Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Introducción a la autenticación de usuario Junos OS

Junos OS diferentes métodos, como autenticación de contraseña local, LDAPS, RADIUS y TACACS+, para controlar el acceso del usuario a la red. A partir de Junos OS versión 20.2R1, presentamos la compatibilidad con LDAP para usuarios de inicio de sesión con seguridad TLS entre el cliente LDAPS (dispositivo que ejecuta Junos OS) y el servidor LDAPS. Los métodos de autenticación se utilizan para validar a los usuarios que intentan acceder al enrutador o conmutador mediante Telnet. La autenticación impide que dispositivos y usuarios no autorizados obtengan acceso a su LAN.

Métodos de autenticación de Junos OS usuario

Junos OS admite cuatro métodos de autenticación de usuario: autenticación de contraseña local, LDAP sobre TLS (LDAPS), RADIUS y TACACS+.

Con la autenticación de contraseña local, puede configurar una contraseña para cada usuario autorizado para iniciar sesión en el enrutador o conmutador.

LDAPS, RADIUS y TACACS+ son métodos de autenticación para validar usuarios que intentan acceder al enrutador o conmutador mediante cualquiera de los métodos de inicio de sesión. Son sistemas distribuidos del servidor del cliente: los clientes LDAPS, RADIUS y TACACS+ se ejecutan en el enrutador o conmutador, y el servidor se ejecuta en un sistema de red remoto.

Puede configurar el enrutador o conmutador para que sea un cliente LDAPS, RADIUS o TACACS+, y también puede configurar contraseñas de autenticación en el archivo de configuración Junos OS puerto. Puede asignar prioridad a los métodos para configurar el orden en el que el software prueba los distintos métodos de autenticación al verificar el acceso de los usuarios.

Configuración de cuentas de plantilla de usuario local para la autenticación de usuario

Las cuentas de plantilla de usuario local se utilizan cuando se necesitan tipos diferentes de plantillas para la autenticación. Cada plantilla puede definir un conjunto de permisos distinto apropiado para el grupo de usuarios que utilizan dicha plantilla. Estas plantillas se definen localmente en el enrutador o conmutador y a las que hacen referencia los servidores de autenticación TACACS+, RADIUS y LDAPS.

Cuando configure plantillas de usuario local y un usuario inicie sesión, Junos OS emite una solicitud al servidor de autenticación para autenticar el nombre de inicio de sesión del usuario. Si un usuario está autenticado, el servidor devuelve el nombre de usuario local a Junos OS, lo que luego determina si se especificó un nombre de usuario local para ese nombre de inicio de sesión ( para LDAP, para juniperLocalUserNamelocal-username TACACS +, y Juniper-Local-User ). Si es así, Junos OS selecciona la plantilla de usuario local apropiada configurada localmente en el enrutador o conmutador. Si no existe una plantilla de usuario local para el usuario autenticado, el enrutador o conmutador toma como remote valor predeterminado la plantilla.

Para configurar distintos privilegios de acceso para los usuarios que comparten la cuenta de plantilla de usuario allow-commands local deny-commands , incluya los comandos y en el archivo de configuración del servidor de autenticación.

Para configurar una plantilla de usuario local, incluya juniperLocalUserName para LDAP y la instrucción para RADIUS en el servidor en el nivel de jerarquía y especifique los privilegios que desea otorgar a los usuarios locales a quienes se aplica la user local-username[edit system login] plantilla:

En este ejemplo, se configura u_ldap de usuario local para LDAP en el archivo del formato de intercambio de datos LDAP (LDIF):

Cuando los usuarios John y Harry son autenticados, el enrutador o conmutador aplica la u_ldap plantilla de usuario local. Cuando los usuarios Tom y Dave son autenticados, el enrutador o conmutador aplica la auth plantilla de usuario local.

En este ejemplo, se configuran las sales plantillas de usuario local y para engineering RADIUS:

Cuando se autentifican a los usuarios de inicio de sesión, Simón y Rob, el enrutador o conmutador aplica la sales plantilla de usuario local. Cuando los usuarios de inicio de sesión Se autentican, El enrutador o conmutador aplica la engineering plantilla de usuario local.

Configurar cuentas de plantilla remotas para la autenticación de usuario

De forma predeterminada, el Junos OS usa cuentas de plantilla remota para la autenticación de usuario cuando:

  • El usuario autenticado no existe localmente en el enrutador o conmutador.

  • El registro del usuario autenticado en el servidor de autenticación especifica el usuario local, o el usuario local especificado no existe localmente en el enrutador o conmutador.

Para configurar la cuenta de plantilla remota, incluya user remote la instrucción en [edit system login] el nivel de jerarquía y especifique los privilegios que desea conceder a los usuarios remotos:

Para configurar distintos privilegios de acceso para los usuarios que comparten la cuenta de plantilla remota allow-commands , deny-commands incluya las sentencias and en el archivo de configuración del servidor de autenticación.

Ejemplo Crear cuentas de plantilla

En este ejemplo, se muestra cómo crear cuentas de plantilla.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

Puede crear cuentas de plantilla que sean compartidas por un conjunto de usuarios cuando utilice la autenticación LDAP, RADIUS o TACACS+. Cuando una cuenta de plantilla autentica a un usuario, el nombre de usuario de CLI es el de inicio de sesión, y los privilegios, la propiedad de archivo y el ID.

De forma predeterminada, Junos OS usa remote la cuenta de plantilla cuando:

  • El usuario autenticado no existe localmente en el dispositivo.

  • El registro del usuario autenticado en el servidor LDAP, RADIUS o TACACS+ especifica el usuario local, o el usuario local especificado no existe localmente en el dispositivo.

En este ejemplo, creará una cuenta de plantilla remota y establecerá el nombre de usuario en remoto y la clase de inicio de sesión para el usuario como operador. Puede crear una plantilla remota que se aplique a usuarios autenticados por LDAP, RADIUS o TACACS+ que no pertenecen a una cuenta de plantilla local.

A continuación, debe crear una cuenta de plantilla local y definir el nombre de usuario como admin y la clase login como superusuario. Las cuentas de plantillas locales se utilizan cuando se necesitan diferentes tipos de plantillas. Cada plantilla puede definir un conjunto de permisos distinto apropiado para el grupo de usuarios que utilizan dicha plantilla.

Automática

Crear una cuenta de plantilla remota

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para crear una cuenta de plantilla remota:

  • Establezca el nombre de usuario y la clase de inicio de sesión para el mismo.

Resultados

Desde el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Crear una cuenta de plantilla local

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para crear una cuenta de plantilla local:

  1. Establezca el nombre de usuario y la clase de inicio de sesión para el mismo.

Resultados

Desde el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Nota:

Para configurar completamente la autenticación LDAP, RADIUS o TACACS+, debe configurar al menos un servidor LDAP, RADIUS o TACACS+ y especificar un orden de autenticación del sistema. Realice una de las tareas siguientes:

Comproba

Confirme que la configuración funciona correctamente.

Verificar la creación de cuentas de plantilla

Purpose

Compruebe que se han creado las cuentas de plantilla.

Intervención

En modo operativo, escriba el show system login comando.

¿Qué son los servidores de autenticación remota?

Probablemente ya utilice un servidor (o servidores) de autenticación remoto en su red. Es una práctica recomendada, ya que los servidores permiten crear de forma centralizada un conjunto coherente de cuentas de usuario para todos los dispositivos de la red. Existen muchas buenas razones para implementar una solución de autenticación, autorización y responsabilidad (AAA) en su red, y no la menos de ellas es facilitar la administración de las cuentas de usuario.

La mayoría de las empresas utiliza actualmente tres métodos básicos de autenticación remota: LDAPS, RADIUS y TACACS+. Junos OS admite todos estos tipos y se puede configurar para consultar varios servidores de autenticación remota de ambos tipos. La idea detrás de un servidor LDAPS, RADIUS o TACACS+ es simple: un servidor de autenticación central que los enrutadores, conmutadores, dispositivos de seguridad e incluso servidores pueden usar para autenticar a los usuarios mientras intentan obtener acceso a estos sistemas. Piense en las ventajas que brinda un directorio de usuario central para la auditoría de autenticación y el control de acceso en un modelo de servidor cliente, y tiene su justificación para RADIUS, LDAP o TACACS+ para su infraestructura de redes.

El uso de un servidor central tiene varias ventajas con respecto a la alternativa a la creación de usuarios locales en cada dispositivo, una tarea que requiere mucho tiempo y es propenso a errores. Un sistema de autenticación central también simplifica el uso de sistemas de contraseñas de una sola vez, como SecurID, que ofrecen protección contra el espionaje de contraseñas y los ataques de reproducción de contraseñas, en los que alguien utiliza una contraseña capturada para hacerse pasar por el administrador del sistema.

  • RADIUS: debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento.

    • Interoperabilidad: RADIUS es más interoperable que LOS TACACS+, principalmente debido a la naturaleza exclusiva de TACACS+. Aunque TACACS + es compatible con más protocolos, RADIUS se admite de forma universal.

    • Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores y, por esta razón, los ingenieros de red generalmente prefieren RADIUS más que TACACS+.

  • TACACS+: debe usar TACACS+ cuando sus prioridades sean la seguridad y la flexibilidad.

    • Seguridad: el TACACS+ es más seguro que RADIUS. La sesión completa no sólo se cifra, sino que la autorización y la autenticación se realizan por separado para impedir que alguien intente forzar su camino hacia la red.

    • Flexibilidad: TCP es un protocolo de transporte más flexible que UDP. Puede hacer más con él en redes más avanzadas. Además, TACACS + es compatible con más de los protocolos empresariales, como NetBios o AppleTalk.

    • LDAPS: debe usar LDAPS cuando sus prioridades sean la seguridad y la escalabilidad.

      • Seguridad: para una seguridad mejorada, LDAPS utiliza una clave privada utilizada para cifrar los datos; esto impide el acceso no autorizado a la información y protege los datos con eficacia, a diferencia de la clave compartida utilizada por RADIUS y TACACS+.

      • Escalabilidad: LDAPS proporciona una mayor escalabilidad sin pérdida de confiabilidad. La cantidad de usuarios no tiene límites, ya que los usuarios mantienen sus propios certificados, y la autenticación de certificado implica el intercambio de datos solo entre el cliente y el servidor.

Tabla de historial de versiones
Liberación
Descripción
Junos OS Release 20.2R1
A partir de Junos OS versión 20.2R1, presentamos la compatibilidad con LDAP para usuarios de inicio de sesión con seguridad TLS entre el cliente LDAPS (dispositivo que ejecuta Junos OS) y el servidor LDAPS.