EN ESTA PÁGINA

Descripción general del orden de autenticación
Configurar el orden de autenticación para RADIUS, TACACS+ y autenticación de contraseña local
Ejemplo: configurar orden de autenticación

Orden de autenticación para RADIUS TACACS+ y contraseña local

Junos OS Evolved admite diferentes métodos de autenticación, incluida la autenticación de contraseña local, RADIUS y TACACS+ para controlar el acceso a la red.

Cuando configure un dispositivo para que admita varios métodos de autenticación, puede priorizar el orden en que el dispositivo prueba los distintos métodos. En este tema se explica cómo funciona el orden de autenticación y cómo configurarlo en un dispositivo.

Descripción general del orden de autenticación

Usted (el administrador de red) puede configurar la authentication-order instrucción para priorizar el orden en que Junos OS Evolved prueba diferentes métodos de autenticación para verificar el acceso de los usuarios a un enrutador o conmutador. Si no establece un orden de autenticación, Junos OS Evolved verifica a los usuarios en función de sus contraseñas locales configuradas.

Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, Junos OS Evolved siempre intenta de forma predeterminada la autenticación de contraseña local como último recurso.

Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores rechazan la solicitud, el manejo de la solicitud es más complicado.

Si password se incluye (autenticación de contraseña local) al final del orden de autenticación y los servidores de autenticación remota rechazan la solicitud de autenticación, el dispositivo intenta la autenticación de contraseña local.
Si password (autenticación de contraseña local) no se incluye en el orden de autenticación y los servidores de autenticación remotos rechazan la solicitud de autenticación, la solicitud finaliza con el rechazo.

Nota:
En la versión 20.4R1 de Junos OS Evolved y versiones anteriores, si los servidores de autenticación remota rechazan la solicitud, el dispositivo seguirá intentando la autenticación de contraseña local.

Por lo tanto, el dispositivo debe incluir password como opción de orden de autenticación final para que el dispositivo intente la autenticación de contraseña local en caso de que los servidores de autenticación remotos rechacen la solicitud.

Si el orden de autenticación se establece en authentication-order password, el dispositivo solo utiliza la autenticación de contraseña local.

Uso de la autenticación remota
Cómo usar la autenticación de contraseña local
Orden de los intentos de autenticación

Uso de la autenticación remota

Puede configurar Junos OS evolucionado para que sea un cliente de autenticación RADIUS o TACACS+ (o ambos).

Si un método de autenticación incluido en la authentication-order instrucción no está disponible, o si el método de autenticación está disponible pero el servidor de autenticación correspondiente devuelve una respuesta de rechazo, Junos OS Evolved prueba el siguiente método de autenticación incluido en la authentication-order instrucción.

La autenticación del servidor RADIUS o TACACS+ puede fallar por uno o varios de los siguientes motivos:

El método de autenticación está configurado, pero no se configuran los servidores de autenticación correspondientes. Por ejemplo, los métodos de autenticación RADIUS y TACACS+ se incluyen en la authentication-order instrucción, pero los servidores RADIUS o TACACS+ correspondientes no están configurados en los niveles respectivos [edit system radius-server] y [edit system tacplus-server] jerárquicos.
El servidor de autenticación no responde antes del valor de tiempo de espera configurado para ese servidor, o antes del tiempo de espera predeterminado, si no se ha configurado ningún tiempo de espera.
No se puede acceder al servidor de autenticación debido a un problema de red.

El servidor de autenticación puede devolver una respuesta de rechazo por uno o ambos de los siguientes motivos:

El perfil de usuario de un usuario que accede a un enrutador o conmutador no está configurado en el servidor de autenticación.
El usuario escribe credenciales de inicio de sesión incorrectas.

Cómo usar la autenticación de contraseña local

Puede configurar explícitamente el método de password autenticación en la authentication-order instrucción o utilizar este método como mecanismo de reserva cuando se produce un error en los servidores de autenticación remotos. El password método de autenticación consulta los perfiles de usuario locales configurados en el nivel de [edit system login] jerarquía. Los usuarios pueden iniciar sesión en un enrutador o conmutador con su nombre de usuario y contraseña locales en los siguientes escenarios:

El método de autenticación de contraseña (password) se configura explícitamente como uno de los métodos de autenticación de la authentication-order instrucción.

En este caso, el dispositivo intenta la autenticación de contraseña local si ningún método de autenticación anterior acepta las credenciales de inicio de sesión. Esto es cierto si los métodos de autenticación anteriores no responden o si devuelven una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.
El método de autenticación de contraseña no está configurado explícitamente como uno de los métodos de autenticación de la authentication-order instrucción.

En este caso, el sistema operativo sólo intenta la autenticación de contraseña local si todos los métodos de autenticación configurados no responden. El sistema operativo no utiliza la autenticación de contraseña local si algún método de autenticación configurado devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.

Nota:
En Junos OS Evolved versión 20.4R1 y versiones anteriores, Junos OS Evolved sigue intentando la autenticación de contraseña local si los otros métodos de autenticación devuelven una respuesta de rechazo o no responden.

Orden de los intentos de autenticación

En la tabla 1 se describe cómo la authentication-order instrucción en el nivel jerárquico [edit system] determina el procedimiento que Junos OS utiliza para autenticar a los usuarios para el acceso a un dispositivo.

Tabla 1: Orden de los intentos de autenticación
Sintaxis	Orden de los intentos de autenticación
`authentication-order radius`;	Pruebe los servidores de autenticación RADIUS configurados. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso. Si hay un servidor RADIUS disponible pero se rechaza la autenticación, deniegue el acceso. Nota: En Junos OS Evolved versión 20.4R1 y versiones anteriores, si hay un servidor RADIUS disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña local. Si no hay servidores RADIUS disponibles, pruebe la autenticación de contraseña local.
`authentication-order [ radius password ]`;	Pruebe los servidores de autenticación RADIUS configurados. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.
`authentication-order [ radius tacplus ]`;	Pruebe los servidores de autenticación RADIUS configurados. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe con los servidores TACACS+ configurados. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso. Si hay un servidor TACACS+ disponible pero se rechaza la autenticación, deniegue el acceso. Nota: En Junos OS Evolved Release 20.4R1 y versiones anteriores, si hay un servidor TACACS+ disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña local.
`authentication-order [ radius tacplus password ]`;	Pruebe los servidores de autenticación RADIUS configurados. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe con los servidores TACACS+ configurados. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.
`authentication-order tacplus`;	Pruebe los servidores de autenticación TACACS+ configurados. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso. Si hay un servidor TACACS+ disponible pero se rechaza la autenticación, deniegue el acceso. Nota: En Junos OS Evolved Release 20.4R1 y versiones anteriores, si hay un servidor TACACS+ disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña local. Si no hay servidores TACACS+ disponibles, pruebe la autenticación de contraseña local.
`authentication-order [ tacplus password ]`;	Pruebe los servidores de autenticación TACACS+ configurados. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.
`authentication-order [ tacplus radius ]`;	Pruebe los servidores de autenticación TACACS+ configurados. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe los servidores RADIUS configurados. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso. Si hay un servidor RADIUS disponible pero se rechaza la autenticación, deniegue el acceso. Nota: En Junos OS Evolved versión 20.4R1 y versiones anteriores, si hay un servidor RADIUS disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña local. Si no hay servidores TACACS+ o RADIUS disponibles, pruebe la autenticación con contraseña local.
`authentication-order password`;	Intente autenticar al usuario utilizando la contraseña configurada en el nivel de `[edit system login]` jerarquía. Si se acepta la autenticación, conceda acceso. Si se rechaza la autenticación, deniegue el acceso.

Nota:

Si se configuran claves públicas SSH, la autenticación de usuario SSH primero intenta realizar la autenticación de clave pública antes de utilizar los métodos de autenticación configurados en la authentication-order instrucción. Si desea que los inicios de sesión SSH usen los métodos de autenticación configurados en la instrucción sin intentar primero realizar la authentication-order autenticación de clave pública, no configure las claves públicas SSH.

Configurar el orden de autenticación para RADIUS, TACACS+ y autenticación de contraseña local

Con la authentication-order instrucción, puede priorizar el orden en que Junos OS Evolved prueba los distintos métodos de autenticación al verificar el acceso de los usuarios a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, los usuarios se verifican en función de sus contraseñas configuradas localmente.

Al configurar una contraseña con texto sin formato y confiar en Junos OS Evolved para cifrarla, sigue enviando la contraseña a través de Internet en texto sin formato. El uso de contraseñas precifradas es más seguro porque significa que el texto sin formato de la contraseña nunca tiene que enviarse a través de Internet. Además, con las contraseñas, solo se puede asignar una contraseña a un usuario a la vez.

Por otro lado, RADIUS y TACACS+ cifran contraseñas. Estos métodos de autenticación le permiten asignar un conjunto de usuarios a la vez en lugar de asignar usuarios uno por uno. Pero así es como difieren estos sistemas de autenticación:

RADIUS utiliza UDP; TACACS+ utiliza TCP.
RADIUS cifra solo la contraseña durante la transmisión, mientras que TACACS+ cifra toda la sesión.
RADIUS combina autenticación (dispositivo) y autorización (usuario), mientras que TACACS+ separa autenticación, autorización y responsabilidad.

En resumen, TACACS+ es más seguro que RADIUS. Sin embargo, RADIUS tiene un mejor rendimiento y es más interoperable. RADIUS es ampliamente compatible, mientras que TACACS+ es un producto propietario de Cisco y no es ampliamente compatible fuera de Cisco.

Puede configurar el orden de autenticación en función del sistema, sus restricciones, su política de TI y sus preferencias operativas.

Para configurar el orden de autenticación, incluya la authentication-order instrucción en el nivel de [edit system] jerarquía.

Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.

Las siguientes son las posibles opciones de entrada de órdenes de autenticación:

radius: verifique el usuario mediante servidores de autenticación RADIUS.
tacplus: verifique el usuario mediante los servidores de autenticación TACACS+.
password: verifique el usuario utilizando el nombre de usuario y la contraseña configurados localmente en la instrucción de autenticación en el nivel de [edit system login user] jerarquía.

La secuencia de autenticación del Protocolo de autenticación por desafío mutuo (CHAP) no puede durar más de 30 segundos. Si se tarda más de 30 segundos en autenticar un cliente, la autenticación se abandona y se inicia una nueva secuencia.

Por ejemplo, suponga que configura tres servidores RADIUS para que el enrutador o conmutador intente ponerse en contacto con cada servidor tres veces. Suponga además que, con cada reintento, el servidor agota el tiempo de espera después de 3 segundos. En este escenario, el tiempo máximo asignado al método de autenticación RADIUS antes de que CHAP lo considere un error es de 27 segundos. Si agrega más servidores RADIUS a esta configuración, es posible que no se contacte con ellos porque es posible que se abandone el proceso de autenticación antes de probar estos servidores.

Junos OS Evolved impone un límite en el número de solicitudes de servidor de autenticación permanente que la autenticación CHAP puede tener a la vez. Por lo tanto, un método de servidor de autenticación (RADIUS, por ejemplo) podría no autenticar a un cliente cuando se supera este límite. Si se produce un error en la autenticación, el enrutador o conmutador vuelve a iniciar la secuencia de autenticación hasta que la autenticación se realice correctamente y se establezca el vínculo. Sin embargo, si los servidores RADIUS no están disponibles y se configuran métodos de autenticación adicionales, como tacplus o password también están configurados, se prueba el siguiente método de autenticación.

En el ejemplo siguiente se muestra cómo configurar radius y password autenticar:

En el ejemplo siguiente se muestra cómo insertar la instrucción después de tacplus la radius instrucción:

En el ejemplo siguiente se muestra cómo eliminar la radius instrucción del orden de autenticación:

Ejemplo: configurar orden de autenticación

En este ejemplo se muestra cómo configurar el orden de autenticación para el inicio de sesión del usuario.

Requisitos
Visión general
Configuración
Verificación

Requisitos

Antes de comenzar, realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.

Visión general

Puede configurar el orden de los métodos de autenticación que utiliza un dispositivo para comprobar el acceso de los usuarios al dispositivo. Para cada intento de inicio de sesión, el dispositivo prueba los métodos de autenticación en el orden configurado, hasta que la contraseña coincida o se hayan probado todos los métodos de autenticación. Si no configura la autenticación remota, los usuarios se verifican en función de sus contraseñas locales configuradas.

En este ejemplo se configura el dispositivo para intentar la autenticación de usuario primero con los servicios de autenticación RADIUS, luego con los servicios de autenticación TACACS+ y, por último, con la autenticación de contraseña local.

Cuando utilice la autenticación de contraseña local, debe crear una cuenta de usuario local para cada usuario que desee tener acceso al sistema. Sin embargo, cuando utiliza servidores de autenticación remota, puede crear cuentas de plantilla (con fines de autorización) que comparta un conjunto de usuarios. Cuando se asigna un usuario a una cuenta de plantilla, el nombre de usuario de la interfaz de línea de comandos (CLI) es el nombre de inicio de sesión; sin embargo, el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de plantilla.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Procedimiento paso a paso

Para configurar el orden de autenticación:

Elimine cualquier instrucción existente authentication-order .

Agregue autenticación RADIUS al orden de autenticación.

Agregue autenticación TACACS+ al orden de autenticación.

Agregue autenticación de contraseña local al orden de autenticación.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system authentication-order comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Nota:

Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y crear cuentas de usuario o cuentas de plantilla de usuario.

Configure un servidor RADIUS. Consulte Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema.
Configure un servidor TACACS+. Consulte Ejemplo: Configurar un servidor TACACS+ para la autenticación del sistema.
Configure un usuario. Consulte Ejemplo: Configurar nuevas cuentas de usuario.
Configure cuentas de plantilla. Consulte Ejemplo: Crear cuentas de plantilla.

Verificación

Confirme que la configuración funciona correctamente.

Comprobar la configuración del orden de autenticación

Propósito
Acción

Propósito

Compruebe que el dispositivo utiliza los métodos de autenticación en el orden configurado.

Acción

Cree un usuario de prueba que tenga una contraseña diferente para cada método de autenticación. Inicie sesión en el dispositivo con las diferentes contraseñas. Compruebe que el dispositivo consulta los métodos de autenticación posteriores cuando los métodos anteriores rechazan la contraseña o no responden.

Como alternativa, en un entorno de prueba, puede desactivar la configuración del servidor de autenticación o la configuración de la cuenta de usuario local (o ambas) para probar cada método de autenticación. Por ejemplo, para probar el servidor TACACS+, puede desactivar la configuración del servidor RADIUS y la cuenta local del usuario. Sin embargo, si desactiva la cuenta local del usuario, debe asegurarse de que el usuario sigue asignando a una cuenta de plantilla de usuario local, como la plantilla de remote usuario.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento

Descripción

20.4R1

A partir de Junos OS Evolved versión 20.4R2 y 21.1R1, el comportamiento de autenticación de contraseña se actualiza para que coincida con el comportamiento de autenticación de contraseña de Junos OS: Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, Junos OS Evolved siempre intenta de forma predeterminada la autenticación de contraseña local como último recurso.