Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de RADIUS

El Junos OS admite RADIUS para la autenticación centralizada de los usuarios en varios enrutadores o conmutadores o dispositivos de seguridad. Para usar la autenticación de RADIUS en el dispositivo, debe configurar la información acerca de uno o más servidores RADIUS en la red. También puede configurar la contabilidad RADIUS en el dispositivo para recopilar datos estadísticos acerca de los usuarios que inicien o salgan de una LAN y envíen los datos a un servidor de RADIUS Accounting. Para obtener más información, lea este tema.

Configuración de autenticación de servidor RADIUS

La autenticación de RADIUS es un método para autenticar a los usuarios que intentan acceder al enrutador o conmutador.

Por qué utilizar RADIUS

El Junos OS admite dos protocolos para la autenticación centralizada de los usuarios en varios enrutadores: RADIUS y TACACS +. Recomendamos RADIUS ya que se trata de un estándar IETF de varios proveedores y sus funciones son más aceptadas que las de TACACS + u otros sistemas patentados. Además, recomendamos usar un sistema de contraseña única para una mayor seguridad, y todos los proveedores de estos sistemas admiten RADIUS.

Debe usar RADIUS cuando sus prioridades son la interoperabilidad y el rendimiento:

  • Interoperabilidad: RADIUS es más interoperable que LOS TACACS+, principalmente debido a la naturaleza exclusiva de TACACS+. Aunque TACACS + es compatible con más protocolos, RADIUS se admite de forma universal.

  • Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores y, por esta razón, los ingenieros de red generalmente prefieren RADIUS más que TACACS+.

Configuración de detalles del servidor RADIUS

Para utilizar la autenticación de RADIUS en el dispositivo, configure la información acerca de uno o varios servidores RADIUS en radius-server la red incluyendo [edit system] una de las instrucciones en el nivel de jerarquía para cada RADIUS servidor.

Dado que la autenticación remota se configura en varios dispositivos, se suele configurar dentro de un grupo de configuración. Como tal, los pasos que se muestran aquí se encuentran en un globalgrupo de configuración llamado. El uso de un grupo de configuración es opcional.

Nota:

La remote instrucción siempre debe estar en minúsculas.

Nota:

Esta característica se admite en dispositivos SRX1500, SRX5400, SRX5600 y SRX5800.

Para configurar la autenticación en un servidor RADIUS:

  1. Agregue una dirección de servidor IPv4 o IPv6.

    • Configure una dirección de servidor y de origen IPv4:

      Por ejemplo:

    • Configuración de una dirección de servidor y dirección de origen IPv6:

      Por ejemplo:

      Dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador o conmutador. Esto establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

      La dirección del servidor es una dirección IPv4 o IPv6 exclusiva que se asigna a un servidor en particular y que se utiliza para enrutar información al servidor. Si el dispositivo Junos OS tiene varias interfaces que pueden tener acceso al servidor RADIUS, asigne una dirección IP que Junos OS pueda usar para toda su comunicación con el servidor RADIUS.

  2. Incluya una contraseña secreta compartida.

    Debe especificar una contraseña en la secret password instrucción. Si la contraseña contiene espacios, inclúyalo entre comillas. La contraseña secreta que utiliza el enrutador o conmutador local debe coincidir con la utilizada por el servidor. La contraseña secreta configura la contraseña que el dispositivo de Junos OS utiliza para tener acceso al servidor RADIUS.

    Por ejemplo:

  3. Si es necesario, especifique el puerto en el que se debe poner en contacto con el servidor de RADIUS.

    De forma predeterminada, se utiliza el número de Puerto 1812 (como se especifica en RFC 2865).

    Nota:

    También puede especificar un puerto de cuentas para enviar paquetes de cuentas con la accounting-port instrucción. El valor predeterminado es 1813 (según lo especificado en el documento RFC 2866).

    Por ejemplo:

  4. Especifique el orden en el que Junos OS intenta autenticarse.

    Debe incluir la authentication-order instrucción en la configuración de autenticación remota.

    En el ejemplo se supone que su red incluye servidores RADIUS y TACACS +. En este ejemplo, cada vez que un usuario intenta iniciar sesión, Junos OS comienza por consultar al servidor RADIUS para su autenticación. Si se produce un error, la siguiente intenta autenticarse con cuentas de usuario configuradas localmente. Por último, se intenta el servidor TACACS +.

    Por ejemplo:

  5. Asigne una clase de inicio de sesión a usuarios autenticados por el RADIUS.

    Puede asignar distintas plantillas de usuario y clases de inicio de sesión a usuarios autenticados por el RADIUS. Esto permite que se concedan a los usuarios autenticados RADIUS permisos administrativos diferentes en el dispositivo Junos OS. De forma predeterminada, los usuarios autenticados de RADIUS remote usan la plantilla de usuario y se les asigna la clase asociada, que se remote especifica en la plantilla de remote usuario, si se configura la plantilla de usuario. El nombre remote de usuario es un caso especial en Junos os. Actúa como plantilla para usuarios autenticados por un servidor remoto, pero no tienen una cuenta de usuario configurada localmente en el dispositivo. En este método, Junos OS aplica los permisos de la plantilla remota a aquellos usuarios autenticados que no tengan una cuenta definida localmente. Todos los usuarios asignados a la plantilla remota son de la misma clase de inicio de sesión.

    En la configuración del Junos OS, una plantilla de usuario se configura de la misma manera que una cuenta de usuario local normal, con la excepción de que no se configura ninguna contraseña de autenticación local, ya que la autenticación se realiza de forma remota en el servidor RADIUS.

    • Para utilizar los mismos permisos para todos los usuarios autenticados por el RADIUS:

      Por ejemplo:

    • Para poder utilizar diferentes clases de inicio de sesión para los distintos usuarios autenticados RADIUS, concédales permisos diferentes:

      1. Cree varias plantillas de usuario en la configuración del Junos OS.

        A cada plantilla de usuario se le puede asignar una clase de inicio de sesión diferente.

        Por ejemplo:

      2. Hacer que el servidor RADIUS especifique el nombre de la plantilla de usuario que se va a aplicar al usuario autenticado.

        En el caso de un servidor RADIUS para indicar qué plantilla de usuario debe aplicarse, debe incluir el atributo Juniper-local-User-Name (proveedor 2636, tipo 1, cadena) Juniper VSA (atributo específico del proveedor) en el mensaje RADIUS aceptación de acceso. El valor de tipo String del nombre Juniper-local-User-Name debe corresponder con el nombre de una plantilla de usuario configurada en el dispositivo. Para obtener una lista de Juniper RADIUS relevantes, consulte Juniper Networks atributos LDAP y específicos RADIUS proveedor.

        Si el nombre del Juniper-local-usuario no se incluye en el mensaje de aceptación de acceso o si la cadena contiene un nombre de plantilla de usuario que no existe en el dispositivo, al usuario se remote le asigna la plantilla de usuario, si está configurada. Si no está configurado, la autenticación no será satisfactoria para el usuario.

        Después de iniciar sesión, el usuario autenticado de forma remota conserva el mismo nombre de usuario que se utilizó para iniciar sesión. Sin embargo, el usuario hereda la clase de usuario de la plantilla de usuario asignada.

        En un servidor RADIUS, a los usuarios se les puede asignar una cadena Juniper-local-user-name, que indica la plantilla de usuario que se utilizará en el dispositivo Junos OS. En el ejemplo anterior, la cadena estaría en RO, OP o SU. La configuración del servidor de RADIUS depende del servidor que se utilice.

Configuración de RADIUS para utilizar la instancia de administración

De forma predeterminada, Junos OS enruta los paquetes de autenticación, autorización y administración de cuentas para RADIUS a través de la instancia de enrutamiento predeterminada. A partir de Junos OS Release 18.1 R1, el comportamiento existente de RADIUS se ha mejorado para admitir una interfaz de administración en una instancia VRF no predeterminada.

Cuando la routing-instance mgmt_junos opción está configurada tanto radius-server server-ip-address en el radius server server-ip-address como en las instrucciones management-instance , siempre que la instrucción también esté configurada, RADIUS paquetes se enrutarán a través de la instancia de administración mgmt_junos.

Nota:

La routing-instance mgmt_junos opción debe estar configurada tanto radius-server en el radius server como en las instrucciones. Si no es así, incluso management-instance si la instrucción está configurada, RADIUS paquetes seguirán enviándose únicamente utilizando la instancia de encaminamiento predeterminada.

Para obtener más detalles acerca de esta instancia de administración, consulte Management-Instance.

Ejemplo Configuración de un servidor RADIUS para la autenticación del sistema

En este ejemplo se muestra cómo configurar un servidor RADIUS para la autenticación del sistema.

Aplicables

Antes de empezar:

Descripción general

En este ejemplo, agregará un nuevo servidor RADIUS con una dirección IP de 172.16.98.1 y especificará la contraseña secreta compartida del servidor RADIUS como Radiussecret1. El secreto se almacena como un valor cifrado en la base de datos de configuración. Por último, especifique la dirección de origen que se va a incluir en el RADIUS solicitudes del servidor por el dispositivo. En la mayoría de los casos, puede utilizar la dirección de bucle invertido del dispositivo, que en este ejemplo es 10.0.0.1.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar un servidor RADIUS para autenticación del sistema:

  1. En la interfaz de usuario de J-Web Configure>System Properties>User Management, seleccione.

  2. Haga Editclic en. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Authentication Method and Order ficha.

  4. En la sección RADIUS, haga Addclic en. Aparecerá el cuadro de diálogo Agregar servidor RADIUS.

  5. En el cuadro Dirección IP, escriba la dirección IP de 32 bits del servidor.

  6. En los cuadros contraseña y Confirmar contraseña, escriba la contraseña secreta del servidor y Compruebe la entrada.

  7. En el cuadro puerto de servidor, escriba el puerto apropiado.

  8. En el cuadro Dirección de origen, escriba la dirección IP de origen del servidor.

  9. En el cuadro Intentos de reintento, especifique el número de veces que el servidor debe intentar comprobar los credenciales del usuario.

  10. En el cuadro tiempo de espera, especifique la cantidad de tiempo (en segundos) que debe esperar el dispositivo para que se responda el servidor.

  11. Haga OK clic aquí para comprobar su configuración y guardarla como configuración candidata.

  12. Si ha terminado de configurar el dispositivo, haga Commit Options>Commitclic en.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar un servidor RADIUS para autenticación del sistema:

  1. Agregar un nuevo servidor RADIUS y establecer su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor RADIUS.

  3. Especifique la dirección de origen de la dirección de circuito cerrado del dispositivo.

Resultados

Desde el modo de configuración, escriba el show system radius-server comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Nota:

Para configurar completamente RADIUS autenticación, debe crear cuentas de plantilla de usuario y especificar un orden de autenticación del sistema. Realice una de las tareas siguientes:

Comproba

Confirme que la configuración funciona correctamente.

Verificación de la configuración de autenticación del sistema de RADIUS Server

Purpose

Compruebe que el servidor RADIUS se haya configurado para la autenticación del sistema.

Intervención

En modo operativo, escriba el show system radius-server comando.

Ejemplo Configuración de la autenticación de RADIUS

El Junos OS admite dos protocolos para la autenticación centralizada de los usuarios en varios enrutadores: RADIUS y TACACS +. Recomendamos RADIUS ya que se trata de un estándar IETF de varios proveedores y sus funciones son más aceptadas que las de TACACS + u otros sistemas patentados. Además, recomendamos usar un sistema de contraseña única para una mayor seguridad, y todos los proveedores de estos sistemas admiten RADIUS.

El Junos OS usa una o más cuentas de plantilla para llevar a cabo la autenticación de usuario. Cree la cuenta o cuentas de plantilla y, a continuación, configure el acceso de usuario para que use esa cuenta. Si el servidor RADIUS no está disponible, la reserva sirve para que el proceso de inicio de sesión utilice la cuenta local que se configuró en el enrutador o conmutador.

En el ejemplo siguiente se muestra cómo configurar la autenticación de RADIUS:

En el ejemplo siguiente se muestra cómo habilitar la autenticación de RADIUS y definir el secreto compartido entre el cliente y el servidor. El secreto permite que el cliente y el servidor determinen que se están comunicando con el elemento del mismo nivel de confianza.

Defina un valor de tiempo de espera para cada servidor, de forma que, si no hay respuesta durante el número de segundos especificado, el enrutador pueda intentar utilizar el siguiente servidor o el siguiente mecanismo de autenticación.

El siguiente ejemplo muestra cómo configurar las cuentas de RADIUS plantilla para distintos usuarios o grupos de usuarios:

Configuración de la autenticación de RADIUS (serie serie QFX o OCX)

La autenticación de RADIUS es un método para autenticar a los usuarios que intentan acceder al enrutador o conmutador. Las tareas para configurar la autenticación de RADIUS son:

Nota:

La source-address instrucción no se admite en las [edit system radius-options[edit system-radius-server name] jerarquías del sistema QFabric

Configuración de detalles del servidor RADIUS

Para utilizar la autenticación de RADIUS en el enrutador o conmutador, configure la información acerca de uno o varios servidores radius-server RADIUS de la [edit system] red mediante la inclusión de una instrucción en el nivel de jerarquía para cada RADIUS servidor:

la dirección del servidor es la dirección del RADIUS servidor.

Puede especificar un puerto en el que ponerse en contacto con el servidor de RADIUS. De forma predeterminada, se utiliza el número de Puerto 1812 (como se especifica en RFC 2865). También puede especificar un puerto de cuentas para enviar paquetes de cuentas. El valor predeterminado es 1813 (según lo especificado en el documento RFC 2866).

Debe especificar una contraseña en la secret password instrucción. Si la contraseña contiene espacios, inclúyalo entre comillas. El secreto utilizado por el conmutador o enrutador local debe coincidir con el utilizado por el servidor.

Opcionalmente, puede especificar la cantidad de tiempo que el enrutador local o el conmutador esperan recibir una respuesta de un servidor RADIUS (en la timeout instrucción) y el número de veces que el enrutador o conmutador intenta ponerse en contacto con un servidor de retry autenticación RADIUS (en la instrucción). De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurarlo para que sea un valor de 1 a 90 segundos. De forma predeterminada, el enrutador o conmutador vuelve a intentar conectarse al servidor tres veces. Puede configurarlo para que tenga un valor comprendido entre 1 y 10 veces.

Puede usar la source-address instrucción para especificar una dirección lógica para uno o varios RADIUS servidores.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones.

Para configurar un conjunto de usuarios que comparten una sola cuenta para fines de autorización, debe crear un usuario de plantilla. Para ello, incluya la user instrucción en el nivel de [edit system login] jerarquía, tal como se describe en el ejemplo: Configure el orden de autenticación.

También puede configurar la autenticación de RADIUS en [edit access] el [edit access profile] nivel de jerarquía y. Junos OS usa el orden de búsqueda siguiente para determinar qué conjunto de servidores se utiliza para la autenticación:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configurar MS-CHAPv2 para permitir el cambio de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de que:

  • Configure los parámetros de autenticación del servidor RADIUS

  • Establezca el authentication-order para usar el RADIUS de acceso para el intento inicial de contraseña

Puede configurar la implementación de Microsoft del Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAPv2) en el enrutador o conmutador para que admita el cambio de contraseñas. Esta característica proporciona a los usuarios que tienen acceso a un enrutador o a un conmutador de la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para cambiar en el siguiente inicio de sesión.

Para configurar MS-CHAP-V2, incluya las siguientes instrucciones en el [edit system radius-options] nivel de jerarquía:

El siguiente ejemplo muestra instrucciones para configurar el protocolo de contraseñas MS-CHAPv2, el orden de autenticación de contraseñas y las cuentas de usuario:

Especificar una dirección de origen para el Junos OS de acceso a servidores externos RADIUS

Puede especificar qué dirección de origen utiliza Junos OS para obtener acceso a la red con el fin de ponerse en contacto con un servidor RADIUS externo para su autenticación. También puede especificar qué dirección de origen utiliza Junos OS para enviar información de cuentas a un servidor RADIUS.

Para especificar una dirección de origen para un servidor RADIUS, incluya source-address la instrucción en [edit system radius-server server-address] el nivel de jerarquía:

dirección de origen es una dirección IP válida configurada en una de las interfaces del enrutador o conmutador.

Juniper Networks específicos del proveedor RADIUS atributos LDAP

Junos OS admite la configuración de Juniper Networks RADIUS atributos específicos de proveedor (VSA) de LDAP. Estos VSA se encapsulan en un atributo de RADIUS y específico del proveedor LDAP con el ID del proveedor establecido en el número de ID Juniper Networks de proveedor, 2636. Tabla 1 enumera las Juniper Networks vsa que puede configurar.

Tabla 1: Juniper Networks específicos del proveedor RADIUS atributos LDAP

Nombre

Descripción

Escríba

Alarga

Alfanumérico

Nombre de Juniper-local-User-Name

Indica el nombre de la plantilla de usuario utilizada por este usuario al iniciar sesión en un dispositivo. Este atributo solo se usa en paquetes de aceptación de acceso.

1

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Juniper-allow-comandos

Contiene una expresión regular extendida que permite al usuario ejecutar comandos de modo operativo, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

2

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

Juniper-deny-comandos

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos de modo de operación autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

3

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

Juniper-allow-Configuration

Contiene una expresión regular extendida que permite al usuario ejecutar comandos de modo de configuración, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

4

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

Juniper-deny-Configuration

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos de configuración autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

5

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

Juniper-Interactive-Command

Indica el comando interactivo escrito por el usuario. Este atributo solo se utiliza en paquetes de solicitud de administración de cuentas.

8

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Juniper-configuración-cambio

Indica el comando interactivo que da como resultado un cambio en la configuración (base de datos). Este atributo solo se utiliza en paquetes de solicitud de administración de cuentas.

9

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Juniper-User-Permissions

Contiene información que el servidor utiliza para especificar permisos de usuario. Este atributo solo se usa en paquetes de aceptación de acceso.

Nota:

Cuando el atributo está configurado para otorgar Junos OS o permisos a un servidor RADIUS y LDAP, la membresía del grupo de ruedas UNIX no se agrega automáticamente a la lista de membresías de grupo de un Juniper-User-Permissionsmaintenanceall usuario. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia a grupo de rueda. Sin embargo, cuando un usuario está configurado localmente con los maintenance permisos allo, el usuario recibe automáticamente la pertenencia al grupo de ruedas de Unix. Por lo tanto, se recomienda crear una cuenta de usuario de plantilla con los permisos necesarios y asociar cuentas de usuario individuales a la cuenta de usuario de plantilla.

10

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

La cadena es una lista de indicadores de permiso separados por un espacio. El nombre exacto de cada indicador debe especificarse en su totalidad. Consulte marcadores de permisos de clase de inicio de sesión.

Tipo de autenticación Juniper

Indica el método de autenticación (base de datos local, LDAP o RADIUSserver) usado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra "local". Si el usuario se autentica mediante RADIUS o servidor LDAP, el valor de atributo muestra "remoto".

11

≥5

Uno o más octetos que contengan caracteres ASCII imprimibles.

Puerto de sesión Juniper

Indica el número de puerto de origen de la sesión establecida.

12

tamaño del entero

Valor entero

Para obtener más información acerca de los VSA, consulte RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS).

Juniper: filtrar condiciones y acciones de coincidencia de VSA

Los dispositivos admiten la configuración de atributos de servidor RADIUS específicos de Juniper Networks. Estos atributos se conocen como atributos específicos del proveedor (VSA) y se describen en RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS).

A través de VSA, puede configurar los atributos de filtrado de puerto en el servidor RADIUS. Los VSA son campos de texto no cifrado que se envían desde el servidor de RADIUS al dispositivo como resultado de la autenticación correcta o errónea. La autenticación impide el acceso de usuarios no autorizados bloqueando un suplicante en el puerto hasta que el dispositivo sea autenticado por el servidor RADIUS. El dispositivo interpreta los atributos de VSA durante la autenticación, y el dispositivo realiza las acciones apropiadas. La implementación de atributos de filtrado de puerto con autenticación en el servidor RADIUS proporciona una ubicación central para controlar el acceso a las redes LAN para suplicantes.

Estos atributos de filtrado de Puerto específicos de Juniper Networks se encapsulan en un VSA de RADIUS Server con el ID de proveedor establecido en el número de identificación de Juniper Networks, 2636.

Además de configurar los atributos de filtrado de puerto a través de los VSA, puede aplicar un filtro de Firewall de puertos que ya esté configurado en el dispositivo directamente al servidor RADIUS. Al igual que los atributos de filtrado de puertos, el filtro se aplica durante el proceso de autenticación y sus acciones se aplican en el puerto del dispositivo. Agregar un filtro de Firewall de puertos a un servidor RADIUS elimina la necesidad de agregar el filtro a varios puertos y dispositivos.

El VSA del filtro de conmutación de Juniper funciona junto con autenticación de 802.1 X para controlar de forma centralizada el acceso de los suplicantes a la red. Puede utilizar este VSA para configurar filtros en el servidor RADIUS, que se envían al conmutador y se aplican a usuarios que se han autenticado mediante autenticación 802.1 X.

El VSA del filtro de conmutación de Juniper puede contener uno o varios términos de filtro. Los términos de filtro se configuran con una o más condiciones de coincidencia con una acciónresultante. Las condiciones de coincidencia son los criterios que debe cumplir un paquete para que una acción configurada se aplique a él. La acción es la acción que toma el modificador si un paquete cumple los criterios de las condiciones de coincidencia. La acción que puede llevar a cabo el conmutador consiste en aceptar o denegar un paquete.

Las siguientes directrices se aplican cuando especifica condiciones y acciones de coincidencia para los VSA:

  • Ambas match action afirmaciones son obligatorias.

  • Si no se especifica ninguna condición de coincidencia, cualquier paquete se considera una coincidencia de forma predeterminada.

  • Si se especifica no Action, la acción predeterminada es denegar el paquete.

  • Se pueden incluir cualquiera o todas las opciones en match cada action instrucción and.

  • La operación AND se realiza en campos de tipo diferente, que se separan con comas. No se pueden repetir campos del mismo tipo.

  • Para que forwarding-class se aplique la opción, la clase de reenvío debe configurarse en el conmutador. Si la clase de reenvío no está configurada en el modificador, esta opción no se tiene en cuenta.

Tabla 2describe las condiciones de coincidencia que puede especificar al configurar un atributo de VSA como filtro de Firewall mediante el match comando del servidor de RADIUS. La cadena que define una condición de coincidencia se denomina instrucción de coincidencia.

Tabla 2: Condiciones de coincidencia

,

Descripción

destination-mac mac-address

Dirección de dirección MAC de destino (MAC) del paquete.

source-dot1q-tag tag

Valor de etiqueta en el encabezado 802.1 Q, en el 0 rango 4095de.

destination-ip ip-address

Dirección del nodo de destino final.

ip-protocol protocol-id

Valor del protocolo IPv4. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto:

ah, egp (8), esp (50, gre (47), icmp (1), igmp (2), ipip (4), ipv6 (41)ospf (89)pim (103), rsvp (46), , tcp (6), oudp (17)

source-port port

TCP o el campo de puerto de origen UDP (Protocolo de datagramas de usuario). Normalmente, esta instrucción Match se especifica junto con la ip-protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto. En lugar del campo numérico, puede especificar una de las opciones de texto que se enumeran en destination-port.

destination-port port

Campo de puerto de destino TCP o UDP. Normalmente, esta instrucción Match se especifica junto con la ip-protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103),zephyr-hm (2104)

Si define uno o varios términos que especifican los criterios de filtro, también debe definir la acción que se llevará a cabo si el paquete coincide con todos los criterios. Tabla 3 muestra las acciones que puede especificar en un término.

Tabla 3: Acciones para los VSA

,

Descripción

(allow | deny)

Aceptar un paquete o descartar un paquete de forma silenciosa sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

forwarding-class class-of-service

Adicional Clasifique el paquete en una de las siguientes clases de reenvío:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority(low | medium | high)

Adicional Establezca la prioridad de pérdida de paquetes (PLP low) mediumen, higho. Especifique la clase de reenvío y la prioridad de pérdida.

Descripción de la contabilidad de RADIUS

Los dispositivos admiten GTI-I RFC 2866, RADIUS contabilidad. La configuración del RADIUS contabilidad en el dispositivo admite la recopilación de datos estadísticos sobre los usuarios que inician o salen de una LAN y envían los datos a un servidor de RADIUS Accounting. Los datos estadísticos recopilados se pueden utilizar para el seguimiento general de la red, el análisis y el seguimiento de los patrones de uso, o para facturar a un usuario según la cantidad de tiempo o tipo de servicios a los que se tiene acceso.

Para configurar las cuentas de RADIUS, especifique uno o varios servidores de cuentas de RADIUS para recibir los datos estadísticos del dispositivo y seleccione el tipo de datos de cuenta que se recopilarán.

El servidor de RADIUS Accounting que especifique puede ser el mismo servidor utilizado para la autenticación de RADIUS o puede ser un servidor de RADIUS independiente. Puede especificar una lista de RADIUS servidores de contabilidad. Si el servidor principal (el primero configurado) no está disponible, se prueba cada uno RADIUS servidor de la lista en el orden en que se configuraron en el Junos OS.

El RADIUS proceso de contabilidad entre el dispositivo y un servidor RADIUS funciona de la siguiente manera:

  1. Un servidor de RADIUS cuentas escucha los paquetes del Protocolo de datagramas de usuario (UDP) en un puerto específico. Por ejemplo, en FreeRADIUS, el puerto predeterminado es 1813.

  2. El dispositivo reenvía un paquete de solicitud de administración de cuentas que contiene un registro de sucesos al servidor de contabilidad. El registro de sucesos asociado con este suplicante contiene un atributo de tipo acct cuyo valor indica el comienzo del servicio de usuario de este suplicante. Cuando finaliza la sesión del supplicante, la solicitud de cuentas contiene un valor de atributo Acct-Status-Type que indica el fin del servicio de usuario. El servidor de cuentas de RADIUS registra esto como un registro de cuenta de detención que contiene información de sesión y la duración de la sesión.

  3. El servidor de RADIUS cuentas registra estos sucesos en un archivo como registros de inicio o detención de cuentas. En FreeRADIUS, filename es la dirección del servidor; por ejemplo, 192.0.2.0.

  4. El servidor de contabilidad envía de nuevo un paquete de respuesta de cuenta al dispositivo para confirmar que ha recibido la solicitud de cuenta.

  5. Si el dispositivo no recibe una respuesta del servidor, seguirá enviando solicitudes de cuentas hasta que se devuelva una respuesta contable del servidor de contabilidad.

Las estadísticas recopiladas a través de este proceso se pueden mostrar desde el servidor RADIUS; para ver estas estadísticas, el usuario accede al archivo de registro configurado para recibirlos.

Configuración de la contabilidad del sistema de RADIUS

Con la RADIUS habilitada, los dispositivos Juniper Networks, que actúan como clientes RADIUS, pueden notificar al servidor RADIUS las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos. El marco de RADIUS la contabilidad se describe en el documento RFC 2866.

Las tareas para configurar RADIUS el sistema de contabilidad son:

Configuración de la auditoría de sucesos de usuario en un servidor RADIUS

Para auditar sucesos de usuario, incluya las [edit system accounting] siguientes instrucciones en el nivel de jerarquía:

Especificación de sucesos de auditoría y de cuentas de servidor RADIUS

Para especificar los sucesos que desea auditar cuando utilice un servidor RADIUS para la autenticación events , incluya la [edit system accounting] instrucción en el nivel de jerarquía:

eventses uno o más de los siguientes:

  • login: inicios de sesión de auditoría

  • change-log: cambios de configuración de auditoría

  • interactive-commands: auditoría de comandos interactivos (cualquier entrada de línea de comandos)

Configuración de la contabilidad del servidor de RADIUS

Para configurar la administración de cuentas de servidor server RADIUS, incluya [edit system accounting destination radius] la instrucción en el nivel de jerarquía:

server-addressEspecifica la dirección del servidor de RADIUS. Para configurar varios servidores RADIUS, incluya varias server instrucciones.

Nota:

Si no hay ningún servidor RADIUS configurado en [edit system accounting destination radius] el nivel de la jerarquía de instrucciones, el Junos os utilizará los [edit system radius-server] servidores RADIUS configurados en el nivel de jerarquía.

accounting-port port-numberespecifica el número de puerto de cuentas del servidor RADIUS.

El número de puerto predeterminado es el 1813.

Nota:

Si habilita RADIUS contabilidad en el [edit access profile profile-name accounting-order] nivel de jerarquía, se activará la contabilidad en el puerto predeterminado de 1813 incluso si no especifica un valor para la accounting-port instrucción.

routing-instance routing-instancees el nombre de la instancia de administración no predeterminada. Utilice mgmt_junos el nombre de instancia de enrutamiento. Consulte interfaz de administración en una instancia no predeterminada.

Debe especificar un secreto (contraseña) que pase el enrutador o conmutador local al cliente RADIUS mediante la inclusión secret de la instrucción. Si la contraseña contiene espacios, escriba la contraseña completa entre comillas (" ").

En la source-address instrucción, especifique una dirección de origen para el servidor RADIUS. Cada solicitud de RADIUS enviada a un servidor RADIUS utiliza la dirección de origen especificada. La dirección de origen es una dirección IPv4 válida (en caso de que la dirección del servidor RADIUS sea IPv4) o de una dirección IPv6 (en el caso de que la dirección del servidor RADIUS sea IPv6) configurada en una de las interfaces del enrutador o conmutador.

Opcionalmente, puede especificar el número de veces que el enrutador o conmutador intenta establecer contacto con un servidor de autenticación RADIUS retry mediante la inclusión de la instrucción. De forma predeterminada, el enrutador o conmutador se vuelve a intentar tres veces. Puede configurar el enrutador o conmutador para que resone de 1 a 10 veces.

Opcionalmente, puede especificar el tiempo que esperará el enrutador o conmutador local para recibir una respuesta de un servidor RADIUS mediante la inclusión de timeout la instrucción. De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurar el tiempo de espera para que sea de 1 a 90 segundos.

A partir Junos OS versión 14,1 y Junos OS las puntuaciones de las versiones R1, enhanced-accounting puede configurar la instrucción para que vea los valores de atributo de un usuario que ha iniciado una sesión. Si utiliza la enhanced-accounting instrucción en el [edit system radius-options] nivel de la jerarquía, es posible auditar los atributos de RADIUS como método de acceso, Puerto remoto y privilegios de acceso. Puede limitar el número de valores de atributo que se mostrarán para auditorías utilizando la enhanced-avs-max <number> instrucción en el [edit system accounting] nivel de jerarquía.

Cuando se configura una Juniper Networks enrutador o conmutador con RADIUS contabilidad, Accounting-Start éste Accounting-Stop envía mensajes al servidor RADIUS. Estos mensajes contienen información acerca de las actividades de los usuarios, como inicios de sesión de software, cambios de configuración y comandos interactivos. Esta información se utiliza normalmente para supervisar una red, recopilar estadísticas de uso y garantizar que los usuarios se facturan correctamente.

El ejemplo siguiente muestra tres servidores (10.5.5.5, 10.6.6.6 y 10.7.7.7) configurados para RADIUS Accounting:

Tabla de historial de versiones
Liberación
Descripción
17.4R1
A partir de Junos OS Release 18.1 R1, el comportamiento existente de RADIUS se ha mejorado para admitir una interfaz de administración en una instancia VRF no predeterminada.
14.1
A partir Junos OS versión 14,1 y Junos OS las puntuaciones de las versiones R1, enhanced-accounting puede configurar la instrucción para que vea los valores de atributo de un usuario que ha iniciado una sesión.