Asignación de comandos AAA de OpenConfig a la operación de Junos

Nota:

Consulte el tema Versión del modelo de datos de OpenConfig para comprender la versión compatible con los modelos de datos y su versión de Junos OS para las series ACX, EX, MX, PTX y QFX de Juniper Networks.

En las siguientes tablas se muestra la asignación de configuraciones AAA de OpenConfig con la configuración relevante en Junos OS.

Tabla 1: Configuración AAA global
Tabla 2: Configuración del servidor RADIUS
Tabla 3: Configuración de eventos contables
Tabla 4: Configuración del método contable
Tabla 5: Configuración de roles de autorización
Tabla 6: Configuración de permisos de autorización: Configuración de permisos de autorización
Tabla 7: Configuración de permisos de autorización
Tabla 8: Políticas de autorización y configuración request-regex
Cuadro 9 Cuadro 9: Configuración del servidor TACACS
Tabla 10: Configuración de administrador y usuario AAA

Tabla 1: Configuración AAA global
Nombre del comando	Ruta de comando OpenConfig	Configuración de Junos
	Prefijo de ruta de comando: `/system/aaa`
Nombre de configuración	`/server-groups/server-group/config/name`	No compatible Nota: No existe una configuración equivalente en Junos OS para esta ruta. El nombre del grupo de servidores configurado se utiliza en la configuración de atributos RADIUS/TACACS.
Dirección-configuración del servidor	`/server-groups/server-group/servers/server/config/address`	No compatible Nota: No existe una configuración equivalente en Junos OS para esta ruta. La dirección del servidor configurada se utiliza en la configuración de atributos RADIUS/TACACS.
nombre-configuración del servidor	`/server-groups/server-group/servers/server/config/name`	No compatible Nota: No existe una configuración equivalente en Junos OS para esta ruta. Puede configurar un nombre de servidor para identificar el servidor.
Tiempo de espera de configuración	`/server-groups/server-group/servers/server/config/timeout`	No compatible Nota: No existe una configuración equivalente en Junos OS para esta ruta. Sin embargo, el tiempo de espera configurado se deriva del `timeout` parámetro en Junos OS `edit radius-server` o `edit tacplus-server` en el nivel de jerarquía.

Tabla 2: Configuración del servidor RADIUS
Nombre del comando	Ruta de comando OpenConfig	Configuración de Junos
	Prefijo de ruta de comando: `/system/aaa`
Puerto de autenticación	`/server-groups/server-group/servers/server/radius/config/auth-port`	`set system radius-server address port port` Nota: El `address` valor se deriva del valor configurado después `server`de . El `port` valor es el mismo que `auth-port.`
Intentos de retransmisión	`/server-groups/server-group/servers/server/radius/config/retransmit-attempts`	`set system radius-server address retryretry` Nota: El `address` valor se deriva del valor configurado después `server`de . El `retry` valor es el mismo que el especificado para `retransmit-attempts`.
Clave secreta	`/server-groups/server-group/servers/server/radius/config/secret-key`	`set system radius-server address secret secret` Nota: El `address` valor se deriva del valor configurado después `server`de . El `secret` valor es el mismo que el especificado para `secret-key`.
Dirección de origen	`/server-groups/server-group/servers/server/radius/config/source-address`	`set system radius-server address source-address source-address` Nota: El `address` valor se deriva del valor configurado después `server.` de El `source-address` valor es el mismo que el especificado para `source-address`.

Tabla 3: Configuración de eventos contables
Nombre del comando	Configuración de OpenConfig	Configuración de Junos
Evento	openconfig-system:system { aaa { accounting { events { event <event-type>{ config { event-type <value> } } } } } }	system { accounting { events [ … ]; } }
La configuración de OpenConfig tiene dos valores para para `event-type`: AAA_ACCOUNTING_EVENT que se asigna al tipo de evento Junos OS `interactive-commands` AAA_ACCOUNTING_EVENT_LOGIN qué asignaciones a Junos OS incluso escriben `login`

Tabla 4: Configuración del método contable
Nombre del comando	Configuración de OpenConfig	Configuración de Junos
Método contable	openconfig-system:system { aaa { accounting { config { accounting-method [ … ]; } } } }	system { accounting { destination { radius / tacplus { server { <name> secret <>; <name> secret <>; } } } } }
Los valores de OpenConfig para `accounting-method` son `TACACS_ALL`, `RADIUS_ALL`, abd `LOCAL`. La configuración de OpenConfig `accounting-method` en combinación con la `server-groups` configuración genera la jerarquía `/system/accounting/destination`de Junos.

Tabla 5: Configuración de roles de autorización
Nombre del comando	Configuración de OpenConfig	Configuración de Junos
Papeles	openconfig-system:system { aaa { authorization { roles { role <rolename> { ……… ………. } } } } }	system { login { class <name> { ….. ….. } } }
La asignación definida por el usuario de `role` OpenConfig al parámetro Junos `login classes` .

Tabla 6: Configuración de permisos de autorización
Nombre del comando	Configuración de OpenConfig	Configuración de Junos
Permisos	openconfig-system:system { aaa { authorization { roles { role <rolename> { permissions [ … ]; } }	system { login { class <name> { permissions [ … ]; } } }
OpenConfig definido por `permissions` el usuario es una lista de hojas y se asigna al parámetro de lista `permissions` de hojas de Junos. Los posibles valores de OpenConfig para `permissions` y sus valores correspondientes de Junos son: OpenConfig Junos ADMIN admin ADMIN CONTROL admin-control ALL all MAINTENANCE maintenance VIEW view VIEW_CONFIG view-configuration

Tabla 7: Configuración de permisos de autorización
Nombre del comando	Configuración de OpenConfig	Configuración de Junos
Permisos	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy PERMIT REQUEST_RPC { request-regex /gnmi.gNMI/Set; } } } } } } } }	system { login { class foo { allow-grpc-rpc-regexps /gnmi.gNMI/Set; } } }

Tabla 7: Configuración de permisos de autorización

Nombre del comando

Configuración de OpenConfig

Configuración de Junos

Permisos

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}

system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}

Tabla 8: Políticas de autorización y configuración request-regex
Nombre del comando	Configuración de OpenConfig	Configuración de Junos
Políticas	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy <action> <request-type> { request-regex [ … ]; } } } } } } }	system { login { class foo { deny-commands-regexps [ … ]; OR allow-commands-regexps [ … ]; OR deny-configuration-regexps [ … ]; OR allow-configuration-regexps [ … ]; OR deny-grpc-rpc-regexps [ … ]; OR allow-grpc-rpc-regexps [ … ]; } } }
La configuración de OpenConfig `policies` se traduce en diferentes parámetros de permitir y negar (*regexps). Posibles valores de OpenConfig para `action`, `request-type`y `request-regex` se traducen a los siguientes parámetros de configuración de Junos: action request-type OpenConfig request-regex translates to: PERMIT REQUEST_CONFIG allow-configuration-regexps DENY REQUEST_CONFIG deny-configuration-regexps PERMIT REQUEST_RPC allow-grpc-rpc-regexps DENY REQUEST_RPC deny-grpc-rpc-regexps PERMIT REQUEST_COMMAND allow-commands-regexps DENY REQUEST_COMMAND deny-commands-regexps
Ejemplo	openconfig-system:system { aaa { authorization { roles { role foo { config { rolename foo; policies { policy DENY REQUEST_COMMAND { request-regex [ "clear interfaces" "show interfaces" ]; } } } } } } } }	system { login { class foo { deny-commands-regexps [ "clear interfaces" "show interfaces" ]; } } }
Ejemplo	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy PERMIT REQUEST_RPC { request-regex /gnmi.gNMI/Set; } } } } } } } }	system { login { class foo { allow-grpc-rpc-regexps /gnmi.gNMI/Set; } } }

Tabla 9: Configuración del servidor TACACS
Nombre del comando	Ruta de comando OpenConfig	Configuración de Junos
	Prefijo de ruta de comando: `/system/aaa`
Config-Port	`/server-groups/server-group/servers/server/tacacs/config/port`	`set system tacplus-server address port port` Nota: El `address` valor se deriva del valor configurado después `server.` de El `port` valor es el mismo que el especificado para `port`.
Clave secreta	`/server-groups/server-group/servers/server/tacacs/config/secret-key`	`set system tacplus-server address secret secret` Nota: El `address` valor se deriva del valor configurado después `server`de . El `secret` valor es el mismo que el especificado para `secret-key`.
Dirección de origen	`/server-groups/server-group/servers/server/tacacs/config/source-address`	`set system tacplus-server address source-address source-address` Nota: El `address` valor se deriva del valor configurado después `server`de . El `source-address` valor es el mismo que el especificado para `source-address`.

Tabla 10: Configuración de administrador y usuario AAA
Nombre del comando	Ruta de comando OpenConfig	Configuración de Junos
	Prefijo de ruta de comando: `/system/aaa`
Admin-Password	`/authentication/admin-user/config/admin-password`	`set system root-authentication plain-text-password` Nota: El `plain-text-password-authentication` valor se deriva del valor configurado para `admin-password`.
Admin-Password-Hashed	`/authentication/admin-user/config/admin-password-hashed`	`set system root-authentication encrypted-password encrypted-password` Nota: El `encrypted-password` valor se deriva del valor configurado para `admin-password-hashed`.
Método de autenticación	`/authentication/config/authentication-method`	`set system authentication-order` Nota: El `authentication-order` valor se deriva del valor configurado para `authentication-method`.
Contraseña	`/authentication/users/user/config/password`	`set system login user user-name authentication plain-text-password plain-text-password` Nota: El `user-name` valor se deriva del valor configurado para `user`. El `plain-text-password` valor se deriva del valor configurado para `password`.
Hash de contraseña	`/authentication/users/user/config/password-hashed`	`set system login user user-name authentication encrypted-password encrypted-password` Nota: El `user-name` valor se deriva del valor configurado para `user`. El `encrypted-password` valor se deriva del valor configurado para `password-hashed`.
Papel	`/authentication/users/user/config/role`	`set system login user user-name class class` Nota: El `user-name` valor se deriva del valor configurado para `user`. El `class` valor se deriva del valor configurado para `role`.
Nombre de usuario	`/authentication/users/user/config/username`	No compatible Nota: No hay ninguna configuración equivalente en Junos OS.