Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación RADIUS

Junos OS evolucionado admite RADIUS para la autenticación centralizada de usuarios en dispositivos de red. Para utilizar la autenticación RADIUS en el dispositivo, usted (el administrador de red) debe configurar la información sobre uno o varios servidores RADIUS en la red. También puede configurar la contabilidad de RADIUS en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar los datos a un servidor de contabilidad de RADIUS.

Configurar la autenticación del servidor RADIUS

La autenticación RADIUS es un método para autenticar a los usuarios que intentan acceder a un dispositivo de red. En las siguientes secciones se describe por qué usaría RADIUS y cómo configurarlo.

Por qué usar RADIUS

Usted (el administrador de la red) puede utilizar distintos protocolos para la autenticación central de los usuarios en los dispositivos de red, incluidos RADIUS y TACACS+. Recomendamos RADIUS porque es un estándar GTI-I de múltiples proveedores y sus características son más aceptadas que las de TACACS+ u otros sistemas propietarios. Además, recomendamos usar un sistema de contraseña de un solo uso para mayor seguridad, y todos los proveedores de estos sistemas admiten RADIUS.

Debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento:

  • Interoperabilidad: RADIUS es más interoperable que TACACS+, principalmente debido a la naturaleza de propiedad de TACACS+. Aunque TACACS+ admite más protocolos, RADIUS es universalmente compatible.

  • Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores. Por esta razón, los ingenieros de redes generalmente prefieren RADIUS sobre TACACS+.

Configurar los detalles del servidor RADIUS

Para utilizar la autenticación RADIUS en el dispositivo, configure la información sobre uno o varios servidores RADIUS en la red incluyendo una radius-server instrucción en el nivel de [edit system] jerarquía para cada servidor RADIUS. El dispositivo consulta los servidores de RADIUS en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que reciba una respuesta.

El dispositivo de red puede asignar usuarios autenticados por RADIUS a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, lo que determina la autorización. De forma predeterminada, Junos OS evolucionado asigna usuarios autenticados por RADIUS a la cuenta remotede plantilla de usuario , si está configurado, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de RADIUS no asigna al usuario a una plantilla de usuario local o la plantilla que asigna el servidor no está configurada en el dispositivo local.

El servidor de RADIUS puede asignar un usuario autenticado a una plantilla de usuario diferente para conceder permisos administrativos diferentes a ese usuario. El usuario conserva el mismo nombre de inicio de sesión en la CLI, pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el usuario autenticado por RADIUS no se asigna a ninguna cuenta de usuario o plantilla de usuario definida localmente, y la plantilla no está configurada, se producirá un error en la remote autenticación.

Nota:

El remote nombre de usuario es un caso especial en Junos OS Evolved y siempre debe ir en minúsculas. Actúa como una plantilla para los usuarios autenticados por un servidor remoto pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. Junos OS Evolved aplica los permisos de la remote plantilla a los usuarios autenticados sin una cuenta definida localmente. Todos los usuarios asignados a la plantilla pertenecen a la remote misma clase de inicio de sesión.

Dado que la autenticación remota se configura en varios dispositivos, es común configurarla dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración llamado global. El uso de un grupo de configuración es opcional.

Para configurar la autenticación por un servidor RADIUS:

  1. Configure la dirección IPv4 o la dirección IPv6 del servidor de autenticación de RADIUS.

    Por ejemplo:

  2. (Opcional) Configure la dirección de origen del paquete para las solicitudes enviadas al servidor de RADIUS.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador o del conmutador. Si el dispositivo de red tiene varias interfaces que pueden comunicarse con el servidor de RADIUS, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el servidor de RADIUS. Al hacerlo, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  3. Configure la contraseña secreta compartida que el dispositivo de red utiliza para autenticarse con el servidor RADIUS.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor de RADIUS. Si la contraseña tiene espacios, póngala entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  4. (Opcional) Especifique el puerto en el que desea comunicarse con el servidor de RADIUS, si es diferente del predeterminado.

    El puerto predeterminado es 1812 (como se especifica en RFC 2865).

    Por ejemplo:

    Nota:

    También puede configurar la instrucción para especificar a qué puerto del accounting-port servidor RADIUS enviar los paquetes de contabilidad. El valor predeterminado es 1813 (como se especifica en RFC 2866).
  5. (Opcional) Configure la cantidad de veces que el dispositivo intenta comunicarse con el servidor de RADIUS y la cantidad de tiempo que espera el dispositivo para recibir una respuesta del servidor.

    De forma predeterminada, el dispositivo intenta comunicarse con el servidor tres veces y espera tres segundos. Puede configurar el retry valor de 1 a 100 veces y el valor de 1 timeout a 1000 segundos.

    Por ejemplo, para ponerse en contacto con un servidor de RADIUS 2 veces y esperar 10 segundos para recibir una respuesta:

  6. Especifique el orden de autenticación e incluya la radius opción.

    En el siguiente ejemplo, cada vez que un usuario intenta iniciar sesión, Junos OS Evolved consulta primero al servidor de RADIUS para obtener autenticación. Si eso falla, consulta el servidor TACACS+. Si esto falla, intenta autenticarse con cuentas de usuario configuradas localmente.

  7. Configure si necesita que el servidor RADIUS incluya el atributo Autenticador de mensajes en las respuestas a los mensajes de solicitud de acceso.

    • El atributo Autenticador de mensajes proporciona protección adicional contra ataques de intermediarios. Le recomendamos que habilite esta característica. Para habilitar esta función:

    • Para lograr compatibilidad con versiones anteriores de servidores RADIUS que no admitan este atributo, desactive esta función de la siguiente manera:

    Nota:

    Estas configuraciones son mutuamente excluyentes. Le recomendamos que establezca explícitamente una u otra. No confíe en los valores predeterminados.
  8. Asigne una clase de inicio de sesión a los usuarios autenticados por RADIUS que no tengan una cuenta de usuario definida localmente.

    Puede configurar una cuenta de plantilla de usuario de la misma manera que una cuenta de usuario local, con la excepción de que no se configura una contraseña de autenticación local porque el servidor de RADIUS autentica al usuario.

    • Para usar los mismos permisos para todos los usuarios autenticados por RADIUS, configure la plantilla de remote usuario.

      Por ejemplo:

    • Para usar diferentes clases de inicio de sesión para distintos usuarios autenticados por RADIUS y otorgarles diferentes permisos:

      1. Cree varias plantillas de usuario en la configuración de Junos OS evolucionado . Por ejemplo:

      2. Configure el servidor RADIUS para asignar el usuario autenticado a la plantilla de usuario adecuada.

        Establezca el VSA de Juniper-local-name de Juniper (atributo específico del proveedor) (proveedor 2636, tipo 1, cadena) en el nombre de una plantilla de usuario configurada en el dispositivo, que en el ejemplo anterior es RO, OP o usuario único. El servidor RADIUS incluye el atributo en el mensaje de aceptación de acceso de RADIUS. Se produce un error en la autenticación si el dispositivo no puede asignar un usuario a una cuenta de usuario local o a una plantilla de usuario y la plantilla de remote usuario no está configurada.

Configure RADIUS over TLS (RADSEC) para la autenticación del sistema

RADIUS over TLS (RADSEC) proporciona una comunicación segura y cifrada entre el dispositivo Junos y los servidores de RADIUS para la autenticación del sistema y la contabilidad. El sistema utiliza las API de OpenSSL para establecer sesiones SSL/TLS y llevar a cabo la validación de certificados.

Importante: Esta configuración se aplica a la autenticación a nivel del sistema (acceso administrativo) en la system jerarquía. Para la configuración de RADSEC para el control de acceso a la red, configure RADSEC en la access jerarquía.

RADSEC protege el tráfico de autenticación administrativa mediante el cifrado TLS en el puerto TCP 2083 (en lugar de los puertos UDP 1812/1813). RADSEC admite dos modos de autenticación:

  • TLS unidireccional: El cliente verifica el certificado del servidor mediante certificados de AC de confianza.
  • TLS mutuo (mTLS): Tanto el cliente como el servidor se autentican mutuamente mediante certificados.

Antes de empezar:

Asegúrese de lo siguiente:

  • Los certificados AC están disponibles para la validación del servidor
  • Los certificados de cliente están disponibles (necesarios solo para la autenticación mutua)

Configure certificados de AC:

Puede copiar el archivo y cambiarle el nombre al asunto <hash>.0 en /var/tmp/certs/<trusted-ca-group>/. Como alternativa, también puede crear un vínculo simbólico con el asunto <hash>.0 en /var/tmp/certs/<trusted-ca-group> y vincularlo al archivo de certificado real.

  1. Genere el hash del nombre del sujeto:
  2. Cree un vínculo simbólico:
Nota:

Si hay más de un archivo AC con el mismo valor hash del nombre del sujeto, sus extensiones deben ser diferentes; por ejemplo, 'e5d93f80.1' y así sucesivamente. La búsqueda se realiza en cuanto a cómo se ordenan los números de extensión en consecuencia.

Ejemplo:

Configure certificados de cliente (solo autenticación mutua):

Para la autenticación mutua, coloque el certificado de cliente y la clave privada en /var/tmp/certs/<certificate-id>/.

La carpeta debe contener:

  • client.crt - Archivo de certificado de cliente
  • client.key - Archivo de clave privada del cliente

Ejemplo:

Para configurar RADSEC para la autenticación del sistema:

  1. Configure el servidor de autenticación de RADIUS con compatibilidad con TLS.

    Para TLS unidireccional (autenticación solo servidor):

    Para TLS (autenticación bidireccional) mutua:

    Ejemplo:

  2. (Opcional) Configure el servidor de contabilidad RADIUS con soporte TLS.

    Para TLS unidireccional:

    Para TLS mutuo:

    Ejemplo:

  3. Configure el orden de autenticación.
  4. Configure la plantilla de usuario remoto.
  5. Verifique la configuración.
  6. Confirmar la configuración.

En el siguiente ejemplo, se muestra una configuración completa de RADSEC con autenticación mutua:

Verificación:

Inicie sesión en el dispositivo de red y verifique que la autenticación se ha realizado correctamente. Para confirmar que RADSEC funciona, intente iniciar sesión con una cuenta que no tenga configurada una contraseña local.

Parámetros de configuración:

  • trusted-ca-group—Nombre de grupo de AC de confianza correspondiente a la carpeta que contiene certificados de AC en /var/tmp/certs/. OpenSSL utiliza estos certificados de AC para validar el certificado del servidor de RADIUS.
  • certificate-id—Identificador de certificado correspondiente a la carpeta que contiene el certificado de cliente y la clave privada en /var/tmp/certs/. Necesario para la autenticación mutua.

Configure RADIUS para usar la instancia de administración

De forma predeterminada, Junos OS Evolved enruta los paquetes de autenticación, autorización y contabilidad para RADIUS a través de la instancia de enrutamiento predeterminada. También puede enrutar paquetes RADIUS a través de una interfaz de administración en una instancia de VRF no predeterminada.

Para enrutar paquetes RADIUS a través de la mgmt_junos instancia de administración:

  1. Habilite la mgmt_junos instancia de administración.

  2. Configure la routing-instance mgmt_junos instrucción para el servidor de autenticación de RADIUS y el servidor de contabilidad de RADIUS, si está configurado.

Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema

En este ejemplo, se configura la autenticación del sistema a través de un servidor RADIUS.

Requisitos

Antes de empezar:

  • Realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.

  • Configure al menos un servidor RADIUS en su red.

Descripción general

En este ejemplo, se agrega un nuevo servidor RADIUS con una dirección IP de 172.16.98.1. Especifique la contraseña secreta compartida del servidor RADIUS como Radiussecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que el dispositivo utiliza en las solicitudes del servidor RADIUS. En la mayoría de los casos, puede utilizar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.

Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como la autenticación de contraseña local, RADIUS y TACACS+, en el dispositivo de red. Cuando configure varios métodos de autenticación, puede priorizar el orden en que el dispositivo prueba los distintos métodos. En este ejemplo, configure el dispositivo para que utilice primero los servicios de autenticación de RADIUS y, luego, si eso falla, intente la autenticación de contraseña local.

Un usuario autenticado por RADIUS debe asignarse a una cuenta de usuario local o a una cuenta de plantilla de usuario local en el dispositivo de red, lo cual determina la autorización. De forma predeterminada, si un usuario autenticado por RADIUS no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de remote usuario, si está configurada. En este ejemplo se configura la plantilla de remote usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar un servidor RADIUS para la autenticación del sistema:

  1. Agregue un nuevo servidor RADIUS y establezca su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor de RADIUS.

  3. Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.

  4. Especifique el orden de autenticación del dispositivo e incluya la radius opción.

  5. Configure la plantilla de remote usuario y su clase de inicio de sesión.
Resultados

En el modo de configuración, ingrese el comando para confirmar la show system configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

El siguiente resultado incluye solo las partes de la jerarquía de configuración que son relevantes para este ejemplo.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificar la configuración del servidor RADIUS

Propósito

Compruebe que el servidor de RADIUS autentica a los usuarios.

Acción

Inicie sesión en el dispositivo de red y verifique que el inicio de sesión se haya realizado correctamente. Para comprobar que el dispositivo utiliza el servidor RADIUS para la autenticación, puede intentar iniciar sesión con una cuenta que no defina una contraseña de autenticación local en la configuración.

Atributos de RADIUS específicos del proveedor de Juniper Networks

Junos OS evolucionado admite la configuración de atributos específicos del proveedor (VSA) de RADIUS de Juniper Networks en el servidor de RADIUS. Estos VSA se encapsulan en un atributo específico del proveedor de RADIUS con el ID del proveedor establecido en el número de ID de Juniper Networks, 2636.

En la Tabla 1, se enumeran los VSA de Juniper Networks que puede configurar.

Algunos de los atributos aceptan expresiones regulares extendidas, como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, escríbala entre comillas. Para obtener más información, consulte:

Tabla 1: Atributos de RADIUS específicos del proveedor de Juniper Networks

Nombre

Descripción

Tipo

Longitud

Cadena

Nombre de usuario local de Juniper

Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo. Este atributo solo se utiliza en paquetes Access-Accept.

1

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Comandos de permiso de Juniper

Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes Access-Accept.

2

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

Comandos de denegación de Juniper

Contiene una expresión regular extendida que deniega al usuario permiso para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes Access-Accept.

3

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

Juniper-Allow-Configuration

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración además de las instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes Access-Accept.

4

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

Configuración de denegación de Juniper

Contiene una expresión regular extendida que deniega al usuario permiso para ver o modificar las instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes Access-Accept.

5

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

Juniper-Interactive-Command

Indica el comando interactivo introducido por el usuario. Este atributo solo se utiliza en paquetes de solicitud de contabilidad.

8

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Cambio de configuración de Juniper

Indica el comando interactivo que da como resultado un cambio de configuración (base de datos). Este atributo solo se utiliza en paquetes de solicitud de contabilidad.

9

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Permisos de usuario de Juniper

Contiene información que el servidor utiliza para especificar los permisos de usuario. Este atributo solo se utiliza en paquetes Access-Accept.

Nota:

Cuando el servidor RADIUS define el Juniper-User-Permissions atributo para conceder el permiso o all el maintenance permiso a un usuario, la lista de pertenencias a grupos del usuario no incluye automáticamente el grupo de ruedas de UNIX. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia a grupos de ruedas. Sin embargo, cuando el dispositivo de red define una cuenta de usuario local con los permisos maintenance o all, se concede automáticamente al usuario la pertenencia al grupo de ruedas de UNIX. Por lo tanto, se recomienda crear una cuenta de plantilla de usuario con los permisos necesarios y asociar cuentas de usuario individuales con la cuenta de plantilla de usuario.

10

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

La cadena es una lista de indicadores de permiso separados por un espacio. El nombre exacto de cada bandera debe especificarse en su totalidad.

Ver .. /concepto/.. /topic-map/junos-os-access-privileges.html#id-understanding-junos-os-access-privilege-levels.

Tipo de autenticación de Juniper

Indica el método de autenticación (base de datos local o servidor RADIUS) utilizado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra 'local'. Si el usuario está autenticado mediante un servidor RADIUS o LDAP, el valor del atributo muestra "remoto".

11

≥5

Uno o más octetos que contengan caracteres ASCII imprimibles.

Puerto de sesión de Juniper

Indica el número de puerto de origen de la sesión establecida.

12

Tamaño del entero

Entero

juniper-allow-configuration-regexps
(Solo RADIUS)

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración además de las instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes Access-Accept.

13

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

juniper-denegar-configuración-regexps
(Solo RADIUS)

Contiene una expresión regular extendida que deniega al usuario permiso para ver o modificar las instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes Access-Accept.

14

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

Para obtener más información acerca de los VSA, consulte RFC 2138, Servicio de usuario de llamada de autenticación remota (RADIUS).

Usar expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos

Junos OS Evolved puede asignar usuarios autenticados con RADIUS y TACACS+ a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que define los privilegios de acceso del usuario. También puede configurar opcionalmente los privilegios de acceso de un usuario definiendo los atributos específicos del proveedor (VSA) y RADIUS de Juniper Networks + en el servidor de autenticación respectivo.

La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué comandos de modo operativo y de modo de configuración está autorizado a ejecutar un usuario y qué áreas de la configuración puede ver y modificar. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar ciertos comandos o ver y modificar ciertas áreas de la configuración, además de lo que autorizan las marcas de permiso. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización del usuario:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSA de Juniper Networks para definir permisos específicos o expresiones regulares que determinan los privilegios de acceso de un usuario. Para obtener la lista de VSA de RADIUS y TACACS+ compatibles, consulte lo siguiente:

Puede definir permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacios.

  • Un servidor RADIUS utiliza el atributo y la sintaxis siguientes:

    Por ejemplo:

  • Un servidor TACACS+ utiliza el siguiente atributo y sintaxis:

    Por ejemplo:

Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que usan una sola expresión regular extendida (como se define en POSIX 1003.2) para permitir o negar a un usuario la capacidad de ejecutar ciertos comandos o ver y modificar áreas de la configuración. Puede poner varios comandos o jerarquías de configuración entre paréntesis y separarlos mediante un símbolo de barra vertical. Si la expresión regular contiene espacios, operadores o caracteres comodín, escríbala entre comillas. Cuando se configuran parámetros de autorización tanto local como remotamente, el dispositivo combina las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular definida en el dispositivo local.

  • Un servidor RADIUS utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

Los servidores RADIUS y TACACS+ también admiten la configuración de atributos que corresponden a las mismas *-regexps instrucciones que puede configurar en el dispositivo local. Los *-regexps atributos TACACS+ y *-Regexps RADIUS utilizan la misma sintaxis de expresión regular que los atributos anteriores, pero permiten configurar expresiones regulares con variables.

  • Un servidor RADIUS utiliza los siguientes atributos y sintaxis:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo, la configuración del servidor TACACS+ podría definir los siguientes atributos:

En un servidor RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que se especifica cada expresión individual en una línea independiente.

Para un servidor RADIUS, especifique las expresiones regulares individuales con la sintaxis siguiente:

Para un servidor TACACS+, especifique las expresiones regulares individuales con la siguiente sintaxis:

Nota:

  • En la sintaxis del servidor TACACS+, los valores numéricos del 1 al n 1 deben ser únicos, pero no secuenciales. Por ejemplo, la siguiente sintaxis es válida:

  • El servidor RADIUS o TACACS+ impone un límite en el número de líneas de expresión regular individuales.

  • Cuando se ejecuta el show cli authorization comando, el resultado del comando muestra la expresión regular en una sola línea, incluso si especifica cada expresión individual en una línea independiente.

Los usuarios pueden verificar su clase, permisos y autorización de comando y configuración mediante la emisión del comando de show cli authorization modo operativo.

Nota:

Cuando se configuran los parámetros de autorización tanto localmente en el dispositivo de red como remotamente en el servidor de RADIUS o TACACS+, el dispositivo combina las expresiones regulares recibidas durante la autorización de TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.

Descripción de la contabilidad de RADIUS

Los dispositivos de red admiten GTI-I RFC 2866, Contabilidad RADIUS. Puede configurar la contabilidad de RADIUS en un dispositivo para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar los datos a un servidor de contabilidad de RADIUS. Los datos estadísticos se pueden usar para el monitoreo general de la red, el análisis y el seguimiento de patrones de uso, o para facturar a un usuario en función de la duración de la sesión o el tipo de servicios a los que se accede.

Para configurar la contabilidad de RADIUS, especifique:

  • Uno o más servidores de contabilidad RADIUS para recibir los datos estadísticos del dispositivo

  • El tipo de datos contables que se van a recopilar

Puede utilizar el mismo servidor para la contabilidad y la autenticación de RADIUS, o bien puede utilizar servidores independientes. Puede especificar una lista de servidores de contabilidad de RADIUS. El dispositivo consulta los servidores en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que reciba una respuesta.

El proceso de contabilidad de RADIUS entre el dispositivo y un servidor de RADIUS funciona así:

  1. Un servidor de contabilidad RADIUS escucha los paquetes del protocolo de datagramas de usuario (UDP) en un puerto específico. El puerto predeterminado para la contabilidad de RADIUS es 1813.

  2. El dispositivo reenvía un paquete de solicitud de contabilidad que contiene un registro de eventos al servidor de contabilidad. El registro de sucesos asociado a este suplicante contiene un atributo Acct-Status-Type cuyo valor indica el inicio del servicio de usuario para este suplicante. Cuando finaliza la sesión del solicitante, la solicitud de contabilidad contiene un valor de atributo Acct-Status-Type que indica el fin del servicio del usuario. El servidor de contabilidad de RADIUS registra esto como un registro de detención de contabilidad que contiene información de la sesión y la duración de la sesión.

  3. El servidor de contabilidad de RADIUS registra estos sucesos en un archivo como registros de inicio de contabilidad o de finalización de contabilidad. En FreeRADIUS, el nombre del archivo es la dirección del servidor, como 192.0.2.0.

  4. El servidor de contabilidad envía un paquete de respuesta de contabilidad al dispositivo para confirmar que ha recibido la solicitud de contabilidad.

  5. Si el dispositivo no recibe un paquete de respuesta de contabilidad del servidor, continúa enviando solicitudes de contabilidad hasta que el servidor devuelve una respuesta.

Puede ver las estadísticas recopiladas mediante este proceso en el servidor de RADIUS. Para ver esas estadísticas, acceda al archivo de registro configurado para recibirlas.

Configurar la contabilidad del sistema RADIUS

Cuando habilita la contabilidad de RADIUS, los dispositivos de Juniper Networks que actúan como clientes de RADIUS pueden notificar al servidor de RADIUS sobre actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos. El marco para la contabilidad de RADIUS se describe en RFC 2866, Contabilidad de RADIUS.

Configurar la auditoría de eventos de usuario en un servidor RADIUS

Para configurar la contabilidad de RADIUS:

  1. Configure los eventos que se van a auditar.

    Por ejemplo:

    events Puede incluir uno o más de los siguientes:

    • login—Inicios de sesión de auditoría

    • change-log: audite los cambios de configuración

    • interactive-commands—Auditar comandos interactivos (cualquier entrada de línea de comandos)

  2. Habilite la contabilidad de RADIUS.
  3. Configure la dirección para uno o varios servidores de contabilidad de RADIUS.

    Por ejemplo:

    Nota:

    Si no configura ningún servidor RADIUS en el [edit system accounting destination radius] nivel jerárquico, el dispositivo utilizará los servidores RADIUS configurados en el [edit system radius-server] nivel jerárquico.
  4. (Opcional) Configure la dirección de origen para las solicitudes de contabilidad de RADIUS.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador o del conmutador. Si el dispositivo de red tiene varias interfaces que pueden comunicarse con el servidor de RADIUS, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el servidor de RADIUS. Al hacerlo, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  5. Configure la contraseña secreta compartida que utiliza el dispositivo de red para autenticarse con el servidor de contabilidad de RADIUS.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor de RADIUS. Si la contraseña tiene espacios, póngala entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  6. (Opcional) Si es necesario, especifique a qué puerto del servidor de contabilidad de RADIUS desea enviar los paquetes de contabilidad, si es diferente del predeterminado (1813).
    Nota:

    Si habilita la contabilidad de RADIUS en el nivel de jerarquía, la [edit access profile profile-name accounting-order] contabilidad se activa en el puerto predeterminado de 1813, incluso si no especifica un valor para la accounting-port instrucción.
  7. (Opcional) Configure la cantidad de veces que el dispositivo intenta comunicarse con un servidor de contabilidad de RADIUS y la cantidad de tiempo que espera el dispositivo para recibir una respuesta de un servidor.

    De forma predeterminada, el dispositivo intenta comunicarse con el servidor tres veces y espera tres segundos. Puede configurar el retry valor de 1 a 100 veces y el valor de 1 timeout a 1000 segundos.

    Por ejemplo, para ponerse en contacto con un servidor 2 veces y esperar 10 segundos para recibir una respuesta:

  8. (Opcional) Para enrutar paquetes de contabilidad de RADIUS a través de la instancia de administración no predeterminada en lugar de la instancia de enrutamiento predeterminada, configure la routing-instance mgmt_junos instrucción.
  9. (Opcional) Configure la enhanced-accounting instrucción en el nivel de jerarquía para que incluya atributos de contabilidad adicionales, como el método de acceso, el [edit system radius-options] puerto remoto y los privilegios de acceso, para los eventos de inicio de sesión del usuario.
    Nota:

    Para limitar el número de valores de atributo que se van a auditar, configure la enhanced-avs-max <number> instrucción en el [edit system accounting] nivel de jerarquía.

En el ejemplo siguiente se configuran tres servidores (10.5.5.5, 10.6.6.6 y 10.7.7.7) para la contabilidad de RADIUS: