EN ESTA PÁGINA
Configurar la actualización periódica del perfil de autorización TACACS+
Ejemplo: Configurar un servidor TACACS+ para la autenticación del sistema
Atributos TACACS+ específicos del proveedor de Juniper Networks
Usar expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos
Autenticación TACACS+
Junos OS Evolucionado admite TACACS+ para la autenticación central de los usuarios en dispositivos de red. Para usar la autenticación TACACS+ en el dispositivo, usted (el administrador de red) debe configurar información acerca de uno o más servidores TACACS+ en la red. También puede configurar la contabilidad TACACS+ en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician sesión en o salen de una LAN y enviar los datos a un servidor de contabilidad TACACS+.
Configurar la autenticación TACACS+
La autenticación TACACS+ es un método de autenticación de los usuarios que intentan acceder a un dispositivo de red.
Para configurar TACACS+, realice las siguientes tareas:
- Configurar los detalles del servidor TACACS+
- Configure TACACS+ para usar la instancia de administración
- Configure el mismo servicio de autenticación para varios servidores TACACS+
- Configurar atributos TACACS+ específicos del proveedor de Juniper Networks
Configurar los detalles del servidor TACACS+
Para usar la autenticación TACACS+ en el dispositivo, configure la información acerca de uno o más servidores TACACS+ en la red incluyendo una tacplus-server
instrucción en el [edit system]
nivel de jerarquía para cada servidor TACACS+. El dispositivo consulta a los servidores TACACS+ en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que reciba una respuesta.
El dispositivo de red puede asignar usuarios autenticados por TACACS+ a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, que determina la autorización. De forma predeterminada, Junos OS Evolved asigna usuarios autenticados por TACACS+ a la cuenta remote
de plantilla de usuario, si está configurada, cuando:
-
El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.
-
El servidor TACACS+ no asigna al usuario a una plantilla de usuario local o la plantilla que asigna el servidor no está configurada en el dispositivo local.
El servidor TACACS+ puede asignar un usuario autenticado a una plantilla de usuario diferente para conceder permisos administrativos diferentes a ese usuario. El usuario conserva el mismo nombre de inicio de sesión en la CLI, pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el usuario autenticado de TACACS+ no se asigna a ninguna cuenta de usuario definida localmente ni a ninguna plantilla de usuario y la plantilla no está configurada, se produce un error en la remote
autenticación.
El remote
nombre de usuario es un caso especial en Junos OS Evolved y siempre debe ser en minúscula. Actúa como una plantilla para usuarios autenticados por un servidor remoto pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. Junos OS Evolucionado aplica los permisos de la remote
plantilla a aquellos usuarios autenticados sin una cuenta definida localmente. Todos los usuarios asignados a la remote
plantilla están en la misma clase de inicio de sesión.
Dado que la autenticación remota se configura en varios dispositivos, normalmente se configura dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración llamado global
. El uso de un grupo de configuración es opcional.
Para configurar la autenticación mediante un servidor TACACS+:
Configure TACACS+ para usar la instancia de administración
De forma predeterminada, Junos OS Evolved enruta los paquetes de autenticación, autorización y contabilidad para TACACS+ a través de la instancia de enrutamiento predeterminada. También puede enrutar paquetes TACACS+ a través de una interfaz de administración en una instancia VRF no predeterminada.
Para enrutar paquetes TACACS+ a través de la instancia de mgmt_junos
administración:
-
Habilite la
mgmt_junos
instancia de administración.[edit system] user@host# set management-instance
-
Configure la
routing-instance mgmt_junos
instrucción para el servidor de autenticación TACACS+ y el servidor de contabilidad TACACS+, si está configurado.[edit system] user@host# set tacplus-server server-address routing-instance mgmt_junos user@host# set accounting destination tacplus server server-address routing-instance mgmt_junos
Configure el mismo servicio de autenticación para varios servidores TACACS+
Puede configurar el mismo servicio de autenticación para varios servidores TACACS+ incluyendo instrucciones en los [edit system tacplus-server]
niveles de jerarquía y [edit system tacplus-options]
.
Para asignar el mismo servicio de autenticación a varios servidores TACACS+:
En el siguiente ejemplo, se muestra cómo configurar el mismo servicio de autenticación para varios servidores TACACS+:
[edit system] tacplus-server { 10.2.2.2 secret "$ABC123"; ## SECRET-DATA 10.3.3.3 secret "$ABC123"; ## SECRET-DATA } tacplus-options { service-name bob; }
Configurar atributos TACACS+ específicos del proveedor de Juniper Networks
Junos OS Evolved puede asignar usuarios autenticados por TACACS+ a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, que determina la autorización. Opcionalmente, también puede configurar los privilegios de acceso de un usuario definiendo atributos TACACS+ específicos del proveedor de Juniper Networks en el servidor TACACS+. Los atributos se definen en el archivo de configuración del servidor TACACS+ por usuario. El dispositivo de red recupera estos atributos a través de una solicitud de autorización del servidor TACACS+ después de autenticar a un usuario.
Para especificar estos atributos, incluya una service
instrucción del siguiente formato en el archivo de configuración del servidor TACACS+:
service = junos-exec { local-user-name = <username-local-to-router> allow-commands = "<allow-commands-regex>" allow-configuration-regexps = "<allow-configuration-regex>" deny-commands = "<deny-commands-regex>" deny-configuration-regexps = "<deny-configuration-regex>" }
Puede definir la service
instrucción en una user
instrucción o una group
instrucción.
Configurar la actualización periódica del perfil de autorización TACACS+
Cuando configura un dispositivo que ejecuta Junos OS Evolucionado para usar un servidor TACACS+ para la autenticación, el dispositivo solicita a los usuarios información de inicio de sesión, que el servidor TACACS+ verifica. Después de autenticar correctamente un usuario, el dispositivo de red envía una solicitud de autorización al servidor TACACS+ para obtener el perfil de autorización para el usuario. Los perfiles de autorización especifican los permisos de acceso para usuarios o dispositivos autenticados.
El servidor TACACS+ envía el perfil de autorización como parte de un mensaje reply de autorización. El usuario remoto configurado en el servidor TACACS+ se asigna a una plantilla de usuario o usuario local configurada en el dispositivo que ejecuta Junos OS Evolucionado. Junos OS Evolucionado combina el perfil de autorización remota del usuario y el perfil de autorización configurado localmente, el último de los cuales está configurado en el nivel de jerarquía [edit system login class
].
De forma predeterminada, el intercambio de mensajes de solicitud de autorización y respuesta se produce una sola vez, después de una autenticación correcta. Puede configurar los dispositivos para que Junos OS Evolved obtenga periódicamente el perfil de autorización remota del servidor TACACS+ y actualice el perfil de autorización almacenado localmente. Esta actualización periódica garantiza que el dispositivo local refleje cualquier cambio en los parámetros de autorización sin necesidad de que el usuario reinicie el proceso de autenticación.
Para habilitar la actualización periódica del perfil de autorización, debe establecer el intervalo de tiempo en el que el dispositivo local comprueba el perfil de autorización configurado de forma remota en el servidor TACACS+. Si el perfil de autorización remota cambia, el dispositivo obtiene el perfil de autorización del servidor TACACS+ y el perfil de autorización configurado en la jerarquía de clase de inicio de sesión. El dispositivo actualiza el perfil de autorización almacenado localmente mediante la combinación de los perfiles de autorización remotos y configurados localmente.
Puede configurar el intervalo de tiempo de actualización localmente en el dispositivo que ejecuta Junos OS Evolved o directamente en el servidor TACACS+. El intervalo de tiempo puede oscilar entre 15 y 1440 minutos.
Utilice las siguientes pautas para determinar qué intervalo de tiempo tiene prioridad la configuración:
- Si el intervalo de tiempo de actualización solo está configurado en el servidor TACACS+ o solo en el dispositivo que ejecuta Junos OS Evolucionado, el valor configurado tendrá efecto.
-
Si el intervalo de tiempo de actualización está configurado tanto en el servidor TACACS+ como en el dispositivo que ejecuta Junos OS Evolved, el valor configurado en el servidor TACACS+ tiene prioridad.
-
Si no se configura ningún intervalo de tiempo de actualización en el servidor TACACS+ o en el dispositivo que ejecuta Junos OS Evolved, no se produce ninguna actualización periódica.
-
Si el intervalo de tiempo de actualización configurado en el servidor TACACS+ está fuera de rango o no es válido, el intervalo de tiempo de actualización configurado localmente tendrá efecto. Si no se configura ningún intervalo de tiempo de actualización localmente, no se produce ninguna actualización periódica.
Después de establecer el intervalo de tiempo de actualización periódico, si el usuario cambia el intervalo de actualización antes de que se envíe la solicitud de autorización desde el dispositivo local, el intervalo de actualización actualizado tendrá efecto después de la siguiente actualización periódica inmediata.
Ejemplo: Configurar un servidor TACACS+ para la autenticación del sistema
En este ejemplo, se configura la autenticación del sistema mediante un servidor TACACS+.
Requisitos
Antes de empezar:
-
Realice la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.
-
Configure al menos un servidor TACACS+ en su red.
Visión general
En este ejemplo, se agrega un nuevo servidor TACACS+ con una dirección IP de 172.16.98.1. Especifique la contraseña secreta compartida del servidor TACACS+ como Tacacssecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que el dispositivo utiliza en las solicitudes de servidor TACACS+. En la mayoría de los casos, puede usar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.
Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como autenticación de contraseña local, TACACS+ y RADIUS, en el dispositivo de red, Cuando configure varios métodos de autenticación, puede priorizar el orden en el que el dispositivo intenta los distintos métodos. En este ejemplo, configure el dispositivo para que use primero los servicios de autenticación TACACS+ y, si eso falla, para intentar la autenticación de contraseña local.
Un usuario autenticado por TACACS+ debe asignarse a una cuenta de usuario local o a una cuenta de plantilla de usuario local en el dispositivo de red, el cual determina la autorización. De forma predeterminada, si un usuario autenticado por TACACS+ no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de remote
usuario, si está configurada. En este ejemplo, se configura la plantilla de remote
usuario.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit]
nivel de jerarquía y, luego, ingrese commit
en el modo de configuración.
set system tacplus-server 172.16.98.1 set system tacplus-server 172.16.98.1 secret Tacacssecret1 set system tacplus-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [tacplus password] set system login user remote class operator
Procedimiento paso a paso
Para configurar un servidor TACACS+ para la autenticación del sistema:
-
Agregue un nuevo servidor TACACS+ y establezca su dirección IP.
[edit system] user@host# set tacplus-server 172.16.98.1
-
Especifique el secreto compartido (contraseña) del servidor TACACS+.
[edit system] user@host# set tacplus-server 172.16.98.1 secret Tacacssecret1
-
Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.
[edit system] user@host# set tacplus-server 172.16.98.1 source-address 10.0.0.1
-
Especifique el orden de autenticación del dispositivo e incluya la
tacplus
opción.[edit system] user@host# set authentication-order [tacplus password]
- Configure la plantilla de
remote
usuario y su clase de inicio de sesión.[edit system] user@host# set login user remote class operator
Resultados
En el modo de configuración, ingrese el comando para confirmar la show system
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
El siguiente resultado incluye solo las partes de la jerarquía de configuración que son relevantes para este ejemplo:
[edit] user@host# show system login { user remote { class operator; } } authentication-order [ tacplus password ]; tacplus-server { 172.16.98.1 { secret "$9$ABC123"; ## SECRET-DATA source-address 10.0.0.1; } }
Después de configurar el dispositivo, ingrese commit
al modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar la configuración del servidor TACACS+
Propósito
Compruebe que el servidor TACACS+ autentica a los usuarios.
Acción
Inicie sesión en el dispositivo de red y compruebe que el inicio de sesión se ha realizado correctamente. Para comprobar que el dispositivo usa el servidor TACACS+ para la autenticación, puede intentar iniciar sesión con una cuenta que no define una contraseña de autenticación local en la configuración.
Atributos TACACS+ específicos del proveedor de Juniper Networks
Junos OS Evolved admite la configuración de atributos específicos de proveedor (VSA) de Juniper Networks TACACS+ en el servidor TACACS+. En la tabla 1 se enumeran los VSA de Juniper Networks compatibles.
Algunos de los atributos aceptan expresiones regulares extendidas, como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Para obtener más información, consulte:
Nombre |
Descripción |
Longitud |
Cadena |
---|---|---|---|
|
Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles. |
|
Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de los comandos autorizados por los bits de permiso de la clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
allow-commands-regexps |
Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de los comandos autorizados por los bits de permiso de la clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
|
Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración además de las instrucciones autorizadas por los bits de permiso de la clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
allow-configuration-regexps |
Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración además de las instrucciones autorizadas por los bits de permiso de la clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
|
Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos autorizados por los bits de permiso de la clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
deny-commands-regexps |
Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos autorizados por los bits de permiso de la clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
|
Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
deny-configuration-regexps |
Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
|
Contiene información que el servidor usa para especificar los permisos de usuario.
Nota:
Cuando el servidor TACACS+ define el |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles. Consulte Descripción general de los niveles de privilegios de acceso. |
|
Indica el método de autenticación (base de datos local o servidor TACACS+) utilizado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor de atributo muestra 'local'. Si el usuario se autentica mediante un servidor TACACS+, el valor del atributo muestra "remoto". |
≥5 |
Uno o más octetos que contienen caracteres ASCII imprimibles. |
|
Indica el número de puerto de origen de la sesión establecida. |
tamaño de enteros |
Entero |
Usar expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos
Junos OS Evolved puede asignar usuarios autenticados RADIUS y TACACS+ a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, que define los privilegios de acceso del usuario. Opcionalmente, también puede configurar los privilegios de acceso de un usuario definiendo Juniper Networks RADIUS y atributos específicos de proveedor (VSA) de Juniper Networks en el respectivo servidor de autenticación.
La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué modo operativo y modo de configuración comandos un usuario está autorizado para ejecutar y qué áreas de la configuración un usuario puede ver y modificar. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar ciertos comandos o ver y modificar ciertas áreas de la configuración, además de lo que autorizan los indicadores de permiso. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización de usuario:
-
permissions
-
allow-commands
-
allow-commands-regexps
-
allow-configuration
-
allow-configuration-regexps
-
deny-commands
-
deny-commands-regexps
-
deny-configuration
-
deny-configuration-regexps
De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSA de Juniper Networks para definir permisos específicos o expresiones regulares que determinan los privilegios de acceso de un usuario. Para obtener la lista de VSA RADIUS y TACACS+ compatibles, consulte lo siguiente:
- Atributos RADIUS específicos del proveedor de Juniper Networks
- Atributos TACACS+ específicos del proveedor de Juniper Networks
Puede definir permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacio.
-
Un servidor RADIUS usa los siguientes atributos y sintaxis:
Juniper-User-Permissions += "flag1 flag2 flag3",
Por ejemplo:
Juniper-User-Permissions += "interface interface-control configure",
-
Un servidor TACACS+ usa los siguientes atributos y sintaxis:
user-permissions = "flag1 flag2 flag3"
Por ejemplo:
user-permissions = "interface interface-control configure"
Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que utilizan una única expresión regular extendida (como se define en POSIX 1003.2) para permitir o negar a un usuario la capacidad de ejecutar ciertos comandos o ver y modificar áreas de la configuración. Debe adjuntar varios comandos o jerarquías de configuración entre paréntesis y separarlos mediante un símbolo de canalización. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Cuando configure parámetros de autorización local y remotamente, el dispositivo fusiona las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular definida en el dispositivo local.
-
Un servidor RADIUS utiliza los siguientes atributos y sintaxis:
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Por ejemplo:
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Un servidor TACACS+ usa los siguientes atributos y sintaxis:
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Por ejemplo:
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Los servidores RADIUS y TACACS+ también admiten la configuración de atributos que corresponden a las mismas *-regexps
instrucciones que puede configurar en el dispositivo local. Los *-regexps
atributos TACACS+ y RADIUS *-Regexps
usan la misma sintaxis de expresión regular que los atributos anteriores, pero le permiten configurar expresiones regulares con variables.
-
Un servidor RADIUS utiliza los siguientes atributos y sintaxis:
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Un servidor TACACS+ usa los siguientes atributos y sintaxis:
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Por ejemplo, la configuración del servidor TACACS+ puede definir los siguientes atributos:
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
En un servidor RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que especifique cada expresión individual en una línea independiente.
Para un servidor RADIUS, especifique las expresiones regulares individuales mediante la siguiente sintaxis:
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Para un servidor TACACS+, especifique las expresiones regulares individuales mediante la siguiente sintaxis:
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
En la sintaxis del servidor TACACS+, los valores numéricos de 1 a n deben ser únicos, pero no deben ser secuenciales. Por ejemplo, la siguiente sintaxis es válida:
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
El servidor RADIUS o TACACS+ impone un límite en el número de líneas de expresión regular individuales.
-
Cuando se ejecuta el
show cli authorization
comando, el resultado del comando muestra la expresión regular en una sola línea, incluso si especifica cada expresión individual en una línea independiente.
Los usuarios pueden verificar sus clases, permisos y autorización de comando y configuración mediante la emisión del comando en show cli authorization
modo operativo.
user@host> show cli authorization
Cuando se configuran los parámetros de autorización localmente en el dispositivo de red y de forma remota en el servidor RADIUS o TACACS+, el dispositivo fusiona las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.
Configuración de la contabilidad del sistema TACACS+
Puede configurar la contabilidad TACACS+ en un dispositivo para recopilar datos estadísticos sobre los usuarios que inician sesión en una LAN o salen de una LAN y enviar los datos a un servidor de contabilidad TACACS+. Los datos estadísticos se pueden utilizar para la supervisión general de la red, el análisis y el seguimiento de patrones de uso, o para facturar a un usuario según la duración de la sesión o el tipo de servicios al que se accede.
Para configurar la contabilidad TACACS+, especifique:
-
Uno o más servidores de contabilidad TACACS+ para recibir los datos estadísticos del dispositivo
-
El tipo de datos de contabilidad que se recopilarán
Puede usar el mismo servidor para la autenticación y la contabilidad de TACACS+, o puede usar servidores independientes. Puede especificar una lista de servidores de contabilidad TACACS+. El dispositivo consulta a los servidores en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que reciba una respuesta.
Cuando habilita la contabilidad TACACS+, los dispositivos de Juniper Networks, que actúan como clientes TACACS+, pueden notificar al servidor TACACS+ acerca de las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos.
Configurar la contabilidad de servidor TACACS+
Para configurar la contabilidad de servidor TACACS+: