Orden de autenticación para RADIUS TACACS+ y contraseña local
Junos OS admite diferentes métodos de autenticación, incluida la autenticación de contraseña local, RADIUS y TACACS+, para controlar el acceso a la red.
Cuando configure un dispositivo para que admita varios métodos de autenticación, puede priorizar el orden en que el dispositivo prueba los distintos métodos. En este tema se explica cómo funciona el orden de autenticación y cómo configurarlo en un dispositivo.
Descripción general del orden de autenticación
Usted (el administrador de red) puede configurar la instrucción para priorizar el orden en que authentication-order se prueban distintos métodos de autenticación para comprobar el acceso de los usuarios a un enrutador o conmutador.Junos OS Si no establece un orden de autenticación, de forma predeterminada, verifica a los usuarios en función de sus contraseñas locales configuradas.Junos OS
Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, siempre se intenta de forma predeterminada la autenticación de contraseña local como último recurso.Junos OS
Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores rechazan la solicitud, el manejo de la solicitud es más complicado.
-
Si se incluye (autenticación de contraseña local) al final del orden de autenticación y los servidores de autenticación remota rechazan la solicitud de autenticación, el dispositivo intenta la autenticación de contraseña local.
password -
Si (autenticación de contraseña local) no se incluye en el orden de autenticación y los servidores de autenticación remotos rechazan la solicitud de autenticación, la solicitud finaliza con el rechazo.
password
Por lo tanto, el dispositivo debe incluir como opción de orden de autenticación final para que el dispositivo intente la autenticación de contraseña local en caso de que los servidores de autenticación remotos rechacen la solicitud.password
Si el orden de autenticación se establece en , el dispositivo solo utiliza la autenticación de contraseña local.authentication-order password
- Uso de la autenticación remota
- Cómo usar la autenticación de contraseña local
- Orden de los intentos de autenticación
Uso de la autenticación remota
Puede configurar Junos OS para que sea un cliente de autenticación RADIUS o TACACS+ (o una combinación).
Si un método de autenticación incluido en la instrucción no está disponible, o si el método de autenticación está disponible pero el servidor de autenticación correspondiente devuelve una respuesta de rechazo, pruebe el siguiente método de autenticación incluido en la instrucción.authentication-orderJunos OSauthentication-order
La autenticación del servidor RADIUS o TACACS+ puede fallar por uno o varios de los siguientes motivos:
-
El método de autenticación está configurado, pero no se configuran los servidores de autenticación correspondientes. Por ejemplo, los métodos de autenticación RADIUS y TACACS+ se incluyen en la instrucción, pero los servidores RADIUS o TACACS+ correspondientes no están configurados en los niveles respectivos y jerárquicos.
authentication-order[edit system radius-server][edit system tacplus-server] -
El servidor de autenticación no responde antes del valor de tiempo de espera configurado para ese servidor, o antes del tiempo de espera predeterminado, si no se ha configurado ningún tiempo de espera.
-
No se puede acceder al servidor de autenticación debido a un problema de red.
El servidor de autenticación puede devolver una respuesta de rechazo por uno o ambos de los siguientes motivos:
-
El perfil de usuario de un usuario que accede a un enrutador o conmutador no está configurado en el servidor de autenticación.
-
El usuario escribe credenciales de inicio de sesión incorrectas.
Cómo usar la autenticación de contraseña local
Puede configurar explícitamente el método de autenticación en la instrucción o utilizar este método como mecanismo de reserva cuando se produce un error en los servidores de autenticación remotos.passwordauthentication-order El método de autenticación consulta los perfiles de usuario locales configurados en el nivel de jerarquía.password[edit system login] Los usuarios pueden iniciar sesión en un enrutador o conmutador con su nombre de usuario y contraseña locales en los siguientes escenarios:
-
El método de autenticación de contraseña () se configura explícitamente como uno de los métodos de autenticación de la instrucción.
passwordauthentication-orderEn este caso, el dispositivo intenta la autenticación de contraseña local si ningún método de autenticación anterior acepta las credenciales de inicio de sesión. Esto es cierto si los métodos de autenticación anteriores no responden o si devuelven una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.
-
El método de autenticación de contraseña no está configurado explícitamente como uno de los métodos de autenticación de la instrucción.
authentication-orderEn este caso, el sistema operativo sólo intenta la autenticación de contraseña local si todos los métodos de autenticación configurados no responden. El sistema operativo no utiliza la autenticación de contraseña local si algún método de autenticación configurado devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.
Orden de los intentos de autenticación
describe cómo la instrucción en el nivel jerárquico determina el procedimiento que Junos OS utiliza para autenticar a los usuarios para el acceso a un dispositivo.Tabla 1authentication-order[edit system]
|
Sintaxis |
Orden de los intentos de autenticación |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Si se configuran claves públicas SSH, la autenticación de usuario SSH primero intenta realizar la autenticación de clave pública antes de utilizar los métodos de autenticación configurados en la instrucción.authentication-order Si desea que los inicios de sesión SSH usen los métodos de autenticación configurados en la instrucción sin intentar primero realizar la autenticación de clave pública, no configure las claves públicas SSH.authentication-order
Configurar el orden de autenticación para RADIUS, TACACS+ y autenticación de contraseña local
Con la instrucción, puede priorizar el orden en el que se prueban los distintos métodos de autenticación al verificar el acceso de los usuarios a un enrutador o conmutador.authentication-orderJunos OS Si no establece un orden de autenticación, de forma predeterminada, los usuarios se verifican en función de sus contraseñas configuradas localmente.
Al configurar una contraseña con texto sin formato y confiar en ella para cifrarla, sigue enviando la contraseña a través de Internet en texto sin formato.Junos OS El uso de contraseñas precifradas es más seguro porque significa que el texto sin formato de la contraseña nunca tiene que enviarse a través de Internet. Además, con las contraseñas, solo se puede asignar una contraseña a un usuario a la vez.
Por otro lado, RADIUS y TACACS+ cifran contraseñas. Estos métodos de autenticación le permiten asignar un conjunto de usuarios a la vez en lugar de asignar usuarios uno por uno. Pero así es como difieren estos sistemas de autenticación:
-
RADIUS utiliza UDP; TACACS+ utiliza TCP.
-
RADIUS cifra solo la contraseña durante la transmisión, mientras que TACACS+ cifra toda la sesión.
-
RADIUS combina autenticación (dispositivo) y autorización (usuario), mientras que TACACS+ separa autenticación, autorización y responsabilidad.
En resumen, TACACS+ es más seguro que RADIUS. Sin embargo, RADIUS tiene un mejor rendimiento y es más interoperable. RADIUS es ampliamente compatible, mientras que TACACS+ es un producto propietario de Cisco y no es ampliamente compatible fuera de Cisco.
Puede configurar el orden de autenticación en función del sistema, sus restricciones, su política de TI y sus preferencias operativas.
Para configurar el orden de autenticación, incluya la instrucción en el nivel de jerarquía.authentication-order[edit system]
[edit system] user@host# set authentication-order [authentication-methods ]
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.
Las siguientes son las posibles opciones de entrada de órdenes de autenticación:
-
radius: verifique el usuario mediante servidores de autenticación RADIUS. -
tacplus: verifique el usuario mediante los servidores de autenticación TACACS+. -
: verifique el usuario utilizando el nombre de usuario y la contraseña configurados localmente en la instrucción de autenticación en el nivel de jerarquía.
password[edit system login user]
La secuencia de autenticación del Protocolo de autenticación por desafío mutuo (CHAP) no puede durar más de 30 segundos. Si se tarda más de 30 segundos en autenticar un cliente, la autenticación se abandona y se inicia una nueva secuencia.
Por ejemplo, suponga que configura tres servidores RADIUS para que el enrutador o conmutador intente ponerse en contacto con cada servidor tres veces. Suponga además que, con cada reintento, el servidor agota el tiempo de espera después de 3 segundos. En este escenario, el tiempo máximo asignado al método de autenticación RADIUS antes de que CHAP lo considere un error es de 27 segundos. Si agrega más servidores RADIUS a esta configuración, es posible que no se contacte con ellos porque es posible que se abandone el proceso de autenticación antes de probar estos servidores.
Junos OS impone un límite en el número de solicitudes de servidor de autenticación permanente que la autenticación CHAP puede tener a la vez. Por lo tanto, un método de servidor de autenticación (RADIUS, por ejemplo) podría no autenticar a un cliente cuando se supera este límite. Si se produce un error en la autenticación, el enrutador o conmutador vuelve a iniciar la secuencia de autenticación hasta que la autenticación se realice correctamente y se establezca el vínculo. Sin embargo, si los servidores RADIUS no están disponibles y se configuran métodos de autenticación adicionales, como o también están configurados, se prueba el siguiente método de autenticación.tacpluspassword
En el ejemplo siguiente se muestra cómo configurar y autenticar:radiuspassword
[edit system] user@switch# set authentication-order [ radius password ]
En el ejemplo siguiente se muestra cómo insertar la instrucción después de la instrucción:tacplusradius
[edit system] user@switch# insert authentication-order tacplus after radius
En el ejemplo siguiente se muestra cómo eliminar la instrucción del orden de autenticación:radius
[edit system] user@switch# delete authentication-order radius
Ejemplo: Configurar orden de autenticación
En este ejemplo se muestra cómo configurar el orden de autenticación para el inicio de sesión del usuario.
Requisitos
Antes de comenzar, realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.
Descripción general
Puede configurar el orden de los métodos de autenticación que utiliza un dispositivo para comprobar el acceso de los usuarios al dispositivo. Para cada intento de inicio de sesión, el dispositivo prueba los métodos de autenticación en el orden configurado, hasta que la contraseña coincida o se hayan probado todos los métodos de autenticación. Si no configura la autenticación remota, los usuarios se verifican en función de sus contraseñas locales configuradas.
En este ejemplo se configura el dispositivo para intentar la autenticación de usuario primero con los servicios de autenticación RADIUS, luego con los servicios de autenticación TACACS+ y, por último, con la autenticación de contraseña local.
Cuando utilice la autenticación de contraseña local, debe crear una cuenta de usuario local para cada usuario que desee tener acceso al sistema. Sin embargo, cuando utiliza servidores de autenticación remota, puede crear cuentas de plantilla (con fines de autorización) que comparta un conjunto de usuarios. Cuando se asigna un usuario a una cuenta de plantilla, el nombre de usuario de la interfaz de línea de comandos (CLI) es el nombre de inicio de sesión; sin embargo, el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de plantilla.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese al modo de configuración.[edit]commit
delete system authentication-order set system authentication-order radius insert system authentication-order tacplus after radius insert system authentication-order password after tacplus
Configuración rápida de la GUI
Procedimiento paso a paso
Para configurar el orden de autenticación:
-
En la interfaz de usuario de J-Web, seleccione .
Configure>System Properties>User Management -
Haga clic en .
EditAparecerá el cuadro de diálogo Editar administración de usuarios. -
Seleccione la pestaña.
Authentication Method and Order -
En Métodos disponibles, seleccione el método de autenticación que el dispositivo debe usar para autenticar a los usuarios. Utilice el botón de flecha para mover el elemento a la lista Métodos seleccionados. Los métodos disponibles incluyen:
-
RADIUS
-
TACACS+
-
Contraseña local
Si desea utilizar varios métodos para autenticar usuarios, repita este paso para agregar los demás métodos a la lista Métodos seleccionados.
-
-
En Métodos seleccionados, utilice la flecha arriba y la flecha abajo para especificar el orden en que el dispositivo debe ejecutar los métodos de autenticación.
-
Haga clic para comprobar su configuración y guardarla como configuración candidata.
OK -
Después de configurar el dispositivo, haga clic en .
Commit Options>Commit
Procedimiento paso a paso
Para configurar el orden de autenticación:
-
Elimine cualquier instrucción existente .
authentication-order[edit] user@host# delete system authentication-order
-
Agregue autenticación RADIUS al orden de autenticación.
[edit] user@host# set system authentication-order radius
-
Agregue autenticación TACACS+ al orden de autenticación.
[edit] user@host# insert system authentication-order tacplus after radius
-
Agregue autenticación de contraseña local al orden de autenticación.
[edit] user@host# insert system authentication-order password after tacplus
Resultados
En el modo de configuración, confirme la configuración introduciendo el comando.show system authentication-order Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show system authentication-order authentication-order [ radius tacplus password ];
Después de configurar el dispositivo, ingrese al modo de configuración.commit
Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y crear cuentas de usuario o cuentas de plantilla de usuario.
-
Configure un servidor RADIUS. Consulte Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema.
-
Configure un servidor TACACS+. Consulte Ejemplo: Configurar un servidor TACACS+ para la autenticación del sistema.
-
Configure un usuario. Consulte Ejemplo: Configurar nuevas cuentas de usuario.
-
Configure cuentas de plantilla. Consulte Ejemplo: Crear cuentas de plantilla.
Verificación
Confirme que la configuración funcione correctamente.
Comprobar la configuración del orden de autenticación
Propósito
Compruebe que el dispositivo utiliza los métodos de autenticación en el orden configurado.
Acción
Cree un usuario de prueba que tenga una contraseña diferente para cada método de autenticación. Inicie sesión en el dispositivo con las diferentes contraseñas. Compruebe que el dispositivo consulta los métodos de autenticación posteriores cuando los métodos anteriores rechazan la contraseña o no responden.
Como alternativa, en un entorno de prueba, puede desactivar la configuración del servidor de autenticación o la configuración de la cuenta de usuario local (o ambas) para probar cada método de autenticación. Por ejemplo, para probar el servidor TACACS+, puede desactivar la configuración del servidor RADIUS y la cuenta local del usuario. Sin embargo, si desactiva la cuenta local del usuario, debe asegurarse de que el usuario sigue asignando a una cuenta de plantilla de usuario local, como la plantilla de usuario.remote
Ejemplo: Configurar la autenticación del sistema para RADIUS, TACACS+ y autenticación de contraseña
En el siguiente ejemplo, se muestra cómo configurar la autenticación del sistema para RADIUS, TACACS+ y la autenticación de contraseña en un dispositivo que ejecuta Junos OS.
En este ejemplo, solo el usuario Philip y los usuarios autenticados por un servidor RADIUS pueden iniciar sesión. Si un usuario inicia sesión y el servidor RADIUS no lo autentica , se le deniega el acceso al enrutador o conmutador. Si el servidor RADIUS no está disponible, el usuario se autentica utilizando el método de autenticación y se le permite el acceso al enrutador o conmutador.password Para obtener más información acerca del método de autenticación de contraseña, consulte .Descripción general del orden de autenticación
Cuando Philip intenta iniciar sesión en el sistema, si el servidor RADIUS lo autentica, se le da acceso y privilegios para la clase.super-user Las cuentas locales no están configuradas para otros usuarios. Cuando inician sesión en el sistema y el servidor RADIUS los autentica, se les concede acceso utilizando el mismo ID de usuario (UID) 9999 y los privilegios asociados con la clase.operator
[edit]
system {
authentication-order radius;
login {
user philip {
full-name "Philip";
uid 1001;
class super-user;
}
user remote {
full-name "All remote users";
uid 9999;
class operator;
}
}
}
Para fines de autorización, puede usar una cuenta de plantilla para crear una sola cuenta que un conjunto de usuarios pueda compartir al mismo tiempo. Por ejemplo, al crear una cuenta de plantilla remota, un conjunto de usuarios remotos puede compartir simultáneamente un único UID. Para obtener más información acerca de las cuentas de plantilla, consulte .Ejemplo: Configurar orden de autenticación
Cuando un usuario inicia sesión en un dispositivo, el servidor RADIUS o TACACS+ utiliza el nombre de inicio de sesión del usuario para la autenticación. Si el servidor de autenticación autentica al usuario correctamente y el usuario no está configurado en el nivel de jerarquía, este es el resultado:[edit system login user] El dispositivo utiliza la cuenta de usuario de plantilla remota predeterminada para el usuario, siempre que se configure una cuenta de plantilla remota en el nivel de jerarquía.edit system login user remote La cuenta de plantilla remota sirve como cuenta de usuario de plantilla predeterminada para todos los usuarios autenticados por el servidor de autenticación pero que carecen de una cuenta de usuario configurada localmente en el dispositivo. Estos usuarios comparten la misma clase de inicio de sesión y UID.
Para configurar un usuario de plantilla alternativo, especifique el parámetro devuelto en el paquete de respuesta de autenticación RADIUS.user-name No todos los servidores RADIUS permiten cambiar este parámetro. A continuación se muestra un ejemplo de configuración de Junos OS:
[edit]
system {
authentication-order radius;
login {
user philip {
full-name "Philip";
uid 1001;
class super-user;
}
user operator {
full-name "All operators";
uid 9990;
class operator;
}
user remote {
full-name "All remote users";
uid 9999;
class read-only;
}
}
}
Suponga que el servidor RADIUS está configurado con la siguiente información:
Usuario Philip con contraseña "olympia"
Usuario Alexander con contraseña "bucephalus" y nombre de usuario "operator"
Usuario Darius con contraseña "pelirroja" y nombre de usuario "operador"
Usuario Roxane con contraseña "athena"
A Philip se le daría acceso como superusuario () debido a que tiene una cuenta de usuario local única.super-user Alexander y Darius comparten UID 9990 y tienen acceso como operadores. Roxane no tiene anulación de usuario de plantilla y, por lo tanto, comparte el acceso con todos los demás usuarios remotos, obteniendo acceso de solo lectura.