Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de la autenticación de usuario

Junos OS admite diferentes métodos de autenticación que usted (el administrador de red) usa para controlar el acceso de los usuarios a la red. Estos métodos incluyen autenticación de contraseña local, RADIUS y TACACS+. Utilice uno de estos métodos de autenticación para validar a los usuarios y dispositivos que intentan acceder al enrutador o conmutador mediante SSH y Telnet. La autenticación impide que los dispositivos y usuarios no autorizados obtengan acceso a su LAN.

Métodos de autenticación de usuario

Junos OS admite tres métodos de autenticación de usuario: autenticación de contraseña local, RADIUS y TACACS+.

Con la autenticación de contraseña local, puede configurar una contraseña para cada usuario que pueda iniciar sesión en el enrutador o conmutador.

RADIUS y TACACS+ son métodos de autenticación para validar a los usuarios que intentan acceder al enrutador o conmutador mediante cualquiera de los métodos de inicio de sesión. Son sistemas de cliente/servidor distribuidos: los clientes RADIUS y TACACS+ se ejecutan en el enrutador o conmutador, y el servidor se ejecuta en un sistema de red remoto.

Puede configurar el enrutador o conmutador para que sea un RADIUS, un cliente TACACS+, o una combinación. También puede configurar contraseñas de autenticación en el archivo de configuración de Junos OS. Puede priorizar los métodos para configurar el orden en el que el software intenta los diferentes métodos de autenticación al verificar el acceso del usuario.

Configurar cuentas de plantilla de usuario local para la autenticación de usuario

Utilice cuentas de plantilla de usuario local para asignar diferentes clases de inicio de sesión y, por lo tanto, conceder permisos diferentes a los usuarios que se autentican mediante un servidor de autenticación remoto. Cada plantilla puede definir un conjunto diferente de permisos apropiado para los usuarios asignados a esa plantilla. Las plantillas se definen localmente en el enrutador o conmutador, y los servidores de autenticación TACACS+ y RADIUS hacen referencia a las plantillas. Cuando se asigna un usuario autenticado a una cuenta de plantilla, el nombre de usuario de la CLI es el nombre de inicio de sesión, pero el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de la plantilla.

Cuando configura plantillas de usuario locales y un usuario inicia sesión, Junos OS emite una solicitud al servidor de autenticación para autenticar el nombre de inicio de sesión del usuario. Si el usuario se autentica, el servidor devuelve el nombre de usuario local a Junos OS ( local-user-name para TACACS+ y Juniper-Local-User-Name RADIUS ). Junos OS luego determina si se especifica un nombre de usuario local para ese nombre de inicio de sesión y, si es así, Junos OS asigna al usuario a esa plantilla de usuario local. Si no existe una plantilla de usuario local para el usuario autenticado, el enrutador o el conmutador son predeterminados a la remote plantilla, si está configurada.

Para configurar una plantilla de usuario local, defina el nombre de usuario de la plantilla en el [edit system login] nivel jerárquico. Asigne una clase para especificar los privilegios que desea conceder a los usuarios locales a los que se aplica la plantilla:

Para asignar un usuario a la plantilla de usuario local, configure el servidor de autenticación remota con el parámetro adecuado ( local-user-name para TACACS+, y Juniper-Local-User-Name para RADIUS) y especifique el nombre de usuario definido para la plantilla de usuario local. Para configurar diferentes privilegios de acceso para los usuarios que comparten la cuenta de plantilla de usuario local, puede usar atributos específicos del proveedor en el archivo de configuración del servidor de autenticación para permitir o denegar comandos específicos y jerarquías de configuración para un usuario.

En este ejemplo, se configuran las sales plantillas y engineering de usuario en el dispositivo local. A continuación, el archivo de configuración del servidor TACACS+ asigna a los usuarios a plantillas específicas.

Cuando se autentican los usuarios Simon y Rob, el enrutador o conmutador aplica la plantilla de sales usuario local. Cuando los usuarios de inicio de sesión, Harold y Jim se autentican, el enrutador o conmutador aplica la plantilla de engineering usuario local.

Configurar cuentas de plantilla de usuario remoto para la autenticación de usuario

El dispositivo de red puede asignar usuarios autenticados de forma remota a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que determina la autorización. La remote cuenta de plantilla es una plantilla de usuario especial. De forma predeterminada, Junos OS asigna usuarios autenticados de forma remota a la cuenta de remote plantilla, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de autenticación remota no asigna al usuario a una plantilla de usuario local o la plantilla que el servidor asigna no está configurada en el dispositivo local.

Para configurar la remote cuenta de plantilla, incluya la user remote instrucción en el [edit system login] nivel de jerarquía y especifique la clase de inicio de sesión para los usuarios asignados a la remote plantilla:

Para configurar diferentes privilegios de acceso para los usuarios que comparten la remote cuenta de plantilla, puede usar atributos específicos del proveedor en el archivo de configuración del servidor de autenticación para permitir o denegar comandos específicos y jerarquías de configuración para un usuario.

Ejemplo: Crear cuentas de plantillas

En este ejemplo, se muestra cómo crear cuentas de plantilla.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

Puede crear cuentas de plantilla compartidas por un conjunto de usuarios cuando utilice la autenticación RADIUS o TACACS+. Cuando se asigna un usuario autenticado a una cuenta de plantilla, el nombre de usuario de la CLI es el nombre de inicio de sesión, pero el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de la plantilla.

De forma predeterminada, Junos OS asigna usuarios autenticados de forma remota a la cuenta de plantilla remote cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de autenticación remota no asigna al usuario a una plantilla de usuario local o la plantilla que el servidor asigna no está configurada en el dispositivo local.

En este ejemplo, se crea la cuenta de plantilla remote y se establece el nombre de usuario en remote y la clase de inicio de sesión para el usuario como operator. El dispositivo asigna la remote plantilla a los usuarios que están autenticados por RADIUS o TACACS+ pero que no tienen una cuenta de usuario local o pertenecen a una cuenta de plantilla local diferente.

A continuación, cree una cuenta de plantilla local y establezca el nombre de usuario como admin y la clase de inicio de sesión como superusuario. Puede usar cuentas de plantilla local cuando necesite asignar usuarios autenticados remotamente a diferentes clases de inicio de sesión. Por lo tanto, cada plantilla puede conceder un conjunto diferente de permisos apropiados para los usuarios asignados a esa plantilla de usuario.

Configuración

Crear una cuenta de plantilla remota

Procedimiento paso a paso

Para crear la cuenta de remote plantilla:

  • Establezca el nombre de usuario y la clase de inicio de sesión para el remote usuario.

Resultados

En el modo de configuración, ingrese el comando para confirmar la show system login configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Crear una cuenta de plantilla local

Procedimiento paso a paso

Para crear una cuenta de plantilla local:

  1. Establezca el nombre de usuario y la clase de inicio de sesión para la plantilla de usuario.

Resultados

En el modo de configuración, ingrese el comando para confirmar la show system login configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Nota:

Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y especificar un orden de autenticación del sistema. Para obtener más información, consulte las siguientes tareas:

Verificación

Confirme que la configuración funciona correctamente.

Verificar la creación de cuentas de plantilla

Propósito

Compruebe que se crearon las cuentas de plantilla.

Acción

En el modo operativo, escriba el show system login comando.

¿Qué son los servidores de autenticación remota?

Es probable que ya use un servidor de autenticación remota (o servidores) en su red. El uso de estos servidores es una práctica recomendada, ya que le permiten crear un conjunto coherente de cuentas de usuario de forma centralizada para todos los dispositivos de su red. La administración de cuentas de usuario es mucho más fácil cuando utiliza servidores de autenticación remotos para implementar una solución de autenticación, autorización y responsabilidad (AAA) en su red.

La mayoría de las empresas utilizan uno o más de tres métodos básicos de autenticación remota: RADIUS y TACACS+. Junos OS admite los tres métodos, y puede configurar Junos OS para consultar cualquier tipo de servidor de autenticación remoto. La idea de un servidor RADIUS o TACACS+ es simple: Cada uno actúa como un servidor de autenticación central que los enrutadores, conmutadores, dispositivos de seguridad y servidores pueden usar para autenticar a los usuarios mientras intentan acceder a estos sistemas. Piense en las ventajas que ofrece un directorio central de usuarios para la auditoría de autenticación y el control de acceso en un modelo de cliente/servidor. Los métodos de autenticación RADIUS y TACACS+ ofrecen ventajas comparables para su infraestructura de red.

El uso de un servidor central tiene múltiples ventajas sobre la alternativa de crear usuarios locales en cada dispositivo, una tarea que lleva mucho tiempo y es propensa a errores. Un sistema de autenticación central también simplifica el uso de sistemas de contraseñas únicas, como SecureID, que ofrecen protección contra el rastreo de contraseñas y los ataques de reproducción de contraseñas. En estos ataques, alguien puede usar una contraseña capturada para hacerse pasar por un administrador del sistema.

  • RADIUS: debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento.

    • Interoperabilidad: RADIUS es más interoperable que TACACS+, principalmente debido a la naturaleza propietaria de TACACS+. Si bien TACACS+ admite más protocolos, RADIUS es universalmente compatible.

    • Rendimiento: RADIUS es mucho más ligero para sus enrutadores y conmutadores que TACACS+. Por esta razón, los ingenieros de redes generalmente prefieren RADIUS en lugar de TACACS+.

  • TACACS+: debe usar TACACS+ cuando sus prioridades sean la seguridad y la flexibilidad.

    • Seguridad: TACACS+ es más seguro que RADIUS. No solo se cifra la sesión completa, sino que la autorización y la autenticación se realizan por separado para evitar que alguien intente forzar su entrada en su red.

    • Flexibilidad: el protocolo de control de transmisión (TCP) es un protocolo de transporte más flexible que el UDP. Puede hacer más con TCP en redes más avanzadas. Además, TACACS+ admite más protocolos empresariales, como NetBIOS.