Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Orden de autenticación para LDAPS, RADIUS, TACACS+ y contraseña local

Junos OS diferentes métodos, como autenticación de contraseña local, LDAPS, RADIUS y TACACS+ para controlar el acceso a la red. A partir Junos OS versión 20.2R1, presentamos la compatibilidad con LDAPS para el inicio de sesión de usuario con seguridad TLS entre el cliente LDAPS y el servidor LDAPS. Los métodos de autenticación se utilizan para validar a los usuarios que intentan acceder al enrutador o conmutador mediante Telnet. Puede priorizar los métodos para configurar el orden en el que Junos OS intenta los distintos métodos de autenticación al comprobar el acceso de usuario a un enrutador, conmutador o dispositivo de seguridad. Para obtener más información, lea este tema.

Determine el orden de autenticación para la autenticación de ldaps, RADIUS, TACACS+ y contraseña

Con la authentication-order instrucción, puede asignar prioridad al orden en que el Junos os prueba los distintos métodos de autenticación cuando comprueba el acceso de los usuarios a un enrutador o conmutador.

Si los servidores LDAP, RADIUS o TACACS+ están configurados en el orden de autenticación, pero no hay respuesta de ellos a una solicitud, Junos OS siempre es predeterminado probar la autenticación de contraseña local como último recurso. Si el orden de autenticación se establece authentication-order passworden, será el único método de autenticación que se intente.

Nota:

No es posible y no tendría sentido intentar configurar la autenticación de contraseña local antes de LDAPS, RADIUS, TACACS + o en el orden porque no puede producirse "ninguna respuesta". Una solicitud de autenticación local siempre será aceptada o rechazada.

El manejo de una solicitud de autenticación rechazada cuando LDAPS, RADIUS o TACACS+ están presentes es más complicado.

  • En Junos OS, si (autenticación de contraseña local) no está en el orden de autenticación y LDAPS, RADIUS o TACACS+ rechaza la autenticación, la solicitud finaliza con el password denegado.

  • En Junos OS Evolucionado, si (autenticación de contraseña local) no está en el orden de autenticación y RADIUS o TACACS+ rechaza la autenticación, Junos OS Evolucionado aún intenta para una comprobación de autenticación password local.

  • Si password se incluye al final del pedido de autenticación y RADIUS o TACACS+ rechaza la autenticación, Junos OS y Junos OS Evolucionado intentan una comprobación de autenticación local.

En otras palabras, incluso como opción de orden de autenticación final en Junos OS es un medio mediante el cual puede elegir si un rechace de LDAPS, RADIUS o TACACS+ termina allí o si se le debe dar una última oportunidad de autenticación password localmente.

Uso de AUTENTICACIÓN LDAPS, RADIUS y TACACS+.

Puede configurar las Junos OS para que sean un cliente LDAPS, RADIUS o TACACS+autenticación.

Si un método de autenticación incluido en la instrucción no está disponible o si la autenticación está disponible pero devuelve una respuesta de rechazar, Junos OS intenta el siguiente método de autenticación incluido en [authentication-order] la authentication-order instrucción.

La autenticación de servidor LDAP, RADIUS o TACACS+ podría producirse un error debido a los siguientes motivos:

  • El método de autenticación está configurado, pero no se han configurado los servidores de autenticación correspondientes. Por ejemplo, los métodos de autenticación RADIUS y TACACS+ se incluyen en la instrucción, pero los servidores RADIUS o TACACS+ correspondientes no están configurados en los niveles respectivos y jerárquicos. authentication-order[edit system radius-server][edit system tacplus-server]

  • El servidor RADIUS o TACACS + no responde en el periodo de tiempo de espera configurado [edit system radius-server] en [edit system tacplus-server] los niveles o en la jerarquía.

  • El servidor RADIUS o TACACS + no es accesible debido a un problema de red.

La RADIUS, TACACS+ o de servidor LDAPS puede devolver una respuesta de rechazar debido a los siguientes motivos:

  • Es posible que los perfiles de usuario de los usuarios que acceden a un enrutador o conmutador no se configuren en el servidor RADIUS, TACACS+ o LDAP.

  • El usuario escribe credenciales de inicio de sesión incorrectas.

Cómo usar la autenticación de contraseña local

Puede configurar explícitamente el método de autenticación de contraseñas o utilizar este método como mecanismo de reserva cuando falle el servidor de autenticación remota. El método de autenticación de contraseña consulta los perfiles de usuario locales configurados en el nivel de [edit system login] jerarquía. Los usuarios pueden iniciar sesión en un enrutador o conmutador utilizando su nombre de usuario y contraseña local en los siguientes casos:

  • El método de autenticación de contraseñas se configura explícitamente como uno de los métodos de autenticación [authentication-order authentication-methods] en la instrucción. En este caso, se intenta el método de autenticación de contraseña si ninguna autenticación anterior acepta las credenciales de inicio de sesión. Esto es cierto si el método de autenticación anterior no responde o devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.

  • El método de autenticación de contraseñas no está configurado explícitamente como uno de los authentication-order authentication-methods métodos de autenticación en la instrucción. En Junos OS, el método de autenticación de contraseña solo se prueba si todos los métodos de autenticación configurados no responden. No se consulta si cualquier método de autenticación configurado devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos. En Junos OS evolucionado, se sigue intentando el método de autenticación de contraseña.

Orden de los intentos de autenticación

Tabla 1 describe cómo la instrucción en el nivel de jerarquía determina el procedimiento que Junos OS para autenticar a los usuarios con el fin authentication-order de tener acceso a un [edit system] dispositivo.

Tabla 1: Orden de los intentos de autenticación

Sintaxis

Orden de los intentos de autenticación

authentication-order radius;

  1. Pruebe a configurar RADIUS servidores de autenticación.

  2. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  3. En Junos OS: Si RADIUS servidor está disponible, pero la autenticación es rechazada, deniegue el acceso.

    En Junos OS evolucionado: Si RADIUS servidor está disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña.

  4. Si los servidores RADIUS no están disponibles, pruebe con la autenticación de contraseña.

authentication-order [ radius password ];

  1. Pruebe a configurar RADIUS servidores de autenticación.

  2. Si RADIUS servidores no responden o devuelven una respuesta de rechazo, intente la autenticación por contraseña, ya que está configurada de forma explícita en el orden de autenticación.

authentication-order [ radius ldaps ];

  1. Pruebe a configurar RADIUS servidores de autenticación.

  2. Si hay RADIUS servidor de red disponible y se acepta autenticación, concede acceso.

  3. Si RADIUS servidores no responden o devuelven una respuesta de rechazar, pruebe los servidores LDAP configurados.

  4. Si hay un servidor LDAP disponible y se acepta la autenticación, concede acceso.

  5. Si el servidor LDAP está disponible pero se rechaza la autenticación, denegar el acceso.

  6. Si no RADIUS y los servidores LDAP no están disponibles, pruebe la autenticación de contraseña.

authentication-order [ radius tacplus ];

  1. Pruebe a configurar RADIUS servidores de autenticación.

  2. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  3. Si RADIUS los servidores no responden o devuelven una respuesta de rechazo, pruebe con los servidores TACACS + configurados.

  4. Si se encuentra disponible TACACS + Server y se acepta la autenticación, conceda acceso.

  5. En Junos OS: Si se encuentra disponible TACACS + Server, pero la autenticación es rechazada, deniegue el acceso.

    En Junos OS evolucionado: Si el servidor TACACS+ está disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña.

  6. Si no están disponibles ni los servidores RADIUS y TACACS +, pruebe con la autenticación de contraseña.

authentication-order [ radius tacplus password ];

  1. Pruebe a configurar RADIUS servidores de autenticación.

  2. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  3. Si RADIUS los servidores no responden o devuelven una respuesta de rechazo, pruebe con los servidores TACACS + configurados.

  4. Si se encuentra disponible TACACS + Server y se acepta la autenticación, conceda acceso.

  5. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, intente la autenticación por contraseña, ya que está configurada de forma explícita en el orden de autenticación.

authentication-order tacplus;

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si se encuentra disponible TACACS + Server y se acepta la autenticación, conceda acceso.

  3. En Junos OS: Si se encuentra disponible TACACS + Server, pero la autenticación es rechazada, deniegue el acceso.

    En Junos OS evolucionado: Si el servidor TACACS+ está disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña.

  4. Si los servidores TACACS + no están disponibles, pruebe con la autenticación de contraseñas.

authentication-order [ tacplus password ];

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, intente la autenticación por contraseña, ya que está configurada de forma explícita en el orden de autenticación.

authentication-order [ tacplus radius ];

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si se encuentra disponible TACACS + Server y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, pruebe con la configuración RADIUS servers.

  4. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  5. En Junos OS: Si RADIUS servidor está disponible, pero la autenticación es rechazada, deniegue el acceso.

    En Junos OS evolucionado: Si RADIUS servidor está disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña.

  6. Si no están disponibles los servidores TACACS + y RADIUS, pruebe con la autenticación de contraseñas.

authentication-order [ tacplus ldaps ];

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si un servidor TACACS+ está disponible y se acepta autenticación, concede acceso.

  3. Si los servidores TACACS+ no responden o devuelven una respuesta de rechazar, pruebe los servidores LDAP configurados.

  4. Si el servidor LDAP está disponible y se acepta la autenticación, concede acceso.

  5. Si el servidor LDAP está disponible pero se rechaza la autenticación, denegar el acceso.

  6. Si no están disponibles los servidores TACACS + y RADIUS, pruebe con la autenticación de contraseñas.

authentication-order [ tacplus radius password ];

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si se encuentra disponible TACACS + Server y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, pruebe con la configuración RADIUS servers.

  4. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  5. Si RADIUS servidores no responden o devuelven una autenticación de contraseña de rechazo de respuesta, ya está configurada de forma explícita en el orden de autenticación.

authentication-order [ tacplus radius password ];

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si se encuentra disponible TACACS + Server y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, pruebe con la configuración RADIUS servers.

  4. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  5. Si RADIUS servidores no responden o devuelven una autenticación de contraseña de rechazo de respuesta, ya está configurada de forma explícita en el orden de autenticación.

authentication-order [ radius tacplus ldaps password ];

  1. Intente configurar los servidores de autenticación TACACS +.

  2. Si un servidor TACACS+ está disponible y se acepta autenticación, concede acceso.

  3. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, pruebe con la configuración RADIUS servers.

  4. Si RADIUS servidor está disponible y se acepta la autenticación, conceda acceso.

  5. Si RADIUS servidores no responden o devuelven una respuesta de rechazar, pruebe los servidores LDAP configurados.

  6. Si el servidor LDAP está disponible y se acepta la autenticación, concede acceso.

  7. Si los servidores LDAP no responden o devuelven una respuesta de denegación, pruebe la autenticación de contraseña, ya que está configurada explícitamente en los servidores de orden de autenticación.

authentication-order password;

  1. Intente autenticar al usuario mediante la contraseña configurada en el [edit system login] nivel de jerarquía.

  2. Si se acepta la autenticación, concede acceso.

  3. Si se rechaza la autenticación, deniegue el acceso.

authentication-order ldaps;

  1. Pruebe los servidores de autenticación LDAP configurados.

  2. Si el servidor LDAP está disponible y se acepta la autenticación, concede acceso.

  3. Si el servidor LDAP está disponible pero se rechaza la autenticación, denegar el acceso.

  4. Si los servidores LDAP no están disponibles, pruebe la autenticación de contraseña.

authentication-order [ ldaps password ];

  1. Pruebe los servidores de autenticación LDAP configurados.

  2. Si los servidores LDAP no responden o devuelven una respuesta de denegación, pruebe la autenticación de contraseña, ya que está configurada explícitamente en el orden de autenticación.

authentication-order [ ldaps tacplus ];

  1. Pruebe los servidores de autenticación LDAP configurados.

  2. Si hay un servidor LDAP disponible y se acepta la autenticación, concede acceso.

  3. Si los servidores LDAP no responden o devuelven una respuesta de rechazar, pruebe los servidores TACACS+ configurados.

  4. Si un servidor TACACS+ está disponible y se acepta autenticación, concede acceso.

  5. En Junos OS: Si se encuentra disponible TACACS + Server, pero la autenticación es rechazada, deniegue el acceso.

    En Junos OS evolucionado: Si el servidor TACACS+ está disponible pero se rechaza la autenticación, pruebe la autenticación de contraseña.

  6. Si los servidores LDAP y TACACS+ no están disponibles, pruebe la autenticación de contraseña.

authentication-order [ ldaps tacplus password ];

  1. Pruebe los servidores de autenticación LDAP configurados.

  2. Si hay un servidor LDAP disponible y se acepta la autenticación, concede acceso.

  3. Si los servidores LDAP no responden o devuelven una respuesta de rechazar, pruebe los servidores TACACS+ configurados.

  4. Si un servidor TACACS+ está disponible y se acepta autenticación, concede acceso.

  5. Si los servidores TACACS + no responden o devuelven una respuesta de rechazo, intente la autenticación por contraseña, ya que está configurada de forma explícita en el orden de autenticación.

Nota:

Si se configuran claves públicas SSH, la autenticación de usuario SSH primero intenta llevar a cabo la autenticación de clave pública antes authentication-order de utilizar los métodos de autenticación configurados en la instrucción. Si desea que los inicios de sesión de SSH usen los métodos de autenticación configurados en la instrucción sin intentar primero realizar autenticación de clave pública, no configure las authentication-order claves públicas SSH.

En una matriz de enrutamiento basada en un enrutador de matriz de transmisión, el orden de autenticación solo debe re0 configurarse en los grupos de configuración y re1. No se debe configurar el orden de autenticación en [edit system] la jerarquía. Esto se debe a que el orden de autenticación para la matriz de enrutamiento se controla en el chasis de la tarjeta de conmutación (o enrutador de matriz de transmisión) o el chasis de estructura de conmutación (para enrutadores de matriz TX Plus) solamente.

En Junos OS versión 10,0 y posteriores, el superusuario (que pertenece a la clase de inicio de sesión de Super-User) también se autentica según el orden de autenticación configurado para la autenticación de TACACS +, RADIUS authentication-order o password mediante la instrucción. Por ejemplo, si el único orden de autenticación configurado es TACACS +, el superusuario solo puede ser autenticado por el servidor TACACS + y la autenticación por contraseña no se puede usar como alternativa. Sin embargo, en Junos OS versión 9,6 y anteriores, el superusuario puede utilizar la autenticación de contraseñas para iniciar sesión, incluso si la autenticación authentication-order de contraseña no está configurada explícitamente mediante la instrucción.

Configure el orden de autenticación para ldaps, RADIUS, TACACS+ y autenticación de contraseña local

Mediante la instrucción, puede priorizar el orden en el que Junos OS intente los distintos métodos de autenticación al comprobar el acceso de usuario authentication-order a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, los usuarios se verifican según sus contraseñas configuradas.

Al configurar una contraseña con texto sin formato y confiar en Junos OS para cifrarla, sigue enviando la contraseña a través de Internet sin formato. El uso de contraseñas previamente cifradas es más seguro, ya que significa que el texto sin formato de la contraseña nunca debe enviarse a través de Internet. Además, con las contraseñas, solo se puede asignar una contraseña a un usuario a la vez.

Por otro lado, LDAPS, RADIUS y TACACS+ cifran las contraseñas. Estos métodos de autenticación le permiten asignar un conjunto de usuarios a la vez en lugar de uno a uno. Pero, esta es la diferencia entre estos sistemas de autenticación:

  • RADIUS UDP, mientras que TACACS+ y LDAPS utilizan TCP.

  • RADIUS solo cifra la contraseña durante la transmisión, mientras que LOS TACACS+ y LDAPS cifran toda la sesión.

  • RADIUS y LDAPS combinan autenticación (dispositivo) y autorización (usuario), mientras que TACACS+ separa autenticación, autorización y responsabilidad.

En resumen, TACACS+ es más seguro que RADIUS . Sin embargo, RADIUS tiene mejor rendimiento y es más interoperable. RADIUS es ampliamente compatible, mientras que TACACS + es un producto patentado por Cisco y no se admite ampliamente fuera de Cisco.

LDAPS es más seguro que RADIUS y TACACS+, ya que depende de un mecanismo de clave privada en lugar de la clave compartida utilizada en caso de RADIUS y TACACS+. El protocolo TLS protege la transmisión de datos eficazmente entre el cliente LDAP y el servidor LDAP.

Puede configurar el orden de autenticación basándose en el sistema, sus restricciones y su política de ti y sus preferencias operativas.

Para configurar el orden de autenticación, incluya authentication-order la instrucción en [edit system] el nivel de jerarquía:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

A continuación, se pueden ver las posibles opciones de entrada del pedido de autenticación:

  • radius: permite comprobar el usuario utilizando RADIUS servidores de autenticación.

  • tacplus: verifique el usuario que usa servidores de autenticación TACACS+.

  • ldaps: permite comprobar el usuario mediante servidores de autenticación LDAPS.

  • password: permite comprobar el usuario mediante el nombre de usuario y la contraseña configurados localmente incluyendo la instrucción de autenticación en el [edit system login user] nivel jerárquido.

Para obtener detalles sobre cómo ordenar estos métodos de autenticación, consulte Determinar el orden de autenticación para LDAPS, RADIUS, TACACS+ y autenticación de contraseña

La secuencia de autenticación CHAP no puede durar más de 30 segundos. Si se tarda más tiempo en autenticar a un cliente, se abandonará la autenticación y se iniciará una nueva secuencia.

Por ejemplo, si configura tres servidores RADIUS para que el enrutador o conmutador intente contactar tres veces a cada servidor y, con cada reintento, el tiempo de espera del servidor después de 3 segundos, entonces el tiempo máximo dado al método de autenticación de RADIUS antes de que EL CAP considere que un error es de 27 segundos. Si agrega más servidores RADIUS a esta configuración, es posible que no se pongan en contacto con ellos porque es posible que se abandone el proceso de autenticación antes de que se intenten estos servidores.

Junos OS aplica un límite en la cantidad de solicitudes de servidor de autenticación permanente que puede tener la autenticación DESC a la vez. Por lo tanto, un método de servidor de autenticación (por RADIUS, por ejemplo) podría no autenticar a un cliente cuando se supera este límite. Si no lo consigue, el enrutador o conmutador reiniciará la secuencia de autenticación hasta que la autenticación se realice correctamente y se inicie el vínculo. Sin embargo, si no están disponibles los servidores de RADIUS y si se configuran tacplus métodos de autenticación adicionales password, como radius o, junto con, se intenta el siguiente método de autenticación.

En el siguiente ejemplo se muestra cómo radius configurar password y autenticar:

El siguiente ejemplo muestra cómo eliminar la radius instrucción del orden de autenticación:

En el siguiente ejemplo se muestra cómo insertar tacplus la instrucción después radius de la instrucción:

En el siguiente ejemplo se muestra cómo insertar ldaps la instrucción después radius de la instrucción:

Ejemplo Configurar orden de autenticación

En este ejemplo, se muestra cómo configurar el orden de autenticación para el inicio de sesión del usuario.

Aplicables

Antes de comenzar, lleve a cabo la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.

Descripción general

Puede configurar los métodos de autenticación que utiliza el dispositivo para comprobar que un usuario puede tener acceso. Para cada intento de inicio de sesión, el dispositivo prueba los métodos de autenticación en orden, comenzando por el primero, hasta que la contraseña coincida. Si no configura la autenticación del sistema, los usuarios se comprobarán en función de sus contraseñas locales configuradas.

En este ejemplo, se configura el dispositivo para que intente la autenticación de usuario con la contraseña local primero, luego con el servidor LDAP, RADIUS servidor y, finalmente, con el servidor TACACS+.

Cuando utiliza la autenticación de contraseña local, debe crear una cuenta de usuario local para cada usuario que desee tener acceso al sistema. Sin embargo, cuando utiliza autenticación LDAPS, RADIUS o TACACS+, puede crear cuentas únicas (con fines de autorización) que sean compartidas por un conjunto de usuarios. Estas cuentas se crean mediante las cuentas de las plantillas de usuario local y remota. Cuando un usuario utiliza una cuenta de plantilla, el nombre de usuario de la interfaz de línea de comandos (CLI) es el de inicio de sesión; sin embargo, los privilegios, la propiedad de archivos y el ID de usuario efectivo se heredan de la cuenta de plantilla.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar el orden de autenticación:

  1. En la interfaz de usuario de J-Web Configure>System Properties>User Management, seleccione.

  2. Haga Editclic en. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Authentication Method and Order ficha.

  4. En métodos disponibles, seleccione el método de autenticación que debe usar el dispositivo para autenticar a los usuarios y utilice el botón de flecha para mover el elemento a la lista métodos seleccionados. Entre los métodos disponibles se incluyen:

    • RADIUS

    • TACACS +

    • Contraseña local

    Si desea usar varios métodos para autenticar usuarios, repita este paso para agregar los métodos adicionales a la lista métodos seleccionados.

  5. Bajo métodos seleccionados, utilice la flecha hacia arriba o la flecha hacia abajo para especificar el orden en el que el dispositivo debe ejecutar los métodos de autenticación.

  6. Haga OK clic aquí para comprobar su configuración y guardarla como configuración candidata.

  7. Si ha terminado de configurar el dispositivo, haga Commit Options>Commitclic en.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el orden de autenticación:

  1. Agregue la autenticación LDAPS al orden de autenticación.

  2. Agregue RADIUS autenticación al orden de autenticación.

  3. Agregar autenticación TACACS + a la orden de autenticación.

Resultados

Desde el modo de configuración, escriba el show system authentication-order comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Nota:

Para configurar completamente la autenticación LDAPS, RADIUS o TACACS+, debe configurar al menos un servidor LDAP, RADIUS o TACACS+ y crear cuentas de plantilla de usuario. Realice una de las tareas siguientes:

Comproba

Confirme que la configuración funciona correctamente.

Verificar la configuración del pedido de autenticación

Purpose

Compruebe que se ha configurado el orden de autenticación.

Intervención

En modo operativo, escriba el show system authentication-order comando.

Ejemplo Configure la autenticación del sistema para ldaps, RADIUS, TACACS+ y autenticación de contraseña

En el ejemplo siguiente se muestra cómo configurar la autenticación del sistema para la autenticación de ldaps, RADIUS, TACACS+ y contraseña en un dispositivo que ejecuta Junos OS.

En este ejemplo, solo el usuario Phillip y los usuarios autenticados por un servidor LDAP remoto pueden iniciar sesión. Si un usuario inicia sesión y no lo autentica el servidor LDAP, se le niega el acceso al enrutador o conmutador. Si el servidor LDAP no está disponible, el usuario se autentica mediante el método de autenticación y se le permite el acceso password al enrutador o conmutador. Para obtener más información acerca del método de autenticación de contraseña, consulte Determinar el orden de autenticación para LDAPS, RADIUS, TACACS+ y autenticación de contraseña.

Cuando Phillip intenta iniciar sesión en el sistema, si el servidor LDAP lo autentica, se le da acceso y privilegios para la super-user clase. Las cuentas locales no están configuradas para otros usuarios. Cuando inician sesión en el sistema y el servidor LDAP los autentica, se les da acceso mediante el mismo ID de usuario (UID) 9999 y los privilegios asociados con la operator clase.

Nota:

Para fines de autorización, puede usar una cuenta de plantilla para crear una sola cuenta que un grupo de usuarios pueda compartir al mismo tiempo. Por ejemplo, cuando crea una cuenta de plantilla remota, un conjunto de usuarios remotos puede compartir simultáneamente un único UID. Para obtener más información acerca de las cuentas de plantilla, consulte ejemplo: Configure el orden de autenticación.

Cuando un usuario inicia sesión en un dispositivo, el servidor LDAP, RADIUS o TACACS+ utiliza el nombre de inicio de sesión del usuario para su autenticación. Si el servidor de autenticación autentica correctamente al usuario y éste no se configura en el [edit system login user] nivel de jerarquía, el dispositivo utilizará la cuenta de usuario de plantilla remota predeterminada para el usuario, siempre que se configure una cuenta de edit system login user remote plantilla remota en el nivel de jerarquía. La cuenta de plantilla remota funciona como cuenta predeterminada de usuario de plantilla para todos los usuarios autenticados por el servidor de autenticación pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. Estos usuarios comparten la misma clase de inicio de sesión y UID.

Para configurar un usuario de plantilla alternativo, especifique el user-name parámetro que se devuelve en el paquete de respuesta de autenticación LDAPS. No todos los servidores LDAP le permiten cambiar este parámetro. A continuación, se muestra un ejemplo de configuración de Junos OS:

Asuma que el servidor LDAP está configurado con la siguiente información:

  • Usuario Phillip con contraseña "olympia"

  • Usuario Con contraseña "bucephalus" y nombre de usuario "operador"

  • Darius de usuario con contraseña "redhead" y nombre de usuario "operador"

  • Usuario De Roxane con contraseña "atenea"

A Philip se le daría acceso como un superusuario (super-user), ya que tiene su propia cuenta de usuario local. Alexander y Darius comparten el UID 9990 y tienen acceso como operadores. Roxane no tiene invalidación de usuario de plantilla, por lo que comparte el acceso con todos los demás usuarios remotos, obteniendo acceso de solo lectura.

Tabla de historial de versiones
Liberación
Descripción
20.2R1
A partir Junos OS versión 20.2R1, presentamos la compatibilidad con LDAPS para el inicio de sesión de usuario con seguridad TLS entre el cliente LDAPS y el servidor LDAPS.