Orden de autenticación para RADIUS TACACS+ y contraseña local
Junos OS admite diferentes métodos de autenticación, incluyendo la autenticación de contraseña local, RADIUS y TACACS+, para controlar el acceso a la red.
Cuando configure un dispositivo para que admita varios métodos de autenticación, puede priorizar el orden en el que el dispositivo intenta los distintos métodos. En este tema, se explica cómo funciona el orden de autenticación y cómo configurarlo en un dispositivo.
Descripción general del pedido de autenticación
Usted (el administrador de red) puede configurar la instrucción para priorizar el authentication-order orden en el que Junos OS intenta diferentes métodos de autenticación para comprobar el acceso del usuario a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, Junos OS verifica a los usuarios en función de sus contraseñas locales configuradas.
Si el pedido de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, Junos OS siempre se debe probar de forma predeterminada la autenticación de contraseña local como último recurso.
Si el pedido de autenticación incluye servidores RADIUS o TACACS+, pero los servidores rechazan la solicitud, la gestión de la solicitud es más complicada.
-
Si
password(autenticación de contraseña local) se incluye al final del pedido de autenticación y los servidores de autenticación remoto rechazan la solicitud de autenticación, el dispositivo intenta la autenticación de contraseña local. -
Si
password(la autenticación de contraseña local) no se incluye en el orden de autenticación y los servidores de autenticación remotos rechazan la solicitud de autenticación, la solicitud termina con el rechazo.
Por lo tanto, el dispositivo debe incluir password como opción de orden de autenticación final para que el dispositivo intente la autenticación de contraseña local en caso de que los servidores de autenticación remota rechacen la solicitud.
Si el orden de autenticación se establece en authentication-order password, el dispositivo solo usa la autenticación de contraseña local.
- Uso de autenticación remota
- Cómo usar la autenticación de contraseña local
- Orden de intentos de autenticación
Uso de autenticación remota
Puede configurar Junos OS para que sea un cliente de autenticación RADIUS o TACACS+ (o una combinación).
Si un método de autenticación incluido en la authentication-order instrucción no está disponible o si el método de autenticación está disponible pero el servidor de autenticación correspondiente devuelve una respuesta de rechazo, Junos OS intenta el siguiente método de autenticación incluido en la authentication-order instrucción.
Es posible que la autenticación del servidor RADIUS o TACACS+ falle por una o varias de las siguientes razones:
-
El método de autenticación está configurado, pero los servidores de autenticación correspondientes no están configurados. Por ejemplo, los métodos de autenticación RADIUS y TACACS+ se incluyen en la
authentication-orderinstrucción, pero los servidores RADIUS o TACACS+ correspondientes no están configurados en los niveles respectivos[edit system radius-server]y[edit system tacplus-server]de jerarquía. -
El servidor de autenticación no responde antes del valor de tiempo de espera configurado para ese servidor ni antes del tiempo de espera predeterminado, si no se configura ningún tiempo de espera.
-
El servidor de autenticación no es accesible debido a un problema de red.
El servidor de autenticación puede devolver una respuesta de rechazo por una o ambas de las siguientes razones:
-
El perfil de usuario de un usuario que accede a un enrutador o conmutador no está configurado en el servidor de autenticación.
-
El usuario introduce credenciales de inicio de sesión incorrectas.
Cómo usar la autenticación de contraseña local
Puede configurar explícitamente el método de password autenticación en la authentication-order instrucción o usar este método como mecanismo de reserva cuando fallan los servidores de autenticación remota. El password método de autenticación consulta los perfiles de usuario locales configurados en el [edit system login] nivel jerárquico. Los usuarios pueden iniciar sesión en un enrutador o cambiar con su nombre de usuario y contraseña locales en las siguientes situaciones:
-
El método de autenticación de contraseña (
password) está configurado explícitamente como uno de los métodos de autenticación de laauthentication-orderinstrucción.En este caso, el dispositivo intenta la autenticación de contraseña local si ningún método de autenticación anterior acepta las credenciales de inicio de sesión. Esto es cierto si los métodos de autenticación anteriores no responden o devuelven una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.
-
El método de autenticación de contraseña no está configurado explícitamente como uno de los métodos de autenticación de la
authentication-orderinstrucción.En este caso, el sistema operativo solo intenta la autenticación de contraseña local si todos los métodos de autenticación configurados no responden. El sistema operativo no usa la autenticación de contraseña local si algún método de autenticación configurado devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.
Orden de intentos de autenticación
Tabla 1 describe cómo la authentication-order instrucción en el [edit system] nivel de jerarquía determina el procedimiento que Junos OS usa para autenticar a los usuarios para el acceso a un dispositivo.
|
Sintaxis |
Orden de intentos de autenticación |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Si se configuran claves públicas SSH, la autenticación de usuario SSH primero intenta realizar la autenticación de clave pública antes de usar los métodos de autenticación configurados en la authentication-order instrucción. Si desea que los inicios de sesión SSH usen los métodos de autenticación configurados en la authentication-order instrucción sin intentar primero realizar la autenticación de clave pública, no configure las claves públicas SSH.
Configure la orden de autenticación para RADIUS, TACACS+ y autenticación de contraseña local
Con la authentication-order instrucción, puede priorizar el orden en el que Junos OS intenta los diferentes métodos de autenticación al verificar el acceso del usuario a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, los usuarios se verifican según sus contraseñas configuradas localmente.
Cuando configura una contraseña con texto sin formato y confía en Junos OS cifrarla, sigue enviando la contraseña a través de Internet en texto sin formato. El uso de contraseñas pre cifradas es más seguro, ya que significa que el texto sin formato de la contraseña nunca tiene que enviarse a través de Internet. Además, con contraseñas, solo se puede asignar un usuario a una contraseña a la vez.
Por otro lado, RADIUS y TACACS+ cifran contraseñas. Estos métodos de autenticación le permiten asignar un conjunto de usuarios a la vez en lugar de asignar usuarios uno a uno. Sin embargo, estos sistemas de autenticación difieren:
-
RADIUS usa UDP; TACACS+ usa TCP.
-
RADIUS cifra solo la contraseña durante la transmisión, mientras que TACACS+ cifra toda la sesión.
-
RADIUS combina autenticación (dispositivo) y autorización (usuario), mientras que TACACS+ separa la autenticación, la autorización y la responsabilidad.
En resumen, TACACS+ es más seguro que RADIUS. Sin embargo, RADIUS tiene un mejor rendimiento y es más interoperable. RADIUS es ampliamente compatible, mientras que TACACS+ es un producto patentado de Cisco y no es ampliamente compatible fuera de Cisco.
Puede configurar el pedido de autenticación según su sistema, sus restricciones y su política de TI y preferencias operativas.
Para configurar el orden de autenticación, incluya la authentication-order instrucción en el [edit system] nivel de jerarquía.
[edit system] user@host# set authentication-order [authentication-methods ]
Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección resumen de instrucción de esta instrucción.
Las siguientes son las posibles opciones de entrada de pedido de autenticación:
-
radius— Compruebe que el usuario utiliza los servidores de autenticación RADIUS. -
tacplus—Compruebe que el usuario utiliza los servidores de autenticación TACACS+. -
password— Compruebe que el usuario utiliza el nombre de usuario y la contraseña configurados localmente en la instrucción de autenticación en el[edit system login user]nivel jerárquico.
La secuencia de autenticación del Protocolo de autenticación de apretón de manos de desafío (CHAP) no puede tardar más de 30 segundos. Si la autenticación de un cliente tarda más de 30 segundos, se abandona la autenticación y se inicia una nueva secuencia.
Por ejemplo, suponga que configura tres servidores RADIUS para que el enrutador o conmutador intente ponerse en contacto con cada servidor tres veces. Supongamos además que, con cada reintento, el tiempo de espera del servidor después de 3 segundos. En este caso, el tiempo máximo otorgado al método de autenticación RADIUS antes de que CHAP lo considere como un error es de 27 segundos. Si agrega más servidores RADIUS a esta configuración, es posible que no se contacte con ellos, ya que es posible que se abandone el proceso de autenticación antes de probar estos servidores.
Junos OS aplica un límite en la cantidad de solicitudes de servidor de autenticación permanente que la autenticación CHAP puede tener a la vez. Por lo tanto, un método de servidor de autenticación (RADIUS, por ejemplo) puede no autenticar un cliente cuando se supera este límite. Si se produce un error en la autenticación, el enrutador o el conmutador vuelven a activar la secuencia de autenticación hasta que la autenticación tenga éxito y se establezca el vínculo. Sin embargo, si los servidores RADIUS no están disponibles y otros métodos de autenticación como tacplus o password también están configurados, se prueba el siguiente método de autenticación.
En el siguiente ejemplo, se muestra cómo configurar radius y password autenticar:
[edit system] user@switch# set authentication-order [ radius password ]
En el ejemplo siguiente se muestra cómo insertar la tacplus instrucción después de la radius instrucción:
[edit system] user@switch# insert authentication-order tacplus after radius
En el ejemplo siguiente se muestra cómo eliminar la radius instrucción del orden de autenticación:
[edit system] user@switch# delete authentication-order radius
Ejemplo: Configurar orden de autenticación
En este ejemplo, se muestra cómo configurar el orden de autenticación para el inicio de sesión del usuario.
Requisitos
Antes de comenzar, realice la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.
Descripción general
Puede configurar el orden de métodos de autenticación que un dispositivo usa para comprobar el acceso del usuario al dispositivo. Para cada intento de inicio de sesión, el dispositivo intenta los métodos de autenticación en el orden configurado, hasta que la contraseña coincida o todos los métodos de autenticación hayan sido probados. Si no configura la autenticación remota, los usuarios se verifican según sus contraseñas locales configuradas.
En este ejemplo, se configura el dispositivo para intentar la autenticación de usuario con los servicios de autenticación RADIUS primero, luego con los servicios de autenticación TACACS+ y, por último, con la autenticación de contraseña local.
Cuando utilice autenticación de contraseña local, debe crear una cuenta de usuario local para cada usuario que desee acceder al sistema. Sin embargo, cuando se utilizan servidores de autenticación remotos, puede crear cuentas de plantilla (con fines de autorización) que un conjunto de usuarios comparta. Cuando se asigna un usuario a una cuenta de plantilla, el nombre de usuario de la interfaz de línea de comandos (CLI) es el nombre de inicio de sesión; sin embargo, el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de la plantilla.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit en el modo de configuración.
delete system authentication-order set system authentication-order radius insert system authentication-order tacplus after radius insert system authentication-order password after tacplus
Configuración rápida de GUI
Procedimiento paso a paso
Para configurar el orden de autenticación:
-
En la interfaz de usuario de J-Web, seleccione
Configure>System Properties>User Management. -
Haga clic en
Edit. Aparecerá el cuadro de diálogo Editar administración de usuarios. -
Seleccione la
Authentication Method and Orderpestaña. -
En Métodos disponibles, seleccione el método de autenticación que el dispositivo debe usar para autenticar a los usuarios. Utilice el botón de flecha para mover el elemento a la lista Métodos seleccionados. Los métodos disponibles incluyen:
-
RADIUS
-
TACACS+
-
Contraseña local
Si desea usar varios métodos para autenticar usuarios, repita este paso para agregar los demás métodos a la lista Métodos seleccionados.
-
-
En Métodos seleccionados, utilice las flechas hacia arriba y hacia abajo para especificar el orden en el que el dispositivo debe ejecutar los métodos de autenticación.
-
Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata. -
Después de configurar el dispositivo, haga clic en
Commit Options>Commit.
Procedimiento paso a paso
Para configurar el orden de autenticación:
-
Elimine cualquier instrucción existente
authentication-order.[edit] user@host# delete system authentication-order
-
Agregue la autenticación RADIUS al orden de autenticación.
[edit] user@host# set system authentication-order radius
-
Agregue la autenticación TACACS+ al orden de autenticación.
[edit] user@host# insert system authentication-order tacplus after radius
-
Agregue la autenticación de contraseña local al orden de autenticación.
[edit] user@host# insert system authentication-order password after tacplus
Resultados
En el modo de configuración, ingrese el comando para confirmar la show system authentication-order configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show system authentication-order authentication-order [ radius tacplus password ];
Después de configurar el dispositivo, ingrese commit al modo de configuración.
Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y crear cuentas de usuario o cuentas de plantilla de usuario.
-
Configure un servidor RADIUS. Consulte Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema.
-
Configure un servidor TACACS+. Consulte Ejemplo: Configurar un servidor TACACS+ para la autenticación del sistema.
-
Configure un usuario. Consulte Ejemplo: Configurar nuevas cuentas de usuario.
-
Configure cuentas de plantilla. Consulte Ejemplo: Crear cuentas de plantillas.
Verificación
Confirme que la configuración funciona correctamente.
Verificar la configuración del pedido de autenticación
Propósito
Compruebe que el dispositivo usa los métodos de autenticación en el orden configurado.
Acción
Cree un usuario de prueba que tenga una contraseña diferente para cada método de autenticación. Inicie sesión en el dispositivo con las diferentes contraseñas. Compruebe que el dispositivo consulta métodos de autenticación posteriores cuando los métodos anteriores rechacen la contraseña o no respondan.
Alternativamente, en un entorno de prueba, puede desactivar la configuración del servidor de autenticación o la configuración de la cuenta de usuario local (o ambas) para probar cada método de autenticación. Por ejemplo, para probar el servidor TACACS+, puede desactivar la configuración del servidor RADIUS y la cuenta local del usuario. Sin embargo, si desactiva la cuenta local del usuario, debe asegurarse de que el usuario sigue asignando a una cuenta de plantilla de usuario local, como la plantilla de remote usuario.
Ejemplo: Configurar la autenticación del sistema para RADIUS, TACACS+ y autenticación de contraseña
En el siguiente ejemplo, se muestra cómo configurar la autenticación de sistema para RADIUS, TACACS+ y autenticación de contraseña en un dispositivo que ejecuta Junos OS.
En este ejemplo, solo el usuario Philip y los usuarios autenticados por un servidor RADIUS pueden iniciar sesión. Si un usuario inicia sesión y no está autenticado por el servidor RADIUS, se le niega el acceso al enrutador o conmutador. Si el servidor RADIUS no está disponible, el usuario se autentica mediante el método de password autenticación y se permite el acceso al enrutador o conmutador. Para obtener más información acerca del método de autenticación de contraseña, consulte Descripción general del pedido de autenticación.
Cuando Philip intenta iniciar sesión en el sistema, si el servidor RADIUS lo autentica, se le da acceso y privilegios para la super-user clase. Las cuentas locales no están configuradas para otros usuarios. Cuando inician sesión en el sistema y el servidor RADIUS los autentica, se les da acceso mediante el mismo ID de usuario (UID) 9999 y los privilegios asociados con la operator clase.
[edit]
system {
authentication-order radius;
login {
user philip {
full-name "Philip";
uid 1001;
class super-user;
}
user remote {
full-name "All remote users";
uid 9999;
class operator;
}
}
}
Para fines de autorización, puede usar una cuenta de plantilla para crear una cuenta única que un conjunto de usuarios pueda compartir al mismo tiempo. Por ejemplo, cuando se crea una cuenta de plantilla remota, un conjunto de usuarios remotos puede compartir simultáneamente un único UID. Para obtener más información acerca de las cuentas de plantilla, consulte Ejemplo: Configurar orden de autenticación.
Cuando un usuario inicia sesión en un dispositivo, el servidor RADIUS o TACACS+ usa el nombre de inicio de sesión del usuario para la autenticación. Si el servidor de autenticación autentica al usuario correctamente y el usuario no está configurado en el [edit system login user] nivel jerárquico, este es el resultado: El dispositivo usa la cuenta de usuario de plantilla remota predeterminada para el usuario, siempre que se configure una cuenta de plantilla remota en el edit system login user remote nivel de jerarquía. La cuenta de plantilla remota sirve como una cuenta de usuario de plantilla predeterminada para todos los usuarios autenticados por el servidor de autenticación, pero que carecen de una cuenta de usuario configurada localmente en el dispositivo. Estos usuarios comparten la misma clase de inicio de sesión y UID.
Para configurar un usuario de plantilla alternativo, especifique el user-name parámetro devuelto en el paquete de respuesta de autenticación RADIUS. No todos los servidores RADIUS le permiten cambiar este parámetro. A continuación, se muestra una configuración de Ejemplo de Junos OS:
[edit]
system {
authentication-order radius;
login {
user philip {
full-name "Philip";
uid 1001;
class super-user;
}
user operator {
full-name "All operators";
uid 9990;
class operator;
}
user remote {
full-name "All remote users";
uid 9999;
class read-only;
}
}
}
Supongamos que el servidor RADIUS está configurado con la siguiente información:
El usuario Philip con contraseña "olympia"
Alexander de usuario con contraseña "bucephalus" y nombre de usuario "operador"
Darius usuario con contraseña "pelirroja" y nombre de usuario "operador"
El usuario Roxane con contraseña "athena"
Philip tendría acceso como superusuario (super-user) debido a que tiene una cuenta de usuario única y local. Alexander y Darius comparten UID 9990 y tienen acceso como operadores. Roxane no tiene reemplazo de plantilla-usuario y, por lo tanto, comparte el acceso con todos los demás usuarios remotos, obteniendo acceso de solo lectura.