Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Orden de autenticación para RADIUS TACACS+ y contraseña local

Junos OS Evolved admite diferentes métodos de autenticación, incluyendo la autenticación de contraseña local, RADIUS y TACACS+ para controlar el acceso a la red.

Cuando configure un dispositivo para que admita varios métodos de autenticación, puede priorizar el orden en el que el dispositivo intenta los distintos métodos. En este tema, se explica cómo funciona el orden de autenticación y cómo configurarlo en un dispositivo.

Descripción general del pedido de autenticación

Usted (el administrador de red) puede configurar la authentication-order instrucción para priorizar el orden en el que Junos OS Evolved intenta diferentes métodos de autenticación para comprobar el acceso del usuario a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, Junos OS Evolved verifica a los usuarios en función de sus contraseñas locales configuradas.

Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, Junos OS Evolved siempre intenta de forma predeterminada la autenticación de contraseña local como último recurso.

Si el pedido de autenticación incluye servidores RADIUS o TACACS+, pero los servidores rechazan la solicitud, la gestión de la solicitud es más complicada.

  • Si password (autenticación de contraseña local) se incluye al final del pedido de autenticación y los servidores de autenticación remoto rechazan la solicitud de autenticación, el dispositivo intenta la autenticación de contraseña local.

  • Si password (la autenticación de contraseña local) no se incluye en el orden de autenticación y los servidores de autenticación remotos rechazan la solicitud de autenticación, la solicitud termina con el rechazo.

    Nota:

    En Junos OS Evolved versión 20.4R1 y versiones anteriores, si los servidores de autenticación remota rechazan la solicitud, el dispositivo aún intenta la autenticación de contraseña local.

Por lo tanto, el dispositivo debe incluir password como opción de orden de autenticación final para que el dispositivo intente la autenticación de contraseña local en caso de que los servidores de autenticación remota rechacen la solicitud.

Si el orden de autenticación se establece en authentication-order password, el dispositivo solo usa la autenticación de contraseña local.

Uso de autenticación remota

Puede configurar Junos OS Evolucionado para que sea un cliente de autenticación RADIUS o TACACS+ (o ambos).

Si un método de autenticación incluido en la authentication-order instrucción no está disponible o si el método de autenticación está disponible pero el servidor de autenticación correspondiente devuelve una respuesta de rechazo, Junos OS Evolved intenta el siguiente método de autenticación incluido en la authentication-order instrucción.

Es posible que la autenticación del servidor RADIUS o TACACS+ falle por una o varias de las siguientes razones:

  • El método de autenticación está configurado, pero los servidores de autenticación correspondientes no están configurados. Por ejemplo, los métodos de autenticación RADIUS y TACACS+ se incluyen en la authentication-order instrucción, pero los servidores RADIUS o TACACS+ correspondientes no están configurados en los niveles respectivos [edit system radius-server] y [edit system tacplus-server] de jerarquía.

  • El servidor de autenticación no responde antes del valor de tiempo de espera configurado para ese servidor ni antes del tiempo de espera predeterminado, si no se configura ningún tiempo de espera.

  • El servidor de autenticación no es accesible debido a un problema de red.

El servidor de autenticación puede devolver una respuesta de rechazo por una o ambas de las siguientes razones:

  • El perfil de usuario de un usuario que accede a un enrutador o conmutador no está configurado en el servidor de autenticación.

  • El usuario introduce credenciales de inicio de sesión incorrectas.

Cómo usar la autenticación de contraseña local

Puede configurar explícitamente el método de password autenticación en la authentication-order instrucción o usar este método como mecanismo de reserva cuando fallan los servidores de autenticación remota. El password método de autenticación consulta los perfiles de usuario locales configurados en el [edit system login] nivel jerárquico. Los usuarios pueden iniciar sesión en un enrutador o cambiar con su nombre de usuario y contraseña locales en las siguientes situaciones:

  • El método de autenticación de contraseña (password) está configurado explícitamente como uno de los métodos de autenticación de la authentication-order instrucción.

    En este caso, el dispositivo intenta la autenticación de contraseña local si ningún método de autenticación anterior acepta las credenciales de inicio de sesión. Esto es cierto si los métodos de autenticación anteriores no responden o devuelven una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.

  • El método de autenticación de contraseña no está configurado explícitamente como uno de los métodos de autenticación de la authentication-order instrucción.

    En este caso, el sistema operativo solo intenta la autenticación de contraseña local si todos los métodos de autenticación configurados no responden. El sistema operativo no usa la autenticación de contraseña local si algún método de autenticación configurado devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.

    Nota:

    En junos OS Evolved versión 20.4R1 y versiones anteriores, Junos OS Evolved sigue intentando la autenticación de contraseña local, ya sea que los otros métodos de autenticación devuelvan una respuesta de rechazo o no respondan.

Orden de intentos de autenticación

En la tabla 1 se describe cómo la authentication-order instrucción en el [edit system] nivel de jerarquía determina el procedimiento que Junos OS usa para autenticar a los usuarios para el acceso a un dispositivo.

Tabla 1: Orden de los intentos de autenticación

Sintaxis

Orden de intentos de autenticación

authentication-order radius;

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si un servidor RADIUS está disponible y se acepta la autenticación, conceda acceso.

  3. Si un servidor RADIUS está disponible pero la autenticación se rechaza, deniega el acceso.

    Nota:

    En Junos OS Evolved versión 20.4R1 y versiones anteriores, si un servidor RADIUS está disponible pero la autenticación se rechaza, pruebe la autenticación de contraseña local.

  4. Si no hay servidores RADIUS disponibles, pruebe la autenticación de contraseña local.

authentication-order [ radius password ];

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si un servidor RADIUS está disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.

authentication-order [ radius tacplus ];

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si un servidor RADIUS está disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe con los servidores TACACS+ configurados.

  4. Si un servidor TACACS+ está disponible y se acepta la autenticación, conceda acceso.

  5. Si un servidor TACACS+ está disponible pero la autenticación se rechaza, deniega el acceso.

    Nota:

    En Junos OS Evolved versión 20.4R1 y versiones anteriores, si un servidor TACACS+ está disponible pero la autenticación se rechaza, pruebe la autenticación de contraseña local.

authentication-order [ radius tacplus password ];

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si un servidor RADIUS está disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe con los servidores TACACS+ configurados.

  4. Si un servidor TACACS+ está disponible y se acepta la autenticación, conceda acceso.

  5. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.

authentication-order tacplus;

  1. Pruebe los servidores de autenticación TACACS+ configurados.

  2. Si un servidor TACACS+ está disponible y se acepta la autenticación, conceda acceso.

  3. Si un servidor TACACS+ está disponible pero la autenticación se rechaza, deniega el acceso.

    Nota:

    En Junos OS Evolved versión 20.4R1 y versiones anteriores, si un servidor TACACS+ está disponible pero la autenticación se rechaza, pruebe la autenticación de contraseña local.

  4. Si no hay servidores TACACS+ disponibles, pruebe la autenticación de contraseña local.

authentication-order [ tacplus password ];

  1. Pruebe los servidores de autenticación TACACS+ configurados.

  2. Si un servidor TACACS+ está disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.

authentication-order [ tacplus radius ];

  1. Pruebe los servidores de autenticación TACACS+ configurados.

  2. Si un servidor TACACS+ está disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe los servidores RADIUS configurados.

  4. Si un servidor RADIUS está disponible y se acepta la autenticación, conceda acceso.

  5. Si un servidor RADIUS está disponible pero la autenticación se rechaza, deniega el acceso.

    Nota:

    En Junos OS Evolved versión 20.4R1 y versiones anteriores, si un servidor RADIUS está disponible pero la autenticación se rechaza, pruebe la autenticación de contraseña local.

  6. Si no hay servidores TACACS+ o RADIUS disponibles, pruebe la autenticación de contraseña local.

authentication-order password;

  1. Intente autenticar al usuario mediante la contraseña configurada en el [edit system login] nivel jerárquico.

  2. Si se acepta la autenticación, conceda acceso.

  3. Si la autenticación se rechaza, deniegue el acceso.

Nota:

Si se configuran claves públicas SSH, la autenticación de usuario SSH primero intenta realizar la autenticación de clave pública antes de usar los métodos de autenticación configurados en la authentication-order instrucción. Si desea que los inicios de sesión SSH usen los métodos de autenticación configurados en la authentication-order instrucción sin intentar primero realizar la autenticación de clave pública, no configure las claves públicas SSH.

Configure la orden de autenticación para RADIUS, TACACS+ y autenticación de contraseña local

Con la authentication-order instrucción, puede priorizar el orden en el que Junos OS Evolved intenta los diferentes métodos de autenticación al verificar el acceso del usuario a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, los usuarios se verifican según sus contraseñas configuradas localmente.

Cuando configura una contraseña con texto sin formato y confía en Junos OS Evolved para cifrarla, aún envía la contraseña a través de Internet en texto sin formato. El uso de contraseñas pre cifradas es más seguro, ya que significa que el texto sin formato de la contraseña nunca tiene que enviarse a través de Internet. Además, con contraseñas, solo se puede asignar un usuario a una contraseña a la vez.

Por otro lado, RADIUS y TACACS+ cifran contraseñas. Estos métodos de autenticación le permiten asignar un conjunto de usuarios a la vez en lugar de asignar usuarios uno por uno. Sin embargo, estos sistemas de autenticación difieren:

  • RADIUS usa UDP; TACACS+ usa TCP.

  • RADIUS cifra solo la contraseña durante la transmisión, mientras que TACACS+ cifra toda la sesión.

  • RADIUS combina autenticación (dispositivo) y autorización (usuario), mientras que TACACS+ separa la autenticación, la autorización y la responsabilidad.

En resumen, TACACS+ es más seguro que RADIUS. Sin embargo, RADIUS tiene un mejor rendimiento y es más interoperable. RADIUS es ampliamente compatible, mientras que TACACS+ es un producto patentado de Cisco y no es ampliamente compatible fuera de Cisco.

Puede configurar el pedido de autenticación según su sistema, sus restricciones y su política de TI y preferencias operativas.

Para configurar el orden de autenticación, incluya la authentication-order instrucción en el [edit system] nivel de jerarquía.

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección resumen de instrucción de esta instrucción.

Las siguientes son las posibles opciones de entrada de pedido de autenticación:

  • radius— Compruebe que el usuario utiliza los servidores de autenticación RADIUS.

  • tacplus—Compruebe que el usuario utiliza los servidores de autenticación TACACS+.

  • password— Compruebe que el usuario utiliza el nombre de usuario y la contraseña configurados localmente en la instrucción de autenticación en el [edit system login user] nivel jerárquico.

La secuencia de autenticación del Protocolo de autenticación de apretón de manos de desafío (CHAP) no puede tardar más de 30 segundos. Si la autenticación de un cliente tarda más de 30 segundos, se abandona la autenticación y se inicia una nueva secuencia.

Por ejemplo, suponga que configura tres servidores RADIUS para que el enrutador o conmutador intente ponerse en contacto con cada servidor tres veces. Supongamos además que, con cada reintento, el tiempo de espera del servidor después de 3 segundos. En este caso, el tiempo máximo otorgado al método de autenticación RADIUS antes de que CHAP lo considere una falla es de 27 segundos. Si agrega más servidores RADIUS a esta configuración, es posible que no se contacte con ellos, ya que es posible que se abandone el proceso de autenticación antes de probar estos servidores.

Junos OS Evolucionado aplica un límite en la cantidad de solicitudes de servidor de autenticación permanente que la autenticación CHAP puede tener a la vez. Por lo tanto, un método de servidor de autenticación (RADIUS, por ejemplo) puede no autenticar un cliente cuando se supera este límite. Si se produce un error en la autenticación, el enrutador o el conmutador vuelven a activar la secuencia de autenticación hasta que la autenticación tenga éxito y se establezca el vínculo. Sin embargo, si los servidores RADIUS no están disponibles y otros métodos de autenticación como tacplus o password también están configurados, se prueba el siguiente método de autenticación.

En el siguiente ejemplo, se muestra cómo configurar radius y password autenticar:

En el ejemplo siguiente se muestra cómo insertar la tacplus instrucción después de la radius instrucción:

En el ejemplo siguiente se muestra cómo eliminar la radius instrucción del orden de autenticación:

Ejemplo: Configurar orden de autenticación

En este ejemplo, se muestra cómo configurar el orden de autenticación para el inicio de sesión del usuario.

Requisitos

Antes de comenzar, realice la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.

Visión general

Puede configurar el orden de métodos de autenticación que un dispositivo usa para comprobar el acceso del usuario al dispositivo. Para cada intento de inicio de sesión, el dispositivo intenta los métodos de autenticación en el orden configurado, hasta que la contraseña coincida o todos los métodos de autenticación hayan sido probados. Si no configura la autenticación remota, los usuarios se verifican según sus contraseñas locales configuradas.

En este ejemplo, se configura el dispositivo para intentar la autenticación de usuario con los servicios de autenticación RADIUS primero, luego con los servicios de autenticación TACACS+ y, por último, con la autenticación de contraseña local.

Cuando utilice autenticación de contraseña local, debe crear una cuenta de usuario local para cada usuario que desee acceder al sistema. Sin embargo, cuando se utilizan servidores de autenticación remotos, puede crear cuentas de plantilla (con fines de autorización) que un conjunto de usuarios comparta. Cuando se asigna un usuario a una cuenta de plantilla, el nombre de usuario de la interfaz de línea de comandos (CLI) es el nombre de inicio de sesión; sin embargo, el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de la plantilla.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit en el modo de configuración.

Procedimiento paso a paso

Para configurar el orden de autenticación:

  1. Elimine cualquier instrucción existente authentication-order .

  2. Agregue la autenticación RADIUS al orden de autenticación.

  3. Agregue la autenticación TACACS+ al orden de autenticación.

  4. Agregue la autenticación de contraseña local al orden de autenticación.

Resultados

En el modo de configuración, ingrese el comando para confirmar la show system authentication-order configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Nota:

Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y crear cuentas de usuario o cuentas de plantilla de usuario.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la configuración del pedido de autenticación

Propósito

Compruebe que el dispositivo usa los métodos de autenticación en el orden configurado.

Acción

Cree un usuario de prueba que tenga una contraseña diferente para cada método de autenticación. Inicie sesión en el dispositivo con las diferentes contraseñas. Compruebe que el dispositivo consulta métodos de autenticación posteriores cuando los métodos anteriores rechacen la contraseña o no respondan.

Alternativamente, en un entorno de prueba, puede desactivar la configuración del servidor de autenticación o la configuración de la cuenta de usuario local (o ambas) para probar cada método de autenticación. Por ejemplo, para probar el servidor TACACS+, puede desactivar la configuración del servidor RADIUS y la cuenta local del usuario. Sin embargo, si desactiva la cuenta local del usuario, debe asegurarse de que el usuario sigue asignando a una cuenta de plantilla de usuario local, como la plantilla de remote usuario.

Tabla de historial de versiones
Lanzamiento
Descripción
20.4R1
A partir de Junos OS Evolved versión 20.4R2 y 21.1R1, el comportamiento de autenticación de contraseñas se actualiza para que coincida con el comportamiento de autenticación de contraseña de Junos OS: si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, Junos OS Evolved siempre intenta de forma predeterminada la autenticación de contraseña local como último recurso.