Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de RADIUS

Junos OS admite RADIUS para la autenticación central de los usuarios en dispositivos de red. Para usar RADIUS autenticación en el dispositivo, usted (el administrador de red) debe configurar la información acerca de uno o más RADIUS en la red. También puede configurar una auditoría RADIUS en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician sesión en una LAN o fuera de una LAN y enviar los datos a un RADIUS de auditoría.

Configurar la RADIUS del servidor

RADIUS autenticación es un método de autenticación de usuarios que intentan acceder a un dispositivo de red. En las siguientes secciones se describe por qué usar RADIUS y cómo configurarlo.

Por qué utilizar RADIUS

Usted (el administrador de red) puede utilizar diferentes protocolos para la autenticación central de los usuarios en dispositivos de red, incluidos RADIUS y TACACS+. Recomendamos RADIUS porque es un estándar de varios GTI-I y sus características son más aceptadas que las de TACACS+ u otros sistemas patentados. Además, recomendamos usar un sistema de contraseña única para una mayor seguridad, y todos los proveedores de estos sistemas admiten RADIUS.

Debe usar RADIUS cuando sus prioridades son la interoperabilidad y el rendimiento:

  • Interoperabilidad: RADIUS es más interoperable que LOS TACACS+, principalmente debido a la naturaleza exclusiva de TACACS+. Aunque TACACS + es compatible con más protocolos, RADIUS se admite de forma universal.

  • Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores. Por esta razón, los ingenieros de red generalmente prefieren RADIUS más que TACACS+.

Configurar los RADIUS del servidor

Para utilizar la autenticación de RADIUS en el dispositivo, configure la información acerca de uno o varios servidores RADIUS en radius-server la red incluyendo [edit system] una de las instrucciones en el nivel de jerarquía para cada RADIUS servidor. El dispositivo consulta a los RADIUS en el orden en que se configuran. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta contactar a cada servidor de la lista hasta que recibe una respuesta.

El dispositivo de red puede asignar RADIUS autenticados por usuario a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, la cual determina la autorización. De forma predeterminada, asigna RADIUS autenticados por usuario a la cuenta de plantilla de Junos OSremote usuario, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El RADIUS no asigna al usuario a una plantilla de usuario local, o la plantilla que el servidor asigna no está configurada en el dispositivo local.

El RADIUS servidor puede asignar un usuario autenticado a una plantilla de usuario diferente para otorgar distintos permisos administrativos a ese usuario. El usuario conserva el mismo nombre de inicio de sesión en el CLI pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el RADIUS autenticado no se asigna a ninguna cuenta de usuario o plantilla de usuario definidas localmente, y la plantilla no está configurada, entonces se produce un error de remote autenticación.

Nota:

El remote nombre de usuario es un caso especial y siempre debe ser en Junos OS minúscula. Actúa como una plantilla para usuarios autenticados por un servidor remoto, pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. aplica los permisos de la plantilla a aquellos usuarios Junos OSremote autenticados sin una cuenta definida localmente. Todos los usuarios asignados a remote la plantilla se encuentran en la misma clase de inicio de sesión.

Dado que configura la autenticación remota en varios dispositivos, es común configurarla dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración llamado global . El uso de un grupo de configuración es opcional.

Para configurar la autenticación en un servidor RADIUS:

  1. Configure la dirección IPv4 o la dirección IPv6 del RADIUS de autenticación.

    Por ejemplo:

  2. (Opcional) Configure la dirección de origen del paquete para las solicitudes enviadas al RADIUS servidor.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o dirección IPv6 válida configurada en una de las interfaces de enrutador o conmutador. Si el dispositivo de red tiene varias interfaces que pueden comunicarse con el servidor de RADIUS, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el RADIUS servidor. Al hacer esto, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  3. Configure la contraseña de secreto compartida que el dispositivo de red utiliza para autenticar con el RADIUS servidor.

    La contraseña configurada debe coincidir con la contraseña configurada en el RADIUS servidor. Si la contraseña contiene espacios, inclúyalo entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  4. (Opcional) Especifique el puerto en el que se va a contactar RADIUS servidor, si es diferente del valor predeterminado.

    El puerto predeterminado es 1812 (como se especifica en la RFC 2865).

    Por ejemplo:

    Nota:

    También puede configurar la instrucción accounting-port para especificar a qué puerto RADIUS servidor para enviar paquetes de cuenta. El valor predeterminado es 1813 (según lo especificado en el documento RFC 2866).

  5. (Opcional) Configure el número de veces que el dispositivo intenta comunicarse con el servidor de RADIUS y la cantidad de tiempo que espera la recepción de una respuesta del servidor.

    De forma predeterminada, el dispositivo intenta contactar tres veces al servidor y espera tres segundos. Puede configurar el retry valor de 1 a 100 veces y el valor de timeout 1 a 1000 segundos.

    Por ejemplo, para contactar a un RADIUS servidor 2 veces y esperar 10 segundos para obtener una respuesta:

  6. Especifique el orden de autenticación e incluya la radius opción.

    En el ejemplo siguiente, siempre que un usuario intenta iniciar sesión, primero consulta al RADIUS Junos OS para la autenticación. Si eso falla, consulta al servidor TACACS+. Si esto falla, intenta autenticación con cuentas de usuario configuradas localmente.

  7. Asigne una clase de inicio de sesión RADIUS usuarios autenticados que no tengan una cuenta de usuario definida localmente.

    Puede configurar una cuenta de plantilla de usuario de la misma manera que una cuenta de usuario local, con la excepción de que no configura una contraseña de autenticación local porque el servidor de RADIUS autentica al usuario.

    • Para usar los mismos permisos para todos RADIUS autenticados por defecto, configure la plantilla remote de usuario.

      Por ejemplo:

    • Para usar distintas clases de inicio de sesión para RADIUS usuarios autenticados por solicitud, concediendo distintos permisos:

      1. Cree varias plantillas de usuario en la Junos OS configuración. Por ejemplo:

      2. Configure el RADIUS servidor para asignar el usuario autenticado a la plantilla de usuario adecuada.

        Establezca el Juniper-Local-User-Name Juniper VSA (atributo específico del proveedor) (proveedor 2636, tipo 1, cadena) en el nombre de una plantilla de usuario configurada en el dispositivo, que en el ejemplo anterior es RO, OP o usuario único. El RADIUS de acceso incluye el atributo en el RADIUS de aceptar acceso. Se produce un error de autenticación si el dispositivo no puede asignar un usuario a una cuenta de usuario o una plantilla de usuario local, y la plantilla de usuario remote no está configurada.

Configure RADIUS para usar la instancia de administración

De forma predeterminada, enruta paquetes de autenticación, autorización y RADIUS a través de la Junos OS instancia de enrutamiento predeterminada. También puede enrutar RADIUS paquetes a través de una interfaz de administración en una instancia VRF no predeterminada.

Para enrutar RADIUS paquetes a través de la instancia mgmt_junos de administración:

  1. Habilite la instancia mgmt_junos de administración.

  2. Configure la routing-instance mgmt_junos instrucción para el RADIUS de autenticación y el RADIUS de cuentas, si está configurado.

Ejemplo: Configure un servidor RADIUS seguro para la autenticación del sistema

En este ejemplo, se configura la autenticación del sistema mediante RADIUS servidor.

Requisitos

Antes de empezar:

  • Realice la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.

  • Configure al menos un servidor RADIUS en su red.

Descripción general

En este ejemplo, se agrega un nuevo servidor de RADIUS con una dirección IP de 172.16.98.1. Especifique la contraseña de secreto compartida del servidor RADIUS como Radiussecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que usa el dispositivo en RADIUS del servidor. En la mayoría de los casos, puede utilizar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.

Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como autenticación de contraseña local, RADIUS y TACACS+, en el dispositivo de red, Cuando configure varios métodos de autenticación, puede priorizar el orden en el que el dispositivo prueba los distintos métodos. En este ejemplo, configure el dispositivo para que use RADIUS servicios de autenticación en primer lugar y, luego, si esto falla, para intentar la autenticación de contraseña local.

Un RADIUS autenticado por defecto debe asignarse a una cuenta de usuario local o a una cuenta de plantilla de usuario local en el dispositivo de red, lo que determina la autorización. De forma predeterminada, si RADIUS usuario autenticado no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de usuario, si está remote configurado. En este ejemplo, se configura la remote plantilla de usuario.

Configuración

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar un servidor RADIUS para autenticación del sistema:

  1. Agregar un nuevo servidor RADIUS y establecer su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor RADIUS.

  3. Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.

  4. Especifique el orden de autenticación del dispositivo e incluya la radius opción.

  5. Configure la plantilla remote de usuario y su clase de inicio de sesión.
Resultados

En el modo de configuración, escriba el show system comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

El siguiente resultado solo incluye aquellas partes de la jerarquía de configuración relevantes para este ejemplo.

Después de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Compruebe la configuración RADIUS del servidor de red

Propósito

Compruebe que el servidor RADIUS autentica a los usuarios.

Acción

Inicie sesión en el dispositivo de red y compruebe que el inicio de sesión se realiza correctamente. Para comprobar que el dispositivo usa el servidor de RADIUS para la autenticación, puede intentar iniciar sesión con una cuenta que no defina una contraseña de autenticación local en la configuración.

Configurar RADIUS autenticación de red (serie QFX o serie OCX)

La autenticación de RADIUS es un método para autenticar a los usuarios que intentan acceder al enrutador o conmutador. Las tareas para configurar la autenticación de RADIUS son:

Nota:

La source-address instrucción no se admite en el nivel de jerarquía del sistema [edit system-radius-server name] QFabric.

Configurar los RADIUS del servidor

Para utilizar la autenticación de RADIUS en el enrutador o conmutador, configure la información acerca de uno o varios servidores radius-server RADIUS de la [edit system] red mediante la inclusión de una instrucción en el nivel de jerarquía para cada RADIUS servidor:

la dirección del servidor es la dirección del RADIUS servidor.

Puede especificar un puerto en el que ponerse en contacto con el servidor de RADIUS. De forma predeterminada, se utiliza el número de Puerto 1812 (como se especifica en RFC 2865). También puede especificar un puerto de cuentas para enviar paquetes de cuentas. El valor predeterminado es 1813 (según lo especificado en el documento RFC 2866).

Debe especificar una contraseña en la secret password instrucción. Si la contraseña contiene espacios, inclúyalo entre comillas. El secreto utilizado por el conmutador o enrutador local debe coincidir con el utilizado por el servidor.

Opcionalmente, puede especificar la cantidad de tiempo que el enrutador local o el conmutador esperan recibir una respuesta de un servidor RADIUS (en la timeout instrucción) y el número de veces que el enrutador o conmutador intenta ponerse en contacto con un servidor de retry autenticación RADIUS (en la instrucción). De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurarlo para que sea un valor de 1 a 90 segundos. De forma predeterminada, el enrutador o conmutador vuelve a intentar conectarse al servidor tres veces. Puede configurarlo para que tenga un valor comprendido entre 1 y 10 veces.

Puede usar la instrucción source-address para especificar una dirección lógica para servidores individuales o varios RADIUS específicos.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones.

Para configurar un conjunto de usuarios que comparten una sola cuenta para fines de autorización, debe crear un usuario de plantilla. Para ello, incluya la user instrucción en el nivel de [edit system login] jerarquía, tal como se describe en Ejemplo Configurar orden de autenticación .

También puede configurar la autenticación RADIUS en los niveles [edit access][edit access profile] de jerarquía y. Junos OS utiliza el siguiente orden de búsqueda para determinar qué conjunto de servidores se utiliza para la autenticación:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configurar MS-CHAPv2 para la compatibilidad con cambios de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de que:

  • Configure los parámetros RADIUS de autenticación del servidor de red.

  • Establezca el authentication-order para usar el RADIUS de acceso para el intento inicial de contraseña.

Puede configurar la implementación de Microsoft del Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAPv2) en el enrutador o conmutador para que admita el cambio de contraseñas. Esta característica proporciona a los usuarios que tienen acceso a un enrutador o a un conmutador de la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para cambiar en el siguiente inicio de sesión.

Para configurar MS-CHAP-V2, incluya las siguientes instrucciones en el [edit system radius-options] nivel de jerarquía:

El siguiente ejemplo muestra instrucciones para configurar el protocolo de contraseñas MS-CHAPv2, el orden de autenticación de contraseñas y las cuentas de usuario:

Especifique una dirección de origen para el Junos OS acceso a servidores de RADIUS externos

Puede especificar qué dirección de origen utiliza Junos OS para obtener acceso a la red con el fin de ponerse en contacto con un servidor RADIUS externo para su autenticación. También puede especificar qué dirección de origen utiliza Junos OS para enviar información de cuentas a un servidor RADIUS.

Para especificar una dirección de origen para un servidor RADIUS, incluya source-address la instrucción en [edit system radius-server server-address] el nivel de jerarquía:

dirección de origen es una dirección IP válida configurada en una de las interfaces de enrutador o conmutador.

Juniper Networks específicos del proveedor RADIUS atributos LDAP

Junos OS configuración de atributos Juniper Networks RADIUS ldap específicos del proveedor (VSA) en el servidor de autenticación. Estos VSA se encapsulan en un atributo RADIUS o específico del proveedor LDAP con el ID del proveedor establecido en el número de ID Juniper Networks de proveedor, 2636.

Tabla 1 enumera las Juniper Networks vsa que puede configurar.

Algunos de los atributos aceptan expresiones regulares extendidas, tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierranla entre comillas. Para obtener más información, consulte:

Tabla 1: Juniper Networks específicos del proveedor RADIUS atributos LDAP

Nombre

Descripción

Escríba

Alarga

Alfanumérico

Nombre de Juniper-local-User-Name

Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo. Este atributo solo se usa en paquetes de aceptación de acceso.

1

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Juniper-allow-comandos

Contiene una expresión regular extendida que permite al usuario ejecutar comandos, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

2

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-deny-comandos

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

3

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-allow-Configuration

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de aquellas instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

4

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-deny-Configuration

Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

5

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-Interactive-Command

Indica el comando interactivo escrito por el usuario. Este atributo solo se utiliza en paquetes de solicitud de administración de cuentas.

8

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Juniper-configuración-cambio

Indica el comando interactivo que da como resultado un cambio en la configuración (base de datos). Este atributo solo se utiliza en paquetes de solicitud de administración de cuentas.

9

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Juniper-User-Permissions

Contiene información que el servidor utiliza para especificar permisos de usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

Nota:

Cuando el RADIUS o el servidor LDAP define el atributo para otorgar el permiso o permiso a un usuario, la lista de miembros de grupo del usuario no incluye automáticamente el grupo de ruedas Juniper-User-Permissionsmaintenanceall UNIX. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia a grupo de rueda. Sin embargo, cuando el dispositivo de red define una cuenta de usuario local con los permisos o , el usuario se le otorga automáticamente la maintenance membresía al grupo de ruedas all unix. Por lo tanto, recomendamos que cree una cuenta de plantilla de usuario con los permisos necesarios y asocie las cuentas de usuario individuales con la cuenta de plantilla de usuario.

10

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

La cadena es una lista de indicadores de permiso separados por un espacio. El nombre exacto de cada indicador debe especificarse en su totalidad.

Consulte Descripción general de los niveles de privilegios de acceso.

Tipo de autenticación Juniper

Indica el método de autenticación (base de datos local, LDAP o RADIUS servidor) usado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra "local". Si el usuario se autentica mediante un servidor RADIUS o LDAP, el valor de atributo muestra "remoto".

11

≥5

Uno o más octetos que contengan caracteres ASCII imprimibles.

Puerto de sesión Juniper

Indica el número de puerto de origen de la sesión establecida.

12

tamaño del entero

Valor entero

Juniper-Permitir-configuración-Regexps (RADIUS único)

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de aquellas instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

13

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Juniper-Deny-Configuration-Regexps (solo RADIUS)

Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

14

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

Para obtener más información acerca de los VSA, consulte RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS).

Utilice expresiones regulares en un RADIUS o TACACS+ para permitir o denegar comandos

Junos OS puede asignar usuarios autenticados por RADIUS y TACACS a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, lo que define los privilegios de acceso del usuario. También puede configurar opcionalmente los privilegios de acceso de un usuario mediante la definición de atributos Juniper Networks RADIUS y TACACS+ específicos del proveedor (VSA) en el servidor de autenticación respectivo.

La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué modo operativo y modo de configuración comandos está autorizado a ejecutar un usuario y qué áreas de la configuración puede ver y modificar un usuario. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar determinados comandos o ver y modificar determinadas áreas de la configuración, además de lo que los indicadores de permiso autorizados. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización del usuario:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSA de Juniper Networks para definir permisos específicos o expresiones regulares que determinen los privilegios de acceso de un usuario. Para obtener una lista de RADIUS compatibles con VSA de TACACS+, consulte lo siguiente:

Puede definir los permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacio.

  • Un RADIUS servidor utiliza el siguiente atributo y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza el siguiente atributo y sintaxis:

    Por ejemplo:

Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que utilizan una sola expresión regular extendida (tal como se define en POSIX 1003.2) para permitir o denegar Juniper Networks un usuario la capacidad de ejecutar ciertos comandos o ver y modificar áreas de la configuración. Encierra varios comandos o jerarquías de configuración entre paréntesis y los separa mediante un símbolo de canalización. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierranla entre comillas. Cuando configure parámetros de autorización de forma local y remota, el dispositivo fusiona las expresiones regulares recibidas durante el TACACS+ o una autorización RADIUS con cualquier expresión regular definida en el dispositivo local.

  • Un RADIUS servidor utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

RADIUS y los servidores TACACS+ también admiten la configuración de atributos que correspondan a las mismas instrucciones que puede *-regexps configurar en el dispositivo local. Los atributos TACACS+ y RADIUS utilizan la misma sintaxis de expresión regular que los atributos anteriores, pero permiten configurar *-regexps*-Regexps expresiones regulares con variables.

  • Un RADIUS servidor utiliza los siguientes atributos y sintaxis:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo, la configuración del servidor TACACS+ puede definir los siguientes atributos:

En un RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que se especifica cada expresión individual en una línea independiente.

Para un servidor RADIUS, especifique las expresiones regulares individuales con la siguiente sintaxis:

Para un servidor TACACS+, especifique las expresiones regulares individuales mediante la siguiente sintaxis:

Nota:
  • En la sintaxis del servidor TACACS+, los valores numéricos del 1 al 1 deben ser únicos pero no deben ser completos. Por ejemplo, la sintaxis siguiente es válida:

  • El RADIUS o TACACS+ impone un límite a la cantidad de líneas de expresión regular individuales.

  • Cuando se ejecuta el show cli authorization comando, el resultado del comando muestra la expresión regular en una sola línea, aunque se especifique cada expresión individual en una línea independiente.

Los usuarios pueden comprobar su clase, sus permisos y su autorización de comando y configuración emitiendo el show cli authorization comando de modo operativo.

Nota:

Cuando configure los parámetros de autorización de forma local en el dispositivo de red y de forma remota en el servidor RADIUS o TACACS+, el dispositivo fusiona las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.

Juniper: filtrar condiciones y acciones de coincidencia de VSA

Los dispositivos admiten la configuración de atributos de servidor RADIUS específicos de Juniper Networks. Estos atributos se conocen como atributos específicos del proveedor (VSA) y se describen en RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS).

A través de VSA, puede configurar los atributos de filtrado de puerto en el servidor RADIUS. Los VSA son campos de texto no cifrado que se envían desde el servidor de RADIUS al dispositivo como resultado de la autenticación correcta o errónea. La autenticación impide el acceso de usuarios no autorizados bloqueando un suplicante en el puerto hasta que el dispositivo sea autenticado por el servidor RADIUS. El dispositivo interpreta los atributos de VSA durante la autenticación, y el dispositivo realiza las acciones apropiadas. La implementación de atributos de filtrado de puerto con autenticación en el servidor RADIUS proporciona una ubicación central para controlar el acceso a las redes LAN para suplicantes.

Estos atributos de filtrado de puertos específicos de Juniper Networks se encapsulan en un VSA del servidor de RADIUS con el ID del proveedor establecido en el número de ID de Juniper Networks, 2636.

Además de configurar atributos de filtrado de puertos mediante VSA, puede aplicar un filtro de firewall de puerto configurado anteriormente directamente al RADIUS servidor. Al igual que los atributos de filtrado de puertos, el filtro se aplica durante el proceso de autenticación y sus acciones se aplican en el puerto del dispositivo. Agregar un filtro de Firewall de puertos a un servidor RADIUS elimina la necesidad de agregar el filtro a varios puertos y dispositivos.

El VSA del filtro de conmutación de Juniper funciona junto con autenticación de 802.1 X para controlar de forma centralizada el acceso de los suplicantes a la red. Puede usar este VSA para configurar filtros en el RADIUS servidor. Estos filtros se envían al conmutador y se aplican a los usuarios autenticados mediante la autenticación 802.1X.

El VSA del filtro de conmutación de Juniper puede contener uno o varios términos de filtro. Los términos de filtro se configuran con una o más condiciones de coincidencia con una acciónresultante. Las condiciones de coincidencia son los criterios que debe cumplir un paquete para que una acción configurada se aplique a él. La acción configurada es la acción que realiza el conmutador si un paquete cumple los criterios especificados en las condiciones de coincidencia. La acción que puede tomar el conmutador es aceptar o denegar un paquete.

Las siguientes directrices se aplican cuando especifica condiciones y acciones de coincidencia para los VSA:

  • Tanto la match instrucción como la instrucción son action obligatorias.

  • Si no se especifica ninguna condición de coincidencia, cualquier paquete se considera una coincidencia de forma predeterminada.

  • Si se especifica no Action, la acción predeterminada es denegar el paquete.

  • Se pueden incluir cualquiera o todas las opciones en match cada action instrucción and.

  • La operación AND se lleva a cabo en campos de otro tipo separados por comillas. No se pueden repetir campos del mismo tipo.

  • Para que forwarding-class se aplique la opción, la clase de reenvío debe configurarse en el conmutador. Si la clase de reenvío no está configurada en el modificador, esta opción no se tiene en cuenta.

Tabla 2describe las condiciones de coincidencia que puede especificar al configurar un atributo de VSA como filtro de Firewall mediante el match comando del servidor de RADIUS. La cadena que define una condición de coincidencia se denomina instrucción de coincidencia.

Tabla 2: Condiciones de coincidencia

,

Descripción

destination-mac mac-address

Dirección de dirección MAC de destino (MAC) del paquete.

source-dot1q-tag tag

Valor de etiqueta en el encabezado 802.1 Q, en el 0 rango 4095de.

destination-ip ip-address

Dirección del nodo de destino final.

ip-protocol protocol-id

Valor del protocolo IPv4. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto:

ah, egp (8), esp (50, gre (47), icmp (1), igmp (2), ipip (4), ipv6 (41)ospf (89)pim (103), rsvp (46), , tcp (6), oudp (17)

source-port port

TCP o el campo de puerto de origen UDP (Protocolo de datagramas de usuario). Normalmente, esta instrucción Match se especifica junto con la ip-protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto. En lugar del campo numérico, puede especificar una de las opciones de texto que se enumeran en destination-port.

destination-port port

Campo de puerto de destino TCP o UDP. Normalmente, esta instrucción Match se especifica junto con la ip-protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103),zephyr-hm (2104)

Si define uno o varios términos que especifican los criterios de filtro, también debe definir la acción que se llevará a cabo si el paquete coincide con todos los criterios. Tabla 3 muestra las acciones que puede especificar en un término.

Tabla 3: Acciones para los VSA

,

Descripción

(allow | deny)

Aceptar un paquete o descartar un paquete de forma silenciosa sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

forwarding-class class-of-service

Adicional Clasifique el paquete en una de las siguientes clases de reenvío:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority(low | medium | high)

Adicional Establezca la prioridad de pérdida de paquetes (PLP low) mediumen, higho. Especifique la clase de reenvío y la prioridad de pérdida.

Descripción de la contabilidad de RADIUS

Los dispositivos de red admiten GTI-I RFC 2866, RADIUS contabilidad. Puede configurar la RADIUS en un dispositivo para recopilar datos estadísticos acerca de los usuarios que inician sesión en una LAN o fuera de esta, y enviar los datos a un RADIUS de auditoría. Los datos estadísticos se pueden utilizar para el monitoreo general de la red, el análisis y el seguimiento de patrones de uso, o la facturación de un usuario en función de la duración de la sesión o el tipo de servicios a los que accede.

Para configurar RADIUS, especifique:

  • Uno o más RADIUS servidores de cuentas para recibir los datos estadísticos del dispositivo

  • El tipo de datos de contabilidad que se recopilan

Puede usar el mismo servidor para la RADIUS y la autenticación, o puede usar servidores independientes. Puede especificar una lista de RADIUS servidores de contabilidad. El dispositivo consulta a los servidores en el orden en que se configuran. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta contactar a cada servidor de la lista hasta que recibe una respuesta.

El RADIUS proceso de contabilidad entre el dispositivo y un servidor RADIUS funciona de la siguiente manera:

  1. Un servidor de RADIUS cuentas escucha los paquetes del Protocolo de datagramas de usuario (UDP) en un puerto específico. El puerto predeterminado para RADIUS es 1813.

  2. El dispositivo reenvía un paquete de solicitud de cuentas que contiene un registro de eventos al servidor de cuentas. El registro de sucesos asociado con este suplicante contiene un atributo de tipo acct cuyo valor indica el comienzo del servicio de usuario de este suplicante. Cuando finaliza la sesión del supplicante, la solicitud de cuentas contiene un valor de atributo Acct-Status-Type que indica el fin del servicio de usuario. El servidor de cuentas de RADIUS registra esto como un registro de cuenta de detención que contiene información de sesión y la duración de la sesión.

  3. El servidor de RADIUS cuentas registra estos sucesos en un archivo como registros de inicio o detención de cuentas. En FreeRADIUS, el filename es la dirección del servidor, como 192.0.2.0.

  4. El servidor de cuentas envía un paquete de respuesta de cuentas al dispositivo para confirmar que ha recibido la solicitud de contabilización.

  5. Si el dispositivo no recibe un paquete de respuesta de cuentas del servidor, sigue envía solicitudes de contabilidad hasta que el servidor devuelve una respuesta.

Puede ver las estadísticas recopiladas a través de este proceso en el RADIUS servidor. Para ver esas estadísticas, acceda al archivo de registro configurado para recibirlas.

Configurar la RADIUS del sistema

Cuando habilita la RADIUS, los dispositivos Juniper Networks, que actúan como clientes RADIUS, pueden notificar al RADIUS servidor acerca de las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos. El marco de trabajo RADIUS estructura se describe en RFC 2866, RADIUS Accounting.

Configurar la auditoría de eventos de usuario en un RADIUS servidor

Para configurar RADIUS de datos:

  1. Configure los eventos para que se audite.

    Por ejemplo:

    events puede incluir uno o más de los siguientes elementos:

    • login: inicios de sesión de auditoría

    • change-log: cambios de configuración de auditoría

    • interactive-commands: auditoría de comandos interactivos (cualquier entrada de línea de comandos)

  2. Habilite RADIUS de servicios.
  3. Configure la dirección para uno o más servidores RADIUS de cuentas.

    Por ejemplo:

    Nota:

    Si no configura ningún servidor RADIUS en el nivel de jerarquía, el dispositivo utiliza los servidores RADIUS configurados [edit system accounting destination radius] en el [edit system radius-server] nivel jerárquido.

  4. (Opcional) Configure la dirección de origen para RADIUS de cuentas.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o dirección IPv6 válida configurada en una de las interfaces de enrutador o conmutador. Si el dispositivo de red tiene varias interfaces que pueden comunicarse con el servidor de RADIUS, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el RADIUS servidor. Al hacer esto, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  5. Configure la contraseña de secreto compartida que el dispositivo de red utiliza para autenticar con el RADIUS de cuentas.

    La contraseña configurada debe coincidir con la contraseña configurada en el RADIUS servidor. Si la contraseña contiene espacios, inclúyalo entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  6. (Opcional) Si es necesario, especifique a RADIUS puerto del servidor de cuentas para enviar paquetes de contabilidad, si es distinto del predeterminado (1813).
    Nota:

    Si habilita RADIUS contabilidad en el [edit access profile profile-name accounting-order] nivel de jerarquía, se activará la contabilidad en el puerto predeterminado de 1813 incluso si no especifica un valor para la accounting-port instrucción.

  7. (Opcional) Configure el número de veces que el dispositivo intenta contactar RADIUS un servidor de cuentas de RADIUS y la cantidad de tiempo que espera la recepción de una respuesta de un servidor.

    De forma predeterminada, el dispositivo intenta contactar tres veces al servidor y espera tres segundos. Puede configurar el retry valor de 1 a 100 veces y el valor de timeout 1 a 1000 segundos.

    Por ejemplo, para ponerse en contacto con un servidor dos veces y esperar 10 segundos para obtener una respuesta:

  8. (Opcional) Para enrutar RADIUS paquetes de cuentas a través de la instancia de administración no predeterminada en lugar de la instancia de enrutamiento predeterminada, configure la routing-instance mgmt_junos instrucción.
  9. (Opcional) Configure la instrucción en el nivel de jerarquía para que incluya atributos de cuentas adicionales, como el método de acceso, el puerto remoto y los privilegios de acceso, para los eventos de inicio de sesión enhanced-accounting[edit system radius-options] del usuario.
    Nota:

    Para limitar el número de valores de atributo a auditar, configure la enhanced-avs-max <number> instrucción en el nivel [edit system accounting] jerárquido.

En el siguiente ejemplo, se configuran tres servidores (10.5.5.5, 10.6.6.6 y 10.7.7.7) para la RADIUS completo:

Tabla de historial de versiones
Liberación
Descripción
18.1R1
A partir de Junos OS Release 18.1 R1, el comportamiento existente de RADIUS se ha mejorado para admitir una interfaz de administración en una instancia VRF no predeterminada.