Configuración de un servidor TACACS+ para autenticación y autorización
La plataforma de administración de red Junos Space admite la autenticación y autorización de usuarios desde uno o más servidores TACACS+. (También se admite una combinación de servidores TACACS+ y RADIUS). Si configura varios servidores, se probarán durante la autenticación en el orden indicado en la interfaz de usuario. Si no se puede acceder al primer servidor al que se accede o hay una discrepancia de secreto compartido, se intenta el siguiente. Para comprender el comportamiento del inicio de sesión con la autenticación remota habilitada, consulte el tema Comportamiento del inicio de sesión en Junos Space con la autenticación remota habilitada .
Antes de autenticar y autorizar a los usuarios a iniciar sesión en la plataforma Junos Space mediante el servidor TACACS+, debe asegurarse de que:
Puede crear y configurar el servidor de autenticación remota TACACS+ en la plataforma Junos Space (consulte Creación de un servidor de autenticación remota).
Puede crear los perfiles remotos necesarios para autorizar a los usuarios en la plataforma Junos Space (consulte Creación de un perfil remoto).
Puede crear cuentas de usuario mediante el área de trabajo Control de acceso basado en roles de la plataforma Junos Space si desea permitir la autenticación remota y la autorización local (consulte Creación de usuarios en la plataforma de administración de red de Junos Space).
Los datos de autorización en el servidor TACACS+ se almacenan como pares atributo-valor (AVP). El AVP contiene el nombre del perfil remoto. Por lo tanto, debe configurar los usuarios en el servidor TACACS+ con los AVP correspondientes a los perfiles remotos creados en el servidor de Junos Space para representar los roles del usuario.
Cuando la plataforma de administración de red de Junos Space consulta la autorización de usuario del servidor TACACS+, el servicio junosspace-exec del servidor TACACS+ devuelve el nombre de perfil remoto de ese usuario. La plataforma de administración de red de Junos Space determina el rol o roles del usuario a partir de esta respuesta.
Para asignar roles al usuario mediante el nombre de perfil remoto, puede configurar el AVP de perfiles de administración de red para el servicio junosspace-exec en el servidor TACACS+.
En el ejemplo siguiente se muestra cómo se puede agregar información de configuración al servidor TACACS+ para asignar un perfil remoto a un usuario:
user = guestuser
{
pap = cleartext "<password>"
service = junosspace-exec
{
network-management-profiles = guest_profile
}
}
Para obtener más información acerca de cómo configurar el AVP y asignar un perfil remoto de Junos Space a un usuario del servidor TACACS+, consulte la documentación del servidor TACACS+.