tacplus-options

Configure el intervalo de tiempo en el que el dispositivo Junos OS obtiene el perfil de autorización configurado en el servidor TACACS+ durante una sesión de autenticación TACACS+. El servidor TACACS+ envía el perfil de autorización una vez de forma predeterminada después de que el usuario se autentifique correctamente y el perfil de autorización se almacena localmente en el dispositivo Junos OS. La opción de intervalo de tiempo de autorización permite que el dispositivo Junos OS compruebe periódicamente el perfil de autorización configurado de forma remota en el servidor TACACS+ en el intervalo de tiempo configurado.

Si se produce un cambio en el perfil de autorización remoto, el dispositivo obtiene el perfil de autorización del servidor TACACS+ y el perfil de autorización configurado localmente en la jerarquía [edit system login class class-name]. El dispositivo actualiza el perfil de autorización almacenado localmente mediante la combinación de los perfiles de autorización remotos y configurados localmente. Esto garantiza que los cambios realizados en la configuración del perfil de autorización en el servidor TACACS+ se reflejen en el dispositivo Junos OS sin que el usuario tenga que reiniciar el proceso de autenticación.

Para habilitar la actualización periódica del perfil de autorización, debe establecer el intervalo de tiempo de autorización en el que el dispositivo Junos OS obtiene la configuración del perfil de autorización del servidor TACACS+ y actualiza el perfil de autorización almacenado localmente. El intervalo de tiempo se puede configurar directamente en el servidor TACACS+ o localmente en el dispositivo Junos OS mediante la CLI. Utilice las siguientes pautas para determinar qué intervalo de tiempo tiene prioridad la configuración:

• Si no hay ningún intervalo de tiempo configurado en el servidor TACACS+ para la actualización periódica, el dispositivo Junos OS no recibe el valor de intervalo de tiempo en la respuesta de autorización. En este caso, el valor configurado localmente en el dispositivo Junos OS tendrá efecto.

• Si el intervalo de tiempo está configurado en el servidor TACACS+ y no hay ningún intervalo de tiempo de autorización configurado localmente en el dispositivo Junos OS, el valor configurado en el servidor TACACS+ tendrá efecto.

• Si el intervalo de tiempo de actualización periódico está configurado en el servidor TACACS+ y también localmente en el dispositivo Junos OS, el valor configurado en el servidor TACACS+ tendrá prioridad.

• Si no hay ningún intervalo de tiempo de actualización periódico configurado en el servidor TACACS+ y no hay ningún intervalo de tiempo de autorización configurado en el dispositivo Junos OS, no se realizará ninguna actualización periódica.

• Si el intervalo de tiempo de actualización periódico configurado en el servidor TACACS+ está fuera de rango o no es válido, el valor del intervalo de tiempo de autorización configurado localmente tendrá efecto.

• Si el intervalo de tiempo de actualización periódico configurado en el servidor TACACS+ está fuera de rango o no es válido y no hay ningún intervalo de tiempo de autorización configurado localmente, no se realizará ninguna actualización periódica.

Después de establecer el intervalo de tiempo de autorización periódico, si el usuario cambia el intervalo antes de que se envíe la solicitud de autorización desde el dispositivo Junos OS, el intervalo actualizado tendrá efecto después de la siguiente actualización periódica inmediata.

• Predeterminado: Si el intervalo de tiempo de autorización no está configurado, el perfil de autorización no se actualiza durante una sesión de autenticación TACACS+.

• Gama: De 15 a 1440 minutos

Configure la auditoría de eventos de autenticación TACACS+, como método de acceso, puerto remoto y privilegios de acceso.

Excluya el valor del cmd atributo por completo desde los registros de inicio y detención para habilitar el registro de registros de contabilidad en el archivo de registro correcto en un servidor TACACS+.

Establezca el valor de cmd atributo en una cadena vacía en las solicitudes de inicio y detención de contabilidad TACACS+ para habilitar el registro de registros de contabilidad en el archivo de registro correcto en un servidor TACACS+.

No deniegue el inicio de sesión si se produce un error en la solicitud de autorización. Cuando un usuario inicia sesión, Junos OS emite dos solicitudes TACACS+: primero la solicitud de autenticación seguida de la solicitud de autorización.

• Predeterminado: De forma predeterminada, cuando la solicitud de autorización es rechazada por el servidor TACACS+, Junos OS ignora esto y permite el acceso completo al usuario. Al especificar no-strict-authorization , se restaura este comportamiento predeterminado.

Nombre del servicio de autenticación utilizado al configurar varios servidores TACACS+ para usar el mismo servicio de autenticación.

• Predeterminado: junos-exec

Denegar el inicio de sesión si se produce un error en la solicitud de autorización. Cuando un usuario inicia sesión, Junos OS emite dos solicitudes TACACS+: primero la solicitud de autenticación seguida de la solicitud de autorización. Cuando se especifica la strict-authorization opción, Junos OS niega el acceso al usuario incluso cuando se produce un error en la solicitud de autorización TACACS+.

• Predeterminado: De forma predeterminada, cuando la solicitud de autorización es rechazada por el servidor TACACS+, Junos OS ignora esto y permite el acceso completo al usuario.

Incluya esta instrucción si desea que los atributos de hora de inicio, hora de detención y zona horaria se incluyan en los registros de contabilidad start and stop.