Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración del servidor RADIUS para la autenticación

Los conmutadores Ethernet de Juniper Networks usan 802.1X, MAC RADIUS o autenticación de portal cautivo para proporcionar control de acceso a los dispositivos o usuarios. Cuando se configuran autenticaciones 802.1X, MAC RADIUS o portal cautivo en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Para usar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que desee conectarse. Lea este tema para obtener más información.

Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI)

La autenticación IEEE 802.1X y MAC RADIUS proporcionan seguridad de borde de red, lo que protege a las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde los dispositivos en la interfaz hasta que las credenciales del suplicante o la dirección MAC se presentan y coinciden en el authentication server (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.

Para usar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que se conecte.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones. Cuando se configuran varios servidores, se accede a los servidores por orden de configuración, de forma predeterminada. El primer servidor configurado es el servidor principal. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente. Puede equilibrar la carga de las solicitudes configurando el método round-robin. Los servidores se prueban en orden y de forma "round-robin" hasta que se reciba una respuesta válida de uno de los servidores o hasta que se alcancen todos los límites de reintentos configurados.

Nota:

No se recomienda usar el método de acceso por 1999 con conmutadores de la serie EX.

También puede configurar un nombre de dominio completo (FQDN) que se resuelva en una o varias direcciones IP. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).

Para configurar un servidor RADIUS en el conmutador:

  1. Configure la dirección IP del servidor RADIUS, el número de puerto de autenticación del servidor RADIUS y la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional, y el puerto 1812 es el predeterminado. Sin embargo, recomendamos que lo configure para evitar confusiones, ya que algunos servidores RADIUS podrían referirse a un valor predeterminado anterior.

  2. (Opcional) Especifique la dirección IP mediante la cual el servidor RADIUS identifica el conmutador. Si no especifica la dirección IP, el servidor RADIUS usa la dirección de la interfaz que envía la solicitud RADIUS. Recomendamos que especifique esta dirección IP, ya que si la solicitud se desvía en una ruta alternativa al servidor RADIUS, es posible que la interfaz que retransmita la solicitud no sea una interfaz en el conmutador.
  3. Configure el orden de autenticación, haciendo radius el primer método de autenticación:
  4. (Opcional) Configure el método que usa el enrutador para acceder a los servidores de autenticación y contabilidad RADIUS cuando se configuran varios servidores:

    • direct— El método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores por orden de configuración. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente.

    • round-robin— El método que proporciona equilibrio de carga mediante la rotación de solicitudes del enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el último servidor utilizado. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente la misma cantidad de solicitudes en promedio, de modo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando un servidor RADIUS de la lista de robins se vuelve inalcanzable, se utiliza el siguiente servidor accesible de la lista de rotación para la solicitud actual. Ese mismo servidor también se utiliza para la siguiente solicitud, ya que se encuentra en la parte superior de la lista de servidores disponibles. Como resultado, después de un error de servidor, el servidor que se utiliza ocupa la carga de dos servidores.

    • Para configurar el método que el enrutador utiliza para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que usa el enrutador para acceder a los servidores de autenticación RADIUS:

  5. Cree un perfil y especifique la lista de servidores RADIUS que se asociarán con el perfil. Por ejemplo, puede optar por agrupar sus servidores RADIUS geográficamente por ciudad. Esta función permite modificar fácilmente cuando se desee cambiar a un envío diferente de servidores de autenticación.
  6. Especifique el grupo de servidores que se utilizará para la autenticación 802.1X o MAC RADIUS identificando el nombre del perfil:
  7. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener más información acerca de cómo configurar el servidor RADIUS, consulte la documentación del servidor.

Configurar un servidor RADIUS mediante un FQDN

Puede configurar un nombre de dominio completo (FQDN) que se resuelva en una o varias direcciones IP. Configure un servidor RADIUS mediante un FQDN en el nivel de jerarquía [edit access radius-server-name hostname]. Cuando un FQDN se resuelve en varias direcciones, se accede a los servidores en orden de configuración, de forma predeterminada. La primera dirección resuelta es el servidor principal. Si el servidor principal es inalcanzable, el enrutador intenta comunicarse con el segundo servidor, y así sucesivamente. Puede equilibrar la carga de las solicitudes configurando el método round-robin. Los servidores se prueban en orden y de forma "round-robin" hasta que se reciba una respuesta válida de uno de los servidores o hasta que se alcancen todos los límites de reintentos configurados.

  1. Configure el FQDN del servidor RADIUS, el número de puerto de autenticación del servidor RADIUS y la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional, y el puerto 1812 es el predeterminado. Sin embargo, recomendamos que lo configure para evitar confusiones, ya que algunos servidores RADIUS podrían referirse a un valor predeterminado anterior.

  2. (Opcional) Configure el intervalo para resolver un FQDN como la dirección del servidor. El FQDN se resuelve dinámicamente a intervalos fijos según el valor configurado.
  3. (Opcional) Especifique la dirección IP mediante la cual el servidor RADIUS identifica el conmutador. Si no especifica la dirección IP, el servidor RADIUS usa la dirección de la interfaz que envía la solicitud RADIUS. Recomendamos que especifique esta dirección IP, ya que si la solicitud se desvía en una ruta alternativa al servidor RADIUS, es posible que la interfaz que retransmita la solicitud no sea una interfaz en el conmutador.
  4. Configure el orden de autenticación, haciendo radius el primer método de autenticación:
  5. (Opcional) Configure el método que usa el conmutador para acceder a los servidores de autenticación y contabilidad RADIUS cuando se configuran varios servidores:

    • direct— El método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores por orden de configuración. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente.

    • round-robin— El método que proporciona equilibrio de carga rotando solicitudes entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el último servidor utilizado. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente la misma cantidad de solicitudes en promedio, de modo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando un servidor RADIUS de la lista de robins se vuelve inalcanzable, se utiliza el siguiente servidor accesible de la lista de rotación para la solicitud actual. Ese mismo servidor también se utiliza para la siguiente solicitud, ya que se encuentra en la parte superior de la lista de servidores disponibles. Como resultado, después de un error de servidor, el servidor que se utiliza ocupa la carga de dos servidores.

    • Para configurar el método que el conmutador utiliza para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que utiliza el conmutador para acceder a los servidores de autenticación RADIUS:

  6. Cree un perfil y especifique la lista de servidores RADIUS que se asociarán con el perfil. Por ejemplo, puede optar por agrupar sus servidores RADIUS geográficamente por ciudad. Esta función permite modificar fácilmente cada vez que desee cambiar a un conjunto diferente de servidores de autenticación.
  7. Especifique el grupo de servidores que se utilizará para la autenticación 802.1X o MAC RADIUS identificando el nombre del perfil:
  8. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener más información acerca de cómo configurar el servidor RADIUS, consulte la documentación del servidor.

Consulte también

Descripción de las solicitudes RADIUS de round-Robin conscientes de la sesión

A partir de Junos OS versión 22.4R1, los servicios de autenticación(authd) son conscientes de la sesión cuando se configura el algoritmo de round-robin de modo que la solicitud de acceso correspondiente se envíe al mismo servidor RADIUS en respuesta a la dificultad de acceso del servidor RADIUS, lo que da como resultado la autenticación correcta.

Según el comportamiento existente, al recibir la desafío de acceso y el atributo de estado de uno de los servidores RADIUS, la solicitud de acceso correspondiente se envía al siguiente servidor RADIUS mediante el algoritmo de round-robin. Dado que el siguiente servidor RADIUS no tiene un registro de esta sesión, rechaza la solicitud de acceso, lo que provoca un error de autenticación. Con la nueva función, se configura el algoritmo correspondiente para que la solicitud de acceso respectiva se envíe al mismo servidor RADIUS en respuesta al desafío de acceso del servidor RADIUS, y esto da como resultado una autenticación correcta. Si el servidor RADIUS no responde con un desafío de acceso, acepta o rechaza la solicitud. Para la siguiente solicitud de autenticación, las solicitudes se envían al siguiente servidor RADIUS según el método Round-robin. Cualquier número de desafíos de acceso se puede enviar desde el servidor RADIUS en respuesta a cada solicitud de acceso y authd responde al mismo servidor RADIUS hasta que la solicitud sea aceptada o rechazada por el servidor RADIUS.

Tenga en cuenta que esta función solo se admite para los clientes authd-lite (dot1x, etc.) y no para los clientes de banda ancha que utilizan el protocolo punto a punto (PPP), ya que no se admite en los clientes de banda ancha. Además, los mensajes de desafío de acceso se intercambian entre el cliente RADIUS y el servidor RADIUS solo en caso de autenticación, y no para la contabilidad.

Configuración de MS-CHAPv2 para proporcionar soporte para el cambio de contraseña (procedimiento de CLI)

Junos OS para conmutadores de la serie EX le permite configurar la implementación de Microsoft Corporation del protocolo de autenticación desafío handshake versión 2 (MS-CHAPv2) en el conmutador para proporcionar compatibilidad con el cambio de contraseña. La configuración de MS-CHAPv2 en el conmutador ofrece a los usuarios que acceden a un conmutador la opción de cambiar la contraseña cuando caduca, se restablece o está configurada para cambiar en el siguiente inicio de sesión.

Consulte RFC 2433, Extensiones CHAP de Microsoft PPP, para obtener información acerca de MS-CHAP.

Antes de configurar MS-CHAPv2 para que sea compatible con el cambio de contraseña, asegúrese de que dispone de lo siguiente:

Para configurar MS-CHAPv2, especifique lo siguiente:

Debe tener el permiso de acceso necesario en el conmutador para cambiar su contraseña.

Consulte también

Configuración de MS-CHAPv2 para la compatibilidad con cambio de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de haber hecho lo siguiente:

  • Parámetros de autenticación de servidor RADIUS configurados.

  • Establezca la primera opción probada en el orden de autenticación en el servidor RADIUS.

Puede configurar la implementación de Microsoft del Protocolo de autenticación de desafío de apretón versión 2 (MS-CHAPv2) en el enrutador o conmutador para admitir el cambio de contraseñas. Esta función ofrece a los usuarios que acceden a un enrutador o conmutador la opción de cambiar la contraseña cuando caduca, se restablece o se configura para cambiar en el próximo inicio de sesión.

Para configurar MS-CHAP-v2, incluya las siguientes instrucciones en el [edit system radius-options] nivel jerárquico:

En el siguiente ejemplo, se muestran instrucciones para configurar el protocolo de contraseña MS-CHAPv2, el orden de autenticación de contraseña y las cuentas de usuario:

Descripción de la devolución de errores del servidor y la autenticación en conmutadores

Los conmutadores Ethernet de Juniper Networks usan autenticación para implementar el control de acceso en una red empresarial. Si la autenticación de 802.1X, MAC RADIUS o portal cautivo está configurada en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Si el dispositivo final está configurado en el servidor de autenticación, se le concede acceso a la LAN y el conmutador serie EX abre la interfaz para permitir el acceso.

La recuperación de errores del servidor le permite especificar cómo se admiten los dispositivos finales conectados al conmutador si el servidor de autenticación RADIUS deja de estar disponible. La recuperación de errores del servidor se activa con mayor frecuencia durante la reautoentificación cuando el servidor RADIUS ya configurado y en uso se vuelve inasequible. Sin embargo, la devolución de errores del servidor también se puede activar mediante el primer intento de autenticación de un dispositivo final a través del servidor RADIUS.

La recuperación ante errores del servidor le permite especificar una de las cuatro acciones que se deben realizar para los dispositivos finales que esperan la autenticación cuando el tiempo de espera del servidor está fuera de tiempo. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se produjera el tiempo de espera RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica. La VLAN ya debe estar configurada en el conmutador. El nombre de VLAN configurado reemplaza cualquier atributo enviado por el servidor.

  • Permit autenticación, lo que permite que el tráfico fluya desde el dispositivo final a través de la interfaz como si el dispositivo final se autenticase correctamente por el servidor RADIUS.

  • Deny para evitar que el tráfico fluya desde el dispositivo final a través de la interfaz. Este es el valor predeterminado.

  • Move el dispositivo final de una VLAN especificada si el conmutador recibe un mensaje de rechazo de acceso RADIUS. El nombre de VLAN configurado reemplaza cualquier atributo enviado por el servidor. (La VLAN ya debe existir en el conmutador.)

  • Sustain dispositivos finales autenticados que ya tienen acceso LAN y deny dispositivos finales no autenticados. Si el tiempo de espera de los servidores RADIUS durante la reautenticación, los dispositivos finales previamente autenticados se vuelven a autenticar y a los nuevos usuarios se les niega el acceso LAN.

Consulte también

Reserva de error de configuración del servidor RADIUS (procedimiento de CLI)

Puede configurar las opciones de reserva de autenticación para especificar cómo se admiten los dispositivos finales conectados a un conmutador si el servidor de autenticación RADIUS deja de estar disponible.

Cuando configure la autenticación 802.1X o MAC RADIUS en el conmutador, especifique un servidor de autenticación principal y uno o más servidores de autenticación de respaldo. Si el conmutador no puede acceder al servidor de autenticación principal y los servidores de autenticación secundarios también son inalcanzables, se produce un tiempo de espera del servidor RADIUS. Si esto sucede, ya que es el servidor de autenticación el que concede o niega el acceso a los dispositivos finales que esperan la autenticación, el conmutador no recibe instrucciones de acceso para los dispositivos finales que intentan acceder a la LAN y no se puede completar la autenticación normal.

Puede configurar la función de reserva ante error del servidor para especificar una acción que el conmutador aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se produjera el tiempo de espera RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica.

También puede configurar la función de rechazo de reserva de servidor para los dispositivos finales que reciben un mensaje de rechazo de acceso RADIUS del servidor de autenticación. La función de rechazo de reserva del servidor ofrece acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales responsivos que están habilitados para 802.1X pero que han enviado las credenciales incorrectas.

La devolución de errores del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4. Para configurar acciones de reserva por error del servidor para clientes VoIP que envían tráfico de voz, utilice la server-fail-voip instrucción. Para todo el tráfico de datos, utilice la server-fail instrucción. El conmutador determina el método de reserva que se utilizará en función del tipo de tráfico enviado por el cliente. Las tramas de datos sin etiquetar están sujetas a la acción configurada con server-fail, incluso si son enviadas por un cliente VoIP. Las tramas VLAN VoIP etiquetadas están sujetas a la acción configurada con server-fail-voip. Si server-fail-voip no está configurado, el tráfico de voz se pierde.

Nota:

La reserva de rechazo del servidor no es compatible con el tráfico etiquetado de VLAN de VoIP. Si un cliente de VoIP inicia la autenticación mediante el envío de tráfico de datos sin etiquetar a una VLAN mientras el rechazo de servidor está en vigor, el cliente VoIP puede acceder a la VLAN de reserva. Si posteriormente el mismo cliente envía tráfico de voz etiquetado, se pierde el tráfico de voz.

Si un cliente VoIP inicia la autenticación mediante el envío de tráfico de voz etiquetado mientras el rechazo del servidor está en vigor, se niega al cliente VoIP el acceso a la VLAN de reserva.

Puede utilizar el siguiente procedimiento para configurar acciones de error del servidor para los clientes de datos. Para configurar la devolución de errores del servidor para clientes VoIP que envían tráfico de voz, utilice la server-fail-voip instrucción en lugar de la server-fail instrucción.

Para configurar acciones de reserva de error del servidor:

  • Configure una interfaz para permitir que el tráfico fluya desde un suplicante hacia la LAN si se produce un tiempo de espera del servidor RADIUS (como si el dispositivo final se hubiera autenticado correctamente por un servidor RADIUS):
  • Configure una interfaz para evitar el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado la autenticación y el servidor RADIUS le hubiera denegado el acceso):
  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se produce un tiempo de espera del servidor RADIUS:
  • Configure una interfaz para reconocer los dispositivos finales que ya están conectados como autenticados si hay un tiempo de espera RADIUS durante la reautenticación (se niega el acceso a los dispositivos finales nuevos):

Puede configurar una interfaz que reciba un mensaje radius de rechazo de acceso del servidor de autenticación para mover los dispositivos finales que intentan tener acceso LAN en la interfaz a una VLAN de rechazo de servidor, una VLAN especificada ya configurada en el conmutador.

Para configurar una VLAN de rechazo de servidor:

Consulte también

Temas relacionados

Tabla de historial de versiones
Liberación
Descripción
14.1X53-D40
La devolución de errores del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4.