Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la autenticación del usuario

Junos OS diferentes métodos de autenticación que usted (el administrador de red) utiliza para controlar el acceso de usuarios a la red. Estos métodos incluyen autenticación de contraseña local, Protocolo ligero de acceso a directorios (LDAP), RADIUS y TACACS+. Algunos usuarios de inicio de sesión capa de transporte seguridad privada (TLS). A partir Junos OS versión 20.2R1, introdujimos la compatibilidad de LDAP para usuarios de inicio de sesión con TLS (LDAPS) entre el cliente LDAPS y el servidor LDAPS. (El cliente LDAPS es el dispositivo que ejecuta Junos OS.) Utilice uno de estos métodos de autenticación para validar a los usuarios y dispositivos que intentan acceder al enrutador o conmutador mediante SSH y Telnet. La autenticación impide que dispositivos y usuarios no autorizados obtengan acceso a su LAN.

Métodos de autenticación de usuario

Junos OS admite cuatro métodos de autenticación de usuario: autenticación de contraseña local, LDAP sobre TLS (LDAPS), RADIUS y TACACS+.

Con la autenticación de contraseña local, puede configurar una contraseña para cada usuario autorizado para iniciar sesión en el enrutador o conmutador.

LDAPS, RADIUS y TACACS+ son métodos de autenticación para validar usuarios que intentan acceder al enrutador o conmutador mediante cualquiera de los métodos de inicio de sesión. Son sistemas de cliente/servidor distribuidos: los clientes LDAPS, RADIUS y TACACS+ se ejecutan en el enrutador o conmutador, y el servidor se ejecuta en un sistema de red remoto.

Puede configurar el enrutador o conmutador para que sea un cliente LDAPS, RADIUS o TACACS+, o una combinación. También puede configurar contraseñas de autenticación en el Junos OS de configuración. Puede asignar prioridad a los métodos para configurar el orden en el que el software prueba los distintos métodos de autenticación al verificar el acceso de los usuarios.

Configurar cuentas de plantilla de usuario local para autenticación de usuario

Las cuentas de plantilla de usuario local se utilizan para asignar distintas clases de inicio de sesión y, por lo tanto, otorgar distintos permisos a usuarios autenticados a través de un servidor de autenticación remota. Cada plantilla puede definir un conjunto diferente de permisos apropiados para los usuarios asignados a esa plantilla. Las plantillas se definen localmente en el enrutador o conmutador, y los servidores de autenticación TACACS+, RADIUS y LDAPS hacen referencia a las plantillas. Cuando se asigna un usuario autenticado a una cuenta de plantilla, el nombre de usuario CLI es el nombre de inicio de sesión, pero el usuario hereda privilegios, propiedad de archivo e ID de usuario efectivo de la cuenta de plantilla.

Cuando configure plantillas de usuario local y un usuario inicie sesión, Junos OS emite una solicitud al servidor de autenticación para autenticar el nombre de inicio de sesión del usuario. Si el usuario está autenticado, el servidor devuelve el nombre de usuario local a Junos OS ( para juniperLocalUserName LDAPS, local-user-name PARA TACACS + y para RADIUS Juniper-Local-User-Name ). Junos OS determina si se especifica un nombre de usuario local para ese nombre de inicio de sesión y, si es así, Junos OS asigna al usuario a esa plantilla de usuario local. Si no existe una plantilla de usuario local para el usuario autenticado, el enrutador o conmutador predeterminado será la remote plantilla, si está configurada.

Para configurar una plantilla de usuario local, defina el nombre de usuario de la plantilla en el [edit system login] nivel jerárquido. Asigne una clase para especificar los privilegios que desea otorgar a los usuarios locales a quienes se aplica la plantilla:

Para asignar un usuario a la plantilla de usuario local, configure el servidor de autenticación remota con el parámetro apropiado ( para juniperLocalUserName LDAPS, para TACACS + y para RADIUS) y especifique el nombre de usuario definido para la plantilla de usuario local-user-nameJuniper-Local-User-Name local. Para configurar distintos privilegios de acceso para los usuarios que comparten la cuenta de plantilla de usuario local, puede utilizar atributos específicos del proveedor en el archivo de configuración del servidor de autenticación para permitir o denegar comandos y jerarquías de configuración específicos para un usuario.

En el siguiente ejemplo, se configura la plantilla de usuario en el dispositivo local y el archivo de configuración formato de intercambio de datos LDAP (LDIF) asigna un usuario u_ldap a la plantilla:

En el siguiente ejemplo, se configuran las plantillas de usuario y en el dispositivo local, y la configuración del servidor de autenticación asigna a cada usuario u_ldapauth la plantilla adecuada. Cuando los usuarios John y Harry son autenticados, el enrutador o conmutador aplica la u_ldap plantilla de usuario local. Cuando los usuarios Tom y Dave son autenticados, el enrutador o conmutador aplica la auth plantilla de usuario local.

En este ejemplo, se configuran sales las plantillas de usuario y en el dispositivo engineering local. Luego, el archivo de configuración del servidor TACACS+ asigna a los usuarios plantillas específicas.

Cuando se autentican los usuarios, Simón y Rob, el enrutador o conmutador aplica la sales plantilla de usuario local. Cuando los usuarios de inicio de sesión Se autentican, El enrutador o conmutador aplica la engineering plantilla de usuario local.

Configure cuentas de plantillas de usuario remotas para la autenticación de usuario

El dispositivo de red puede asignar usuarios autenticados de forma remota a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, la cual determina la autorización. La remote cuenta de plantilla es una plantilla de usuario especial. De forma predeterminada, asigna usuarios autenticados de forma remota a la cuenta Junos OSremote de la plantilla, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de autenticación remota no asigna al usuario a una plantilla de usuario local, o la plantilla que el servidor asigna no está configurada en el dispositivo local.

Para configurar la cuenta de plantilla, incluya la instrucción en el nivel de jerarquía y especifique la clase de inicio de sesión para los usuarios remoteuser remote[edit system login] asignados a la remote plantilla:

Para configurar distintos privilegios de acceso para los usuarios que comparten la cuenta de plantilla, puede utilizar atributos específicos del proveedor en el archivo de configuración del servidor de autenticación para permitir o denegar comandos y jerarquías de configuración específicos para un remote usuario.

Ejemplo Crear cuentas de plantilla

En este ejemplo, se muestra cómo crear cuentas de plantilla.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

Puede crear cuentas de plantilla que sean compartidas por un conjunto de usuarios cuando utilice autenticación LDAPS, RADIUS o TACACS+. Cuando se asigna un usuario autenticado a una cuenta de plantilla, el nombre de usuario CLI es el nombre de inicio de sesión, pero el usuario hereda privilegios, propiedad de archivo e ID de usuario efectivo de la cuenta de plantilla.

De forma predeterminada, Junos OS asigna usuarios autenticados de forma remota a la remote cuenta de la plantilla cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de autenticación remota no asigna al usuario a una plantilla de usuario local, o la plantilla que el servidor asigna no está configurada en el dispositivo local.

En este ejemplo, se crea la cuenta de plantilla y se establece el nombre de usuario en y la clase de inicio de sesión remote para el usuario como remoteoperator . El dispositivo asigna la plantilla a usuarios autenticados por LDAPS, RADIUS o TACACS+, pero que no tienen una cuenta de usuario local o pertenecen a una cuenta de plantilla remote local diferente.

A continuación, debe crear una cuenta de plantilla local y definir el nombre de usuario como admin y la clase login como superusuario. Puede usar cuentas de plantilla local cuando necesite asignar usuarios autenticados de forma remota a distintas clases de inicio de sesión. Por lo tanto, cada plantilla puede otorgar un conjunto de permisos diferente apropiado para los usuarios asignados a esa plantilla de usuario.

Configuración

Crear una cuenta de plantilla remota

Procedimiento paso a paso

Para crear la remote cuenta de plantilla:

  • Establezca el nombre de usuario y la clase de inicio de sesión para el remote usuario.

Resultados

En el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit en el modo de configuración.

Crear una cuenta de plantilla local

Procedimiento paso a paso

Para crear una cuenta de plantilla local:

  1. Establezca el nombre de usuario y la clase de inicio de sesión para la plantilla de usuario.

Resultados

En el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit en el modo de configuración.

Nota:

Para configurar completamente la autenticación LDAPS, RADIUS o TACACS+, debe configurar al menos un servidor LDAPS, RADIUS o TACACS+ y especificar un orden de autenticación del sistema. Para obtener más información, consulte las siguientes tareas:

Verificación

Confirme que la configuración funciona correctamente.

Verificar la creación de cuentas de plantilla

Purpose

Compruebe que se han creado las cuentas de plantilla.

Acción

En modo operativo, escriba el show system login comando.

¿Qué son los servidores de autenticación remota?

Probablemente ya utilice un servidor (o servidores) de autenticación remoto en su red. El uso de estos servidores es una práctica recomendada, ya que le permiten crear un conjunto coherente de cuentas de usuario de forma centralizada para todos los dispositivos de su red. La administración de cuentas de usuario es mucho más fácil cuando se utilizan servidores de autenticación remota para implementar una solución de autenticación, autorización y responsabilidad (AAA) en su red.

La mayoría de las empresas utilizan uno o más de tres métodos básicos de autenticación remota: LDAPS, RADIUS y TACACS+. Junos OS los tres métodos y puede configurar las Junos OS para consultar cualquier tipo de servidor de autenticación remota. La idea detrás de un servidor LDAPS, RADIUS o TACACS+ es simple: Cada uno actúa como un servidor de autenticación central que los enrutadores, conmutadores, dispositivos de seguridad y servidores pueden usar para autenticar a los usuarios mientras intentan acceder a estos sistemas. Piense en las ventajas que ofrece un directorio central de usuarios para la auditoría de autenticación y el control de acceso en un modelo de cliente/servidor. Los métodos de autenticación LDAPS, RADIUS y TACACS+ ofrecen ventajas comparables para su infraestructura de red.

El uso de un servidor central tiene varias ventajas con respecto a la alternativa a la creación de usuarios locales en cada dispositivo, una tarea que requiere mucho tiempo y es propenso a errores. Un sistema de autenticación central también simplifica el uso de sistemas de contraseña única, como SecureID, los cuales ofrecen protección contra el esniffing de contraseñas y los ataques de reproducción de contraseña. En tales ataques, alguien puede usar una contraseña capturada para hacerse pasar por administrador del sistema.

  • RADIUS: debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento.

    • Interoperabilidad: RADIUS es más interoperable que LOS TACACS+, principalmente debido a la naturaleza exclusiva de TACACS+. Aunque TACACS + es compatible con más protocolos, RADIUS se admite de forma universal.

    • Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores que en LOS TACACS+. Por esta razón, los ingenieros de red generalmente prefieren RADIUS más que TACACS+.

  • TACACS+: debe usar TACACS+ cuando sus prioridades sean la seguridad y la flexibilidad.

    • Seguridad: el TACACS+ es más seguro que RADIUS. No solo se cifra la sesión completa, sino que la autorización y la autenticación se realizan por separado para evitar que nadie intente forzar su entrada en la red.

    • Flexibilidad: el protocolo de control de transmisión (TCP) es un protocolo de transporte más flexible que UDP. Se puede hacer más con TCP en redes más avanzadas. Además, TACACS+ admite más de los protocolos empresariales, como NetBIOS.

    • LDAPS: debe usar LDAPS cuando sus prioridades sean la seguridad y la escalabilidad.

      • Seguridad: para una seguridad mejorada, LDAPS utiliza una clave privada para cifrar los datos. La clave privada impide el acceso no autorizado a la información y protege los datos con eficacia, a diferencia de la clave compartida que RADIUS y TACACS+.

      • Escalabilidad: LDAPS proporciona una mayor escalabilidad sin pérdida de confiabilidad. La cantidad de usuarios compatibles con LDAPS no tiene límites. Los usuarios mantienen sus propios certificados, y la autenticación de certificado implica el intercambio de datos solo entre el cliente y el servidor.

Tabla de historial de versiones
Liberación
Descripción
Junos OS Release 20.2R1
A partir de Junos OS versión 20.2R1, presentamos la compatibilidad con LDAP para usuarios de inicio de sesión con seguridad TLS entre el cliente LDAPS (dispositivo que ejecuta Junos OS) y el servidor LDAPS.