Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación RADIUS

Junos OS es compatible con RADIUS para la autenticación central de usuarios en dispositivos de red. Para usar la autenticación RADIUS en el dispositivo, usted (el administrador de red) debe configurar la información de uno o más servidores RADIUS en la red. También puede configurar la contabilidad RADIUS en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician o salen de una LAN y enviar los datos a un servidor de contabilidad RADIUS.

Configure la autenticación del servidor RADIUS

La autenticación RADIUS es un método para autenticar a los usuarios que intentan acceder a un dispositivo de red. En las siguientes secciones se describe por qué usaría RADIUS y cómo configurarlo.

Por qué usar RADIUS

Usted (el administrador de red) puede usar diferentes protocolos para la autenticación central de usuarios en dispositivos de red, incluidos RADIUS y TACACS+. Recomendamos RADIUS porque es un estándar IETF de varios proveedores y sus funciones son más ampliamente aceptadas que las de TACACS+ u otros sistemas patentados. Además, recomendamos usar un sistema de contraseña única para una mayor seguridad, y todos los proveedores de estos sistemas admiten RADIUS.

Debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento:

  • Interoperabilidad: EL RADIUS es más interoperable que el TACACS+, principalmente debido a la naturaleza propietaria de TACACS+. Aunque TACACS+ admite más protocolos, RADIUS es compatible universalmente.

  • Rendimiento: el RADIUS es mucho más ligero en sus enrutadores y conmutadores. Por esta razón, los ingenieros de red generalmente prefieren RADIUS sobre TACACS+.

Configurar los detalles del servidor RADIUS

Para usar la autenticación RADIUS en el dispositivo, configure la información de uno o más servidores RADIUS en la red incluyendo una radius-server instrucción en el [edit system] nivel de jerarquía para cada servidor RADIUS. El dispositivo consulta a los servidores RADIUS en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que reciba una respuesta.

El dispositivo de red puede asignar usuarios autenticados radius a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, que determina la autorización. De forma predeterminada, Junos OS asigna usuarios autenticados radius a la cuenta remotede plantilla de usuario, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor RADIUS no asigna al usuario a una plantilla de usuario local o la plantilla que el servidor asigna no está configurada en el dispositivo local.

El servidor RADIUS puede asignar un usuario autenticado a una plantilla de usuario diferente para conceder permisos administrativos diferentes a ese usuario. El usuario conserva el mismo nombre de inicio de sesión en la CLI, pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el usuario autenticado por RADIUS no se asigna a ninguna cuenta de usuario definida localmente ni a ninguna plantilla de usuario, y la plantilla no está configurada, se producirá un error en la remote autenticación.

Nota:

El remote nombre de usuario es un caso especial en Junos OS y siempre debe estar en minúscula. Actúa como una plantilla para usuarios que están autenticados por un servidor remoto, pero no tienen una cuenta de usuario configurada localmente en el dispositivo. Junos OS aplica los permisos de la remote plantilla a los usuarios autenticados sin una cuenta definida localmente. Todos los usuarios asignados a la remote plantilla están en la misma clase de inicio de sesión.

Dado que configura la autenticación remota en varios dispositivos, es común configurarla dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración llamado global. Usar un grupo de configuración es opcional.

Para configurar la autenticación por un servidor RADIUS:

  1. Configure la dirección IPv4 o la dirección IPv6 del servidor de autenticación RADIUS.

    Por ejemplo:

  2. (Opcional) Configure la dirección de origen del paquete para las solicitudes enviadas al servidor RADIUS.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces de enrutador o interfaces de conmutador. Si el dispositivo de red tiene varias interfaces que pueden llegar al servidor RADIUS, asigne una dirección IP que el dispositivo pueda usar para toda su comunicación con el servidor RADIUS. Al hacerlo, se establece una dirección fija como la dirección de origen de los paquetes IP generados localmente.

  3. Configure la contraseña secreta compartida que el dispositivo de red usa para autenticarse con el servidor RADIUS.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor RADIUS. Si la contraseña contiene espacios, encierre entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  4. (Opcional) Especifique el puerto en el que debe ponerse en contacto con el servidor RADIUS, si es diferente del predeterminado.

    El puerto predeterminado es 1812 (como se especifica en RFC 2865).

    Por ejemplo:

    Nota:

    También puede configurar la accounting-port instrucción para especificar a qué puerto del servidor RADIUS enviar paquetes de contabilidad. El valor predeterminado es 1813 (como se especifica en RFC 2866).

  5. (Opcional) Configure la cantidad de veces que el dispositivo intenta ponerse en contacto con el servidor RADIUS y la cantidad de tiempo que espera el dispositivo para recibir una respuesta del servidor.

    De forma predeterminada, el dispositivo intenta ponerse en contacto con el servidor tres veces y espera tres segundos. Puede configurar el retry valor de 1 a 100 veces y el timeout valor de 1 a 1000 segundos.

    Por ejemplo, para contactar con un servidor RADIUS 2 veces y esperar 10 segundos para obtener una respuesta:

  6. Especifique el orden de autenticación e incluya la radius opción.

    En el ejemplo siguiente, cada vez que un usuario intenta iniciar sesión, Junos OS primero consulta al servidor RADIUS para la autenticación. Si eso falla, consulta al servidor TACACS+. Si se produce un error, intenta la autenticación con cuentas de usuario configuradas localmente.

  7. Asigne una clase de inicio de sesión a usuarios autenticados por RADIUS que no tengan una cuenta de usuario definida localmente.

    Configure una cuenta de plantilla de usuario de la misma manera que una cuenta de usuario local, excepto que no configure una contraseña de autenticación local porque el servidor RADIUS autentica al usuario.

    • Para usar los mismos permisos para todos los usuarios autenticados por RADIUS, configure la plantilla de remote usuario.

      Por ejemplo:

    • Para usar diferentes clases de inicio de sesión para distintos usuarios autenticados por RADIUS, otorgándoles permisos diferentes:

      1. Cree varias plantillas de usuario en la Junos OS configuración. Por ejemplo:

      2. Configure el servidor RADIUS para asignar el usuario autenticado a la plantilla de usuario adecuada.

        Establezca el VSA de Juniper-Local-User-Name Juniper (atributo específico del proveedor) (proveedor 2636, tipo 1, cadena) en el nombre de una plantilla de usuario configurada en el dispositivo, que en el ejemplo anterior es RO, OP o SU. El servidor RADIUS incluye el atributo en el mensaje de aceptación de acceso RADIUS. Se produce un error en la autenticación si el dispositivo no puede asignar un usuario a una cuenta de usuario local o una plantilla de usuario, y la remote plantilla de usuario no está configurada.

Configure RADIUS para usar la instancia de administración

De forma predeterminada, Junos OS enruta los paquetes de autenticación, autorización y contabilidad para RADIUS mediante la instancia de enrutamiento predeterminada. También puede enrutar paquetes RADIUS a través de una interfaz de administración en una instancia de VRF no predeterminada.

Para enrutar paquetes RADIUS a través de la mgmt_junos instancia de administración:

  1. Habilite la mgmt_junos instancia de administración.

  2. Configure la routing-instance mgmt_junos instrucción para el servidor de autenticación RADIUS y el servidor de contabilidad RADIUS, si está configurado.

Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema

En este ejemplo, se configura la autenticación del sistema a través de un servidor RADIUS.

Requisitos

Antes de comenzar:

  • Realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.

  • Configure al menos un servidor RADIUS en su red.

Descripción general

En este ejemplo, agrega un nuevo servidor RADIUS con una dirección IP de 172.16.98.1. Especifique la contraseña secreta compartida del servidor RADIUS como Radiussecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que el dispositivo usa en las solicitudes del servidor RADIUS. En la mayoría de los casos, puede utilizar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.

Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como la autenticación de contraseña local, RADIUS y TACACS+, en el dispositivo de red, Cuando configure varios métodos de autenticación, puede priorizar el orden en el que el dispositivo intenta los diferentes métodos. En este ejemplo, configure el dispositivo para que use primero los servicios de autenticación RADIUS y, luego, si se produce un error, para intentar la autenticación de contraseña local.

Un usuario autenticado por RADIUS debe asignarse a una cuenta de usuario local o una cuenta de plantilla de usuario local en el dispositivo de red, lo que determina la autorización. De forma predeterminada, si un usuario autenticado por RADIUS no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de remote usuario, si está configurado. En este ejemplo, se configura la plantilla de remote usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar un servidor RADIUS para la autenticación del sistema:

  1. Agregue un nuevo servidor RADIUS y establezca su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor RADIUS.

  3. Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.

  4. Especifique el orden de autenticación del dispositivo e incluya la radius opción.

  5. Configure la plantilla de remote usuario y su clase de inicio de sesión.
Resultados

En el modo de configuración, escriba el comando para confirmar la show system configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

El siguiente resultado solo incluye aquellas partes de la jerarquía de configuración que son relevantes para este ejemplo.

Después de configurar el dispositivo, ingrese commit en modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verifique la configuración del servidor RADIUS

Propósito

Verifique que el servidor RADIUS autentifique a los usuarios.

Acción

Inicie sesión en el dispositivo de red y compruebe que el inicio de sesión sea exitoso. Para comprobar que el dispositivo usa el servidor RADIUS para la autenticación, puede intentar iniciar sesión con una cuenta que no define una contraseña de autenticación local en la configuración.

Configurar autenticación RADIUS (serie QFX o serie OCX)

La autenticación RADIUS es un método de autenticación de usuarios que intentan acceder al enrutador o al conmutador. Las tareas para configurar la autenticación RADIUS son:

Nota:

La source-address instrucción no se admite en el [edit system-radius-server name] nivel de jerarquía en el sistema QFabric.

Configurar los detalles del servidor RADIUS

Para usar la autenticación RADIUS en el enrutador o conmutador, configure la información de uno o más servidores RADIUS en la red incluyendo una radius-server instrucción en el [edit system] nivel de jerarquía para cada servidor RADIUS:

server-address es la dirección del servidor RADIUS.

Puede especificar un puerto en el que ponerse en contacto con el servidor RADIUS. De forma predeterminada, se utiliza el número de puerto 1812 (como se especifica en RFC 2865). También puede especificar un puerto de contabilidad para enviar paquetes de contabilidad. El valor predeterminado es 1813 (como se especifica en RFC 2866).

Debe especificar una contraseña en la secret password instrucción. Si la contraseña contiene espacios, encierre entre comillas. El secreto que usa el enrutador o conmutador local debe coincidir con el utilizado por el servidor.

Opcionalmente, puede especificar la cantidad de tiempo que espera el enrutador o conmutador local para recibir una respuesta de un servidor RADIUS (en la timeout instrucción) y la cantidad de veces que el enrutador o conmutador intenta ponerse en contacto con un servidor de autenticación RADIUS (en la retry instrucción). De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurarlo para que sea un valor de 1 a 90 segundos. De forma predeterminada, el enrutador o conmutador reintente tres veces la conexión al servidor. Puede configurarlo para que sea un valor de 1 a 10 veces.

Puede usar la source-address instrucción para especificar una dirección lógica para servidores individuales o varios servidores RADIUS.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones.

Para configurar un conjunto de usuarios que comparten una sola cuenta con fines de autorización, cree un usuario de plantilla. Para ello, incluya la user instrucción en el [edit system login] nivel de jerarquía, como se describe en Ejemplo: Orden de configuración de autenticación.

También puede configurar la autenticación RADIUS en los [edit access] niveles de jerarquía y [edit access profile] . Junos OS utiliza el siguiente orden de búsqueda para determinar qué conjunto de servidores se utiliza para la autenticación:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configure MS-CHAPv2 para compatibilidad con cambios de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de que:

  • Configure los parámetros de autenticación del servidor RADIUS.

  • Establezca el authentication-order para usar el servidor RADIUS para el intento de contraseña inicial.

Puede configurar la implementación de Microsoft del protocolo de autenticación de enlace de desafío versión 2 (MS-CHAPv2) en el enrutador o conmutador para admitir el cambio de contraseñas. Esta función proporciona a los usuarios que acceden a un enrutador o cambian la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para cambiarse en el siguiente inicio de sesión.

Para configurar MS-CHAP-v2, incluya las siguientes instrucciones en el [edit system radius-options] nivel jerárquico:

En el ejemplo siguiente se muestran instrucciones para configurar el protocolo de contraseña MS-CHAPv2, el orden de autenticación de contraseña y las cuentas de usuario:

Especifique una dirección de origen para que Junos OS acceda a servidores RADIUS externos

Puede especificar qué dirección de origen utiliza Junos OS al acceder a la red para ponerse en contacto con un servidor RADIUS externo para la autenticación. También puede especificar qué dirección de origen utiliza Junos OS cuando se pone en contacto con un servidor RADIUS para enviar información de contabilidad.

Para especificar una dirección de origen para un servidor RADIUS, incluya la source-address instrucción en el [edit system radius-server server-address] nivel de jerarquía:

source-address es una dirección IP válida configurada en una de las interfaces de enrutador o de conmutador.

Atributos RADIUS y LDAP específicos del proveedor de Juniper Networks

Junos OS admite la configuración de los atributos específicos del proveedor (VSA) de Juniper Networks RADIUS y LDAP en el servidor de autenticación. Estos VSA se encapsulan en un atributo específico del proveedor RADIUS o LDAP con el ID de proveedor establecido en el número de ID de Juniper Networks, 2636.

Tabla 1 enumera los VSA de Juniper Networks que puede configurar.

Algunos de los atributos aceptan expresiones regulares extendidas, tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Para obtener más información, consulte:

Tabla 1: Atributos RADIUS y LDAP específicos del proveedor de Juniper Networks

Nombre

Descripción

Tipo

Longitud

Cadena

Nombre de usuario local de Juniper

Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo. Este atributo solo se utiliza en paquetes de aceptación de acceso.

1

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles.

Juniper-Allow-Commands

Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de esos comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

2

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Comandos de denegación de Juniper

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

3

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-Allow-Configuration

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de esas instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

4

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Configuración de Juniper-Deny

Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

5

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-Interactive-Command

Indica el comando interactivo introducido por el usuario. Este atributo solo se utiliza en paquetes de solicitud de cuentas.

8

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles.

Juniper-Configuration-Change

Indica el comando interactivo que da como resultado un cambio de configuración (base de datos). Este atributo solo se utiliza en paquetes de solicitud de cuentas.

9

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles.

Juniper-User-Permissions

Contiene información que el servidor utiliza para especificar los permisos de usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

Nota:

Cuando el servidor RADIUS o LDAP define el Juniper-User-Permissions atributo para conceder el permiso o all permiso maintenance a un usuario, la lista de pertenencias de grupo del usuario no incluye automáticamente el grupo de ruedas UNIX. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia al grupo de ruedas. Sin embargo, cuando el dispositivo de red define una cuenta de usuario local con los permisos maintenance o all, el usuario se concede automáticamente la pertenencia al grupo de ruedas UNIX. Por lo tanto, recomendamos que cree una cuenta de plantilla de usuario con los permisos necesarios y asocie cuentas de usuario individuales con la cuenta de plantilla de usuario.

10

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles.

La cadena es una lista de marcas de permisos separadas por un espacio. El nombre exacto de cada marca debe especificarse en su totalidad.

Consulte Descripción general de los niveles de privilegios de acceso.

Tipo de autenticación de Juniper

Indica el método de autenticación (base de datos local, LDAP o servidor RADIUS) utilizado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra 'local'. Si el usuario se autentica mediante un servidor RADIUS o LDAP, el valor del atributo muestra "remoto".

11

≥5

Uno o más octetos que contienen caracteres ASCII imprimibles.

Puerto de sesión de Juniper

Indica el número de puerto de origen de la sesión establecida.

12

tamaño de entero

Entero

Juniper-Allow-Configuration-Regexps (solo RADIUS)

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de esas instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

13

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-Deny-Configuration-Regexps (solo RADIUS)

Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se utiliza en paquetes de aceptación de acceso.

14

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Para obtener más información acerca de los VSA, consulte RFC 2138, Marcado de autenticación remota en el servicio de usuario (RADIUS).

Utilice expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos

Junos OS puede asignar usuarios autenticados RADIUS y TACACS+a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, la cual define los privilegios de acceso del usuario. También puede configurar opcionalmente los privilegios de acceso de un usuario definiendo los atributos específicos del proveedor (VSA) de Juniper Networks RADIUS y TACACS+ en el servidor de autenticación respectivo.

La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué modo operativo y modo de configuración comandos un usuario está autorizado a ejecutar y qué áreas de la configuración puede ver y modificar un usuario. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar ciertos comandos o ver y modificar ciertas áreas de la configuración, además de lo que autorizan los indicadores de permiso. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización del usuario:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSAs de Juniper Networks para definir permisos específicos o expresiones regulares que determinan los privilegios de acceso de un usuario. Para obtener la lista de VSA compatibles radius y TACACS+, consulte lo siguiente:

Puede definir permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacio.

  • Un servidor RADIUS utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que utilizan una sola expresión regular extendida (como se define en POSIX 1003.2) para permitir o denegar a un usuario la capacidad de ejecutar ciertos comandos o ver y modificar áreas de la configuración. Encierra varios comandos o jerarquías de configuración entre paréntesis y los separa mediante un símbolo de canalización. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Cuando usted configura los parámetros de autorización local y remotamente, el dispositivo fusiona las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular definida en el dispositivo local.

  • Un servidor RADIUS utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

Los servidores RADIUS y TACACS+ también admiten la configuración de atributos que corresponden a las mismas *-regexps instrucciones que usted puede configurar en el dispositivo local. Los *-regexps atributos TACACS+ y RADIUS *-Regexps utilizan la misma sintaxis de expresión regular que los atributos anteriores, pero le permiten configurar expresiones regulares con variables.

  • Un servidor RADIUS utiliza los siguientes atributos y sintaxis:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo, la configuración del servidor TACACS+ puede definir los siguientes atributos:

En un servidor RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que especifique cada expresión individual en una línea independiente.

Para un servidor RADIUS, especifique las expresiones regulares individuales mediante la sintaxis siguiente:

Para un servidor TACACS+, especifique las expresiones regulares individuales mediante la sintaxis siguiente:

Nota:
  • En la sintaxis del servidor TACACS+, los valores numéricos del 1 al n 1 deben ser únicos, pero no deben ser secuenciales. Por ejemplo, la siguiente sintaxis es válida:

  • El servidor RADIUS o TACACS+ impone un límite al número de líneas de expresión regular individuales.

  • Cuando se ejecuta el show cli authorization comando, el resultado del comando muestra la expresión regular en una sola línea, incluso si especifica cada expresión individual en una línea independiente.

Los usuarios pueden comprobar su clase, permisos y autorización de comando y configuración mediante la emisión del comando de show cli authorization modo operativo.

Nota:

Cuando configure los parámetros de autorización tanto localmente en el dispositivo de red como de forma remota en el servidor RADIUS o TACACS+, el dispositivo fusiona las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.

Pautas de VSA de filtro de conmutación de Juniper, condiciones de coincidencia y acciones

Los dispositivos admiten la configuración de atributos de servidor RADIUS específicos de Juniper Networks. Estos atributos se conocen como atributos específicos del proveedor (VSA) y se describen en RFC 2138, Marcado de autenticación remota en el servicio de usuario (RADIUS). Los atributos específicos del proveedor extienden la funcionalidad del servidor RADIUS más allá de la proporcionada por los atributos estándar públicos, lo que permite la implementación de muchas funciones útiles necesarias para la administración de suscriptores y el soporte de servicio.

Las VSA de Juniper Networks tienen el ID de proveedor establecido en 2636.

Los atributos son campos de texto sin formato enviados desde el servidor RADIUS al dispositivo como resultado de un éxito o un error de autenticación. La autenticación impide el acceso de usuarios no autorizados mediante el bloqueo de un suplicante en el puerto hasta que el servidor RADIUS autentifica el dispositivo. La implementación de atributos de filtrado con autenticación en el servidor RADIUS proporciona una ubicación central para controlar el acceso LAN para supplicantes.

El atributo Juniper-Switching-Filter funciona junto con la autenticación 802.1X para controlar el acceso central de los supplicantes a la red. Puede usar este atributo para configurar filtros en el servidor RADIUS. Estos filtros se envían al conmutador y se aplican a los usuarios que se autenticaron mediante la autenticación 802.1X.

El filtro de conmutación de Juniper puede contener uno o más términos de filtro. Los términos de filtro se configuran mediante una o más condiciones de coincidencia con una acción resultante. Las condiciones de coincidencia son los criterios que un paquete debe cumplir para que se aplique una acción configurada. La acción configurada es la acción que realiza el conmutador si un paquete cumple los criterios especificados en las condiciones de coincidencia. La acción que puede realizar el conmutador es aceptar o denegar un paquete.

Agregar un filtro de firewall de puerto a un servidor RADIUS elimina la necesidad de agregar el filtro a varios puertos y dispositivos. Una forma de hacerlo es aplicar un filtro de firewall de puerto configurado anteriormente directamente al servidor RADIUS mediante el VSA de nombre de filtro de firewall de Juniper. Al igual que los atributos de filtrado de puertos, este filtro se aplica durante el proceso de autenticación y sus acciones se aplican en el puerto del dispositivo.

Pautas de VSA

Los atributos RADIUS específicos del proveedor tienen un máximo de 247 caracteres por atributo. Si se requiere más longitud, Juniper admite varias instancias del mismo atributo, de hasta 4000 caracteres. Para admitir filtros que superen los 247 caracteres, utilice varios atributos juniper-conmutación-filtro. En el ejemplo siguiente se muestran dos atributos, cada uno de los cuales contiene un nuevo término de filtro que está dentro del límite de 247 caracteres:

Nota:

El límite de 4000 caracteres está sujeto a la MTU compatible tanto en el servidor RADIUS como en el dispositivo Juniper, y al número de otros atributos RADIUS utilizados.

Las siguientes pautas se aplican a las condiciones y acciones de coincidencia de VSA:

  • Tanto la match instrucción como la action instrucción son obligatorias.

  • Si no se especifica ninguna condición de coincidencia, cualquier paquete se considera una coincidencia de forma predeterminada.

  • Si no se especifica ninguna acción, la acción predeterminada es denegar el paquete.

  • Cualquiera o todas las opciones se pueden incluir en cada match una de ellas y action en la instrucción.

  • La operación AND se realiza en campos de un tipo diferente, separados por comas. Los campos del mismo tipo no se pueden repetir.

  • Para que se aplique la forwarding-class opción, la clase de reenvío debe configurarse en el conmutador. Si la clase de reenvío no está configurada en el conmutador, se omite esta opción.

Condiciones de coincidencia

Tabla 2 describe las condiciones de coincidencia que puede especificar al configurar un atributo VSA como un filtro de firewall mediante el match comando en el servidor RADIUS. La cadena que define una condición de coincidencia se denomina instrucción match.

Tabla 2: Condiciones de coincidencia

Opción

Descripción

destination-mac mac-address

Dirección de control de acceso de medios de destino (MAC) del paquete.

source-dot1q-tag tag

Valor de etiqueta en el encabezado 802.1Q, en el intervalo 0 a través 4095de .

destination-ip ip-address

Dirección del nodo de destino final.

ip-protocol protocol-id

Valor del protocolo IPv4. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto:

ah, egp (8), esp (50, gre (47), icmp (1), , igmp (2), ipip (4), , ipv6 (41), ospf (89), , pim (103), , rsvp (46), tcp (6)o udp (17)

source-port port

Campo de puerto de origen tcp o protocolo de datagrama de usuario (UDP). Normalmente, especifica esta instrucción match junto con la ip-protocol instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del campo numérico, puede especificar una de las opciones de texto enumeradas en destination-port.

destination-port port

Campo de puerto de destino TCP o UDP. Normalmente, especifica esta instrucción match junto con la ip-protocol instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

Acciones

Cuando define uno o más términos que especifican los criterios de filtrado, también define la acción que debe realizar si el paquete coincide con todos los criterios. Tabla 3 muestra las acciones que puede especificar en un término.

Tabla 3: Acciones para VSA

Opción

Descripción

(allow | deny)

Acepte un paquete o descarte un paquete de forma silenciosa sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

forwarding-class class-of-service

(Opcional) Clasifique el paquete en una de las siguientes clases de reenvío:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority (low | medium | high)

(Opcional) Establezca la prioridad de pérdida de paquetes (PLP) en low, mediumo high. Especifique la clase de reenvío y la prioridad de pérdida.

Descripción de la contabilidad RADIUS

Los dispositivos de red admiten IETF RFC 2866, Contabilidad RADIUS. Puede configurar la contabilidad RADIUS en un dispositivo para recopilar datos estadísticos acerca de los usuarios que inician sesión en una LAN o fuera de ella y enviar los datos a un servidor de contabilidad RADIUS. Los datos estadísticos se pueden utilizar para el monitoreo general de la red, el análisis y el seguimiento de patrones de uso, o la facturación de un usuario según la duración de la sesión o el tipo de servicios a los que se accede.

Para configurar la contabilidad RADIUS, especifique:

  • Uno o más servidores de contabilidad RADIUS para recibir los datos estadísticos del dispositivo

  • El tipo de datos contables que se recopilan

Puede usar el mismo servidor para la contabilidad y la autenticación RADIUS, o puede usar servidores independientes. Puede especificar una lista de servidores de contabilidad RADIUS. El dispositivo consulta a los servidores en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que reciba una respuesta.

El proceso de contabilidad RADIUS entre el dispositivo y un servidor RADIUS funciona de la siguiente manera:

  1. Un servidor de contabilidad RADIUS escucha los paquetes del protocolo de datagrama de usuario (UDP) en un puerto específico. El puerto predeterminado para la contabilidad RADIUS es 1813.

  2. El dispositivo reenvía un paquete de solicitud de contabilidad que contiene un registro de eventos al servidor de contabilidad. El registro de eventos asociado a este suplicante contiene un atributo Acct-Status-Type cuyo valor indica el principio del servicio de usuario para este suplicante. Cuando finaliza la sesión del suplicante, la solicitud de contabilidad contiene un valor de atributo Acct-Status-Type que indica el final del servicio del usuario. El servidor de contabilidad RADIUS registra esto como un registro de detención contable que contiene información de sesión y la duración de la sesión.

  3. El servidor de contabilidad RADIUS registra estos eventos en un archivo como registros de inicio o de detención de cuentas. En FreeRADIUS, el nombre de archivo es la dirección del servidor, como 192.0.2.0.

  4. El servidor de contabilidad envía un paquete de respuesta de cuentas al dispositivo que confirma que ha recibido la solicitud de contabilidad.

  5. Si el dispositivo no recibe un paquete de respuesta de cuentas del servidor, sigue enviando solicitudes de contabilidad hasta que el servidor devuelve una respuesta.

Puede ver las estadísticas recopiladas a través de este proceso en el servidor RADIUS. Para ver esas estadísticas, acceda al archivo de registro configurado para recibirlas.

Configurar la contabilidad del sistema RADIUS

Cuando habilita la contabilidad RADIUS, los dispositivos Juniper Networks, que actúan como clientes RADIUS, pueden notificar al servidor RADIUS acerca de las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos. El marco de trabajo para la contabilidad RADIUS se describe en RFC 2866, Contabilidad RADIUS.

Configurar auditoría de eventos de usuario en un servidor RADIUS

Para configurar la contabilidad RADIUS:

  1. Configure los eventos para auditoría.

    Por ejemplo:

    events puede incluir una o más de las siguientes opciones:

    • login— Inicios de sesión de auditoría

    • change-log— Cambios de configuración de auditoría

    • interactive-commands: permite auditar comandos interactivos (cualquier entrada de línea de comandos)

  2. Habilite la contabilidad RADIUS.
  3. Configure la dirección para uno o más servidores de contabilidad RADIUS.

    Por ejemplo:

    Nota:

    Si no configura ningún servidor RADIUS en el [edit system accounting destination radius] nivel de jerarquía, el dispositivo utiliza los servidores RADIUS configurados en el [edit system radius-server] nivel de jerarquía.

  4. (Opcional) Configure la dirección de origen para las solicitudes de contabilidad RADIUS.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces de enrutador o interfaces de conmutador. Si el dispositivo de red tiene varias interfaces que pueden llegar al servidor RADIUS, asigne una dirección IP que el dispositivo pueda usar para toda su comunicación con el servidor RADIUS. Al hacerlo, se establece una dirección fija como la dirección de origen de los paquetes IP generados localmente.

  5. Configure la contraseña secreta compartida que el dispositivo de red usa para autenticarse con el servidor de contabilidad RADIUS.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor RADIUS. Si la contraseña contiene espacios, encierre entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  6. (Opcional) Si es necesario, especifique a qué puerto del servidor de contabilidad RADIUS enviar paquetes de contabilidad, si es diferente del predeterminado (1813).
    Nota:

    Si habilita la contabilidad RADIUS en el [edit access profile profile-name accounting-order] nivel de jerarquía, la contabilidad se activa en el puerto predeterminado de 1813, incluso si no especifica un valor para la accounting-port instrucción.

  7. (Opcional) Configure el número de veces que el dispositivo intenta contactar con un servidor de contabilidad RADIUS y la cantidad de tiempo que espera el dispositivo para recibir una respuesta de un servidor.

    De forma predeterminada, el dispositivo intenta ponerse en contacto con el servidor tres veces y espera tres segundos. Puede configurar el retry valor de 1 a 100 veces y el timeout valor de 1 a 1000 segundos.

    Por ejemplo, para ponerse en contacto con un servidor dos veces y esperar 10 segundos para obtener una respuesta:

  8. (Opcional) Para enrutar paquetes de contabilidad RADIUS a través de la instancia de administración no predeterminada en lugar de la instancia de enrutamiento predeterminada, configure la routing-instance mgmt_junos instrucción.
  9. (Opcional) Configure la enhanced-accounting instrucción en el [edit system radius-options] nivel de jerarquía para incluir atributos de contabilidad adicionales, incluidos el método de acceso, el puerto remoto y los privilegios de acceso, para eventos de inicio de sesión de usuario.
    Nota:

    Para limitar el número de valores de atributo a auditar, configure la enhanced-avs-max <number> instrucción en el [edit system accounting] nivel de jerarquía.

En el ejemplo siguiente se configuran tres servidores (10.5.5.5, 10.6.6.6 y 10.7.7.7) para la contabilidad RADIUS:

Tabla de historial de versiones
Liberación
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, el comportamiento RADIUS existente se mejora para admitir una interfaz de administración en una instancia de VRF no predeterminada.