ 속성

Junos OS TACACS+ 서버에서 주니퍼 네트웍스 TACACS+ VSA(Vendor-Specific Attributes) 구성을 지원합니다. 표 1 주니퍼 네트웍스 VSA를 나열합니다.

일부 속성은 POSIX 1003.2에 정의된 확장 정규 표현식을 수용합니다. 일반 표현식에 공백, 연산자 또는 와일드카드 문자가 있는 경우 견적 표시로 동봉합니다. 자세한 내용은 다음을 참조하십시오.

표 1: 주니퍼 네트웍스 벤더별 TACACS+ 속성

이름

설명

길이

문자열

local-user-name

사용자가 장비에 로그인할 때 이 사용자에게 할당된 사용자 템플릿의 이름을 나타낸다.

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

allow-commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령어 외에도 사용자가 명령을 실행할 수 있도록 하는 확장된 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

allow-commands-regexps

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령어 외에도 사용자가 명령을 실행할 수 있도록 하는 확장된 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

allow-configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령문 외에도 사용자가 구성 명령문을 보고 수정할 수 있도록 하는 확장된 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

allow-configuration-regexps

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령문 외에도 사용자가 구성 명령문을 보고 수정할 수 있도록 하는 확장된 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

deny-commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

deny-commands-regexps

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

deny-configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 명령문을 보거나 수정하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

deny-configuration-regexps

사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 명령문을 보거나 수정하는 사용자 권한을 거부하는 확장 정규 표현식을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

user-permissions

서버가 사용자 권한을 지정하는 데 사용하는 정보를 포함합니다.

주:

TACACS+ 서버가 사용자에게 권한 또는 all 권한을 부여하는 maintenance 속성을 정의 user-permissions 하면 사용자의 그룹 멤버쉽 목록에 UNIX 휠 그룹이 자동으로 포함되지 않습니다. 로컬 셸에서 명령을 실행하는 su root 것과 같은 일부 작업에는 휠 그룹 멤버쉽 사용 권한이 필요합니다. 그러나 네트워크 장치가 권한을 maintenance 가진 로컬 사용자 계정을 정의하거나 allUNIX 휠 그룹에 대한 멤버쉽이 자동으로 부여됩니다. 따라서 필요한 권한을 가진 사용자 템플릿 계정을 만들고 개별 사용자 계정을 사용자 템플릿 계정과 연결하는 것이 좋습니다.

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

를 참조하십시오 액세스 권한 수준 개요.

authentication-type

사용자 인증에 사용되는 인증 방법(로컬 데이터베이스 또는 TACACS+ 서버)을 나타낸다. 로컬 데이터베이스를 사용하여 사용자가 인증을 받으면 속성 값이 '로컬'을 표시합니다. 사용자가 TACACS+ 서버를 사용하여 인증을 받으면 속성 값이 '원격'을 표시합니다.

≥5

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥텟.

session-port

설정된 세션의 소스 포트 번호를 나타낸다.

정수 크기

정수

RADIUS 또는 TACACS+ 서버의 정규 표현식을 사용하여 명령 허용 또는 거부

Junos OS RADIUS 및 TACACS+인증 사용자를 사용자의 액세스 권한을 정의하는 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑할 수 있습니다. 또한 각 인증 서버에서 주니퍼 네트웍스 RADIUS 및 TACACS+ 벤더별 속성(VSA)을 정의하여 사용자 액세스 권한을 선택적으로 구성할 수 있습니다.

사용자의 로그인 클래스는 사용자가 실행하도록 승인된 운영 모드 및 구성 모드 명령과 사용자가 보고 수정할 수 있는 구성 영역을 결정하는 권한 집합을 정의합니다. 로그인 클래스는 사용자가 특정 명령을 실행하거나 권한 플래그가 승인한 것 외에도 구성의 특정 영역을 보고 수정할 수 있는 기능을 허용하거나 거부하는 정규 표현식을 정의할 수도 있습니다. 로그인 클래스에는 사용자 인증을 정의하기 위한 다음과 같은 명령문이 포함될 수 있습니다.

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

마찬가지로, RADIUS 또는 TACACS+ 서버 구성은 주니퍼 네트웍스 VSA를 사용하여 사용자의 액세스 권한을 결정하는 특정 권한 또는 정규 표현식을 정의할 수 있습니다. 지원되는 RADIUS 및 TACACS+ VSA 목록은 다음을 참조하십시오.

RADIUS 또는 TACACS+ 서버에 대한 사용자 권한을 공간 분리 값 목록으로 정의할 수 있습니다.

  • RADIUS 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어,

  • TACACS+ 서버는 다음과 같은 속성 및 구문을 사용합니다.

    예를 들어,

RADIUS 또는 TACACS+ 서버는 또한 단일 확장 정규 표현식(POSIX 1003.2에서 정의한)을 사용하는 주니퍼 네트웍스 VSA를 정의하여 사용자가 특정 명령을 실행하거나 구성 영역을 보고 수정할 수 있는 기능을 허용하거나 거부할 수 있습니다. 여러 명령 또는 구성 계층을 괄호 안에 동봉하고 파이프 기호를 사용하여 분리합니다. 일반 표현식에 공백, 연산자 또는 와일드카드 문자가 있는 경우 견적 표시로 동봉합니다. 로컬 및 원격으로 인증 매개변수를 구성할 때, 장비는 TACACS+ 또는 RADIUS 인증 중에 수신되는 정규 표현식을 로컬 디바이스에 정의된 정규 표현식과 병합합니다.

  • RADIUS 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어,

  • TACACS+ 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어,

또한 RADIUS 및 TACACS+ 서버는 로컬 디바이스에서 구성할 수 있는 것과 동일한 *-regexps 명령문에 해당하는 속성 구성을 지원합니다. TACACS+ 속성 및 RADIUS 속성은 *-regexps 이전 속성과 *-Regexps 동일한 정규 표현식 구문을 사용하지만 변수를 사용하여 정규 표현식을 구성할 수 있습니다.

  • RADIUS 서버는 다음과 같은 속성과 구문을 사용합니다.

  • TACACS+ 서버는 다음과 같은 속성과 구문을 사용합니다.

    예를 들어, TACACS+ 서버 구성은 다음과 같은 속성을 정의할 수 있습니다.

RADIUS 또는 TACACS+ 서버에서 개별 라인에서 각 개별 표현식을 지정하는 간소화된 구문을 사용하여 속성을 정의할 수도 있습니다.

RADIUS 서버의 경우 다음 구문을 사용하여 개별 정규 표현식을 지정합니다.

TACACS+ 서버의 경우 다음 구문을 사용하여 개별 정규 표현식을 지정합니다.

주:
  • TACACS+ 서버 구문에서 숫자 값 1 ~ n 은 고유해야 하지만 순차적일 필요는 없습니다. 예를 들어, 다음 구문이 유효합니다.

  • RADIUS 또는 TACACS+ 서버는 개별 정규 표현식 라인의 수에 제한을 가합니다.

  • 명령을 실행 show cli authorization 하면 개별 라인에서 각 개별 표현식을 지정한 경우에도 명령 출력이 단일 줄에 정규 표현식을 표시합니다.

사용자는 운영 모드 명령을 실행하여 클래스, 권한, 명령 및 구성 인증을 검증할 show cli authorization 수 있습니다.

주:

네트워크 디바이스에서 로컬로 그리고 RADIUS 또는 TACACS+ 서버에서 원격으로 인증 매개변수를 구성할 때, 장비는 TACACS+ 또는 RADIUS 인증 중에 수신되는 정규 표현식을 로컬에서 구성된 정규 표현식과 병합합니다. 최종 표현식에 구문 오류가 포함되어 있으면 전체 결과가 잘못된 정규 표현식이 됩니다.

TACACS+ 시스템 회계 구성

장비에서 TACACS+ 어카운팅을 구성하여 LAN 또는 LAN으로 로그인하는 사용자에 대한 통계 데이터를 수집하고 데이터를 TACACS+ 어카운팅 서버로 전송할 수 있습니다. 이 통계 데이터는 일반적인 네트워크 모니터링, 사용 패턴을 분석 및 추적하거나 액세스한 세션 또는 서비스 유형에 따라 사용자에게 과금을 청구하는 데 사용할 수 있습니다.

TACACS+ 어카운팅을 구성하려면 다음을 지정하십시오.

  • 장비에서 통계 데이터를 수신하기 위한 1개 이상의 TACACS+ 회계 서버

  • 수집할 회계 데이터 유형

TACACS+ 회계 및 인증 모두에 동일한 서버를 사용하거나 별도의 서버를 사용할 수 있습니다. TACACS+ 회계 서버 목록을 지정할 수 있습니다. 이 장치는 구성된 순서대로 서버를 쿼리합니다. 기본 서버(처음 구성된 서버)를 사용할 수 없는 경우, 장비는 응답을 받을 때까지 목록의 각 서버에 연락하려고 시도합니다.

TACACS+ 어카운팅을 활성화하면 TACACS+ 클라이언트 역할을 하는 주니퍼 네트웍스 디바이스가 소프트웨어 로그인, 구성 변경 및 대화형 명령과 같은 사용자 활동에 대해 TACACS+ 서버에 알릴 수 있습니다.

TACACS+ 서버 어카운팅 구성

TACACS+ 서버 어카운팅을 구성하려면 다음을 수행합니다.

  1. 감사를 위해 이벤트를 구성합니다.

    예를 들어,

    events 다음 중 하나 이상을 포함할 수 있습니다.

    • login—감사 로그인

    • change-log—구성 변경 감사

    • interactive-commands—양방향 명령어 감사(모든 명령행 입력)

  2. TACACS+ 회계를 활성화합니다.
  3. 하나 이상의 TACACS+ 어카운팅 서버에 대한 주소를 구성합니다.

    예를 들어,

    주:

    계층 수준에서 TACACS+ 서버를 [edit system accounting destination tacplus] 구성하지 않으면 장비가 계층 수준에서 구성된 [edit system tacplus-server] TACACS+ 서버를 사용합니다.

  4. (선택사항) TACACS+ 어카운팅 요청에 대한 소스 주소를 구성합니다.

    예를 들어,

    소스 주소는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 주소 또는 IPv6 주소입니다. 네트워크 디바이스에 TACACS+ 서버에 연결할 수 있는 여러 인터페이스가 있는 경우, 해당 장비가 TACACS+ 서버와의 모든 통신에 사용할 수 있는 IP 주소를 할당합니다. 이를 통해 로컬에서 생성된 IP 패킷의 소스 주소로 고정 주소를 설정합니다.

  5. 네트워크 디바이스가 TACACS+ 어카운팅 서버에서 인증하기 위해 사용하는 공유 암호 구성

    구성된 암호는 TACACS+ 서버에서 구성된 암호와 일치해야 합니다. 암호에 공백이 있는 경우 견적 표시에 동봉합니다. 디바이스는 암호를 구성 데이터베이스에 암호화된 값으로 저장합니다.

    예를 들어,

  6. (선택사항) 필요한 경우, 기본값과 다른 경우 어카운팅 패킷을 보낼 TACACS+ 어카운팅 서버 포트를 지정합니다(49).
  7. (선택사항) TACACS+ 어카운팅 서버로부터 응답을 받기 위해 장비가 대기하는 시간을 구성합니다.

    기본적으로 디바이스는 3초 정도 기다려야 합니다. 1초에서 90초까지 값을 구성할 timeout 수 있습니다.

    예를 들어, 서버에서 응답하는 데 15초가 기다려야 합니다.

  8. (선택사항) 각 연결 시도에 대해 별도의 연결을 열지 않고 여러 요청에 대해 하나의 개방형 TCP 연결을 서버로 유지하도록 디바이스를 구성합니다.
    주:

    TACACS+ 서버의 초기 버전은 이 single-connection 옵션을 지원하지 않습니다. 이 옵션을 지정하고 서버가 이를 지원하지 않으면 해당 장치가 해당 TACACS+ 서버와 통신할 수 없습니다.

  9. (선택사항) 기본 라우팅 인스턴스 대신 비 기본 관리 인스턴스 또는 다른 라우팅 인스턴스를 통해 TACACS+ 어카운팅 패킷을 라우팅하려면 명령문을 구성 routing-instance 하고 라우팅 인스턴스를 지정합니다.
    예를 들어,
  10. 로그인 이벤트 시작 및 중지 요청이 TACACS+ 서버 어카운팅 로그 파일에서 올바르게 로깅되도록 하기 위해, 관리 로그 파일 대신에 명령문 또는 exclude-cmd-attribute 명령문(hierarchy 수준)을 [edit system tacplus-options] 포함합니다no-cmd-attribute-value.
    주:

    두 명령문 모두 관리 파일 대신 회계 파일에서 회계 요청의 올바른 로깅을 지원합니다. 명령문을 no-cmd-attribute-value 구성하면 속성 값 cmd 이 시작 시 널 문자열로 설정되고 요청이 중단됩니다. 명령문을 exclude-cmd-attributecmd 구성하면 속성은 처음부터 완전히 제외되고 요청은 중단됩니다.

출시 내역 표
릴리스
설명
18.2R1
Junos OS Release 18.2R1부터 인증에서 구성한 모든 라우팅 인스턴스를 통해 TACACS+ 트래픽을 라우팅할 수 있습니다.
17.4R1
Junos OS Release 17.4R1부터 기존 TACACS+ 동작은 mgmt_junos 명명된 비 기본 VRF 인스턴스의 관리 인터페이스를 통해 TACACS+ 패킷 라우팅을 지원하도록 향상되었습니다.