Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación TACACS+

Junos OS admite TACACS+ para la autenticación centralizada de usuarios en dispositivos de red. Para utilizar la autenticación TACACS+ en el dispositivo, usted (el administrador de red) debe configurar la información sobre uno o más servidores TACACS+ en la red. También puede configurar la contabilidad de TACACS+ en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar los datos a un servidor de contabilidad de TACACS+.

Configurar la autenticación TACACS+

La autenticación TACACS+ es un método para autenticar a los usuarios que intentan acceder a un dispositivo de red.

Para configurar TACACS+, realice las siguientes tareas:

Configurar los detalles del servidor TACACS+

Para utilizar la autenticación TACACS+ en el dispositivo, configure la información acerca de uno o más servidores TACACS+ en la red incluyendo una tacplus-server instrucción en el nivel de [edit system] jerarquía para cada servidor TACACS+. El dispositivo consulta los servidores TACACS+ en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que recibe una respuesta.

El dispositivo de red puede asignar usuarios autenticados por TACACS+ a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que determina la autorización. De forma predeterminada, Junos OS asigna usuarios autenticados por TACACS+ a la cuenta remotede plantilla de usuario, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor TACACS+ no asigna al usuario a una plantilla de usuario local o la plantilla que asigna el servidor no está configurada en el dispositivo local.

El servidor TACACS+ puede asignar un usuario autenticado a una plantilla de usuario diferente para otorgarle diferentes permisos administrativos. El usuario conserva el mismo nombre de inicio de sesión en la CLI, pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el usuario autenticado por TACACS+ no se asigna a ninguna cuenta de usuario definida localmente o plantilla de usuario, y la plantilla no está configurada, se produce un error en la remote autenticación.

Nota:

El remote nombre de usuario es un caso especial y siempre debe estar en Junos OS minúsculas. Actúa como una plantilla para los usuarios autenticados por un servidor remoto pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. Junos OS Aplica los permisos de la remote plantilla a los usuarios autenticados sin una cuenta definida localmente. Todos los usuarios asignados a la remote plantilla están en la misma clase de inicio de sesión.

Dado que la autenticación remota se configura en varios dispositivos, normalmente se configura dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración denominado global. El uso de un grupo de configuración es opcional.

Para configurar la autenticación por un servidor TACACS+:

  1. Configure la dirección IPv4 o IPv6 del servidor de autenticación TACACS+.

    Por ejemplo:

  2. (Opcional) Configure la dirección de origen del paquete para las solicitudes enviadas al servidor TACACS+.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 válida o una dirección IPv6 configurada en una de las interfaces de enrutador o interfaces de conmutador. Si el dispositivo de red tiene varias interfaces que pueden llegar al servidor TACACS+, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el servidor TACACS+. Al hacer esto, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  3. Configure la contraseña secreta compartida que utiliza el dispositivo de red para autenticarse con el servidor TACACS+.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor TACACS+. Si la contraseña contiene espacios, escríbala entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  4. (Opcional) Especifique el puerto en el que desea ponerse en contacto con el servidor TACACS+, si es diferente del puerto predeterminado (49).

    Por ejemplo:

  5. (Opcional) Configure la cantidad de tiempo que el dispositivo espera para recibir una respuesta del servidor TACACS+.

    De forma predeterminada, el dispositivo espera 3 segundos. Puede configurar el timeout valor de 1 a 90 segundos.

    Por ejemplo, para esperar 15 segundos para recibir una respuesta del servidor:

  6. (Opcional) Configure el dispositivo para mantener una conexión TCP abierta al servidor para varias solicitudes en lugar de abrir una conexión independiente para cada intento de conexión.
    Nota:

    Las versiones anteriores del servidor TACACS+ no admiten la single-connection opción. Si especifica esta opción y el servidor no la admite, el dispositivo no podrá comunicarse con ese servidor TACACS+.

  7. (Opcional) Para enrutar paquetes TACACS+ a través de una instancia de enrutamiento específica, configure la routing-instance instrucción y especifique una instancia de enrutamiento válida.

    De forma predeterminada, Junos OS enruta paquetes de autenticación, autorización y contabilidad para TACACS+ a través de la instancia de enrutamiento predeterminada.

  8. Especifique el orden de autenticación e incluya la tacplus opción.

    En el ejemplo siguiente, cada vez que un usuario intenta iniciar sesión, Junos OS primero consulta la autenticación del servidor TACACS+. Si eso falla, consulta el servidor RADIUS. Si eso falla, intenta autenticarse con cuentas de usuario configuradas localmente.

  9. Asigne una clase de inicio de sesión a los usuarios autenticados por TACACS+ que no tengan una cuenta de usuario definida localmente.

    Puede configurar una cuenta de plantilla de usuario de la misma manera que una cuenta de usuario local, excepto que no configura una contraseña de autenticación local porque el servidor TACACS+ autentica al usuario.

    • Para usar los mismos permisos para todos los usuarios autenticados por TACACS+, configure la plantilla de remote usuario.

      Por ejemplo:

    • Para usar diferentes clases de inicio de sesión para diferentes usuarios autenticados por TACACS+, otorgándoles diferentes permisos:

      1. Cree varias plantillas de usuario en la Junos OS configuración. Por ejemplo:

      2. Configure el servidor TACACS+ para asignar el usuario autenticado a la plantilla de usuario adecuada.

        Por ejemplo, establezca el local-user-name atributo específico del proveedor de Juniper (VSA) en el nombre de una plantilla de usuario configurada en el dispositivo, que en el ejemplo anterior es RO, OP o SU. Se produce un error en la autenticación si el dispositivo no puede asignar un usuario a una cuenta de usuario local o a una plantilla de usuario y la plantilla de remote usuario no está configurada.

Configurar TACACS+ para utilizar la instancia de administración

De forma predeterminada, Junos OS enruta paquetes de autenticación, autorización y contabilidad para TACACS+ a través de la instancia de enrutamiento predeterminada. También puede enrutar paquetes TACACS+ a través de una interfaz de administración en una instancia de VRF no predeterminada.

Para enrutar paquetes TACACS+ a través de la mgmt_junos instancia de administración:

  1. Habilite la instancia de mgmt_junos administración.

  2. Configure la routing-instance mgmt_junos instrucción para el servidor de autenticación TACACS+ y el servidor de contabilidad TACACS+, si está configurado.

Configurar el mismo servicio de autenticación para varios servidores TACACS+

Puede configurar el mismo servicio de autenticación para varios servidores TACACS+ incluyendo instrucciones en los niveles jerárquico [edit system tacplus-server] y [edit system tacplus-options] .

Para asignar el mismo servicio de autenticación a varios servidores TACACS+:

  1. Configure los servidores TACACS+ como se describe en Configurar la autenticación TACACS+.
  2. Configure la service-name instrucción en el nivel jerárquico [edit system tacplus-options] .
    service-name es el nombre del servicio de autenticación, que de forma predeterminada es junos-exec.

    Por ejemplo:

En el ejemplo siguiente se muestra cómo configurar el mismo servicio de autenticación para varios servidores TACACS+:

Configurar atributos TACACS+ específicos del proveedor de Juniper Networks

Junos OS puede asignar usuarios autenticados por TACACS+ a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que determina la autorización. También puede configurar opcionalmente los privilegios de acceso de un usuario definiendo atributos TACACS+ específicos del proveedor de Juniper Networks en el servidor TACACS+. Los atributos se definen en el archivo de configuración del servidor TACACS+ por usuario. El dispositivo de red recupera estos atributos a través de una solicitud de autorización del servidor TACACS+ después de autenticar a un usuario.

Para especificar estos atributos, incluya una service instrucción de la siguiente forma en el archivo de configuración del servidor TACACS+:

Puede definir la service instrucción en una instrucción o en una groupuser instrucción.

Configurar la actualización periódica del perfil de autorización de TACACS+

Cuando se configura un dispositivo en ejecución Junos OS para utilizar un servidor TACACS+ para la autenticación, el dispositivo solicita a los usuarios información de inicio de sesión, que es verificada por el servidor TACACS+. Después de autenticar correctamente un usuario, el dispositivo de red envía una solicitud de autorización al servidor TACACS+ para obtener el perfil de autorización para el usuario. Los perfiles de autorización especifican los permisos de acceso para los usuarios o dispositivos autenticados.

El servidor TACACS+ envía el perfil de autorización como parte de un mensaje REPLY de autorización. El usuario remoto configurado en el servidor TACACS+ se asigna a un usuario local o a una plantilla de usuario configurada en el dispositivo que ejecuta Junos OS. Junos OS combina el perfil de autorización remota del usuario y el perfil de autorización configurado localmente, el último de los cuales se configura en el nivel de jerarquía [edit system login class].

De forma predeterminada, el intercambio de mensajes de solicitud de autorización y respuesta se produce solo una vez, después de una autenticación correcta. Puede configurar los dispositivos para que Junos OS periódicamente obtenga el perfil de autorización remota del servidor TACACS+ y actualice el perfil de autorización almacenado localmente. Esta actualización periódica garantiza que el dispositivo local refleje cualquier cambio en los parámetros de autorización sin necesidad de que el usuario reinicie el proceso de autenticación.

Para habilitar la actualización periódica del perfil de autorización, debe establecer el intervalo de tiempo en el que el dispositivo local comprueba el perfil de autorización configurado de forma remota en el servidor TACACS+. Si el perfil de autorización remota cambia, el dispositivo obtiene el perfil de autorización del servidor TACACS+ y el perfil de autorización configurado en la jerarquía de clases de inicio de sesión. El dispositivo actualiza el perfil de autorización almacenado localmente combinando los perfiles de autorización remotos y configurados localmente.

Puede configurar el intervalo de tiempo de actualización localmente en el dispositivo en ejecución Junos OS o directamente en el servidor TACACS+. El intervalo de tiempo puede variar de 15 a 1440 minutos.

  • Para configurar la actualización periódica del perfil de autorización en el dispositivo local, incluya la authorization-time-interval instrucción en el nivel de [edit system tacplus-options] jerarquía, como se indica a continuación:
  • Para configurar la actualización periódica en el servidor TACACS+, agregue el refresh-time-interval parámetro en el perfil de autorización mediante la siguiente sintaxis:

Use las siguientes directrices para determinar qué configuración de intervalo de tiempo tiene prioridad:

  • Si el intervalo de tiempo de actualización se configura solo en el servidor TACACS+ o solo en el dispositivo que se ejecuta Junos OS, el valor configurado surte efecto.
  • Si el intervalo de tiempo de actualización está configurado tanto en el servidor TACACS+ como en el dispositivo en ejecución Junos OS, el valor configurado en el servidor TACACS+ tiene prioridad.

  • Si no se configura ningún intervalo de tiempo de actualización en el servidor TACACS+ ni en el dispositivo en ejecución Junos OS, no se produce ninguna actualización periódica.

  • Si el intervalo de tiempo de actualización configurado en el servidor TACACS+ está fuera del intervalo o no es válido, el intervalo de tiempo de actualización configurado localmente surte efecto. Si no se configura ningún intervalo de tiempo de actualización localmente, no se produce ninguna actualización periódica.

Después de establecer el intervalo de tiempo de actualización periódica, si el usuario cambia el intervalo de actualización antes de que se envíe la solicitud de autorización desde el dispositivo local, el intervalo de actualización actualizado surtirá efecto después de la siguiente actualización periódica inmediata.

Ejemplo: Configurar un servidor TACACS+ para la autenticación del sistema

En este ejemplo se configura la autenticación del sistema mediante un servidor TACACS+.

Requisitos

Antes de empezar:

  • Realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.

  • Configure al menos un servidor TACACS+ en la red.

Descripción general

En este ejemplo, se agrega un nuevo servidor TACACS+ con una dirección IP de 172.16.98.1. Especifique la contraseña secreta compartida del servidor TACACS+ como Tacacssecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que utiliza el dispositivo en las solicitudes del servidor TACACS+. En la mayoría de los casos, puede utilizar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.

Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como la autenticación de contraseña local, TACACS+ y RADIUS, en el dispositivo de red, Al configurar varios métodos de autenticación, puede priorizar el orden en que el dispositivo prueba los distintos métodos. En este ejemplo, se configura el dispositivo para que use primero los servicios de autenticación de TACACS+ y, si se produce un error, para que intente autenticar la contraseña local.

Un usuario autenticado por TACACS+ debe asignarse a una cuenta de usuario local o a una cuenta de plantilla de usuario local en el dispositivo de red, lo que determina la autorización. De forma predeterminada, si un usuario autenticado por TACACS+ no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de remote usuario, si está configurada. En este ejemplo se configura la plantilla de remote usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Procedimiento paso a paso

Para configurar un servidor TACACS+ para la autenticación del sistema:

  1. Agregue un nuevo servidor TACACS+ y establezca su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor TACACS+.

  3. Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.

  4. Especifique el orden de autenticación del dispositivo e incluya la tacplus opción.

  5. Configure la plantilla de remote usuario y su clase de inicio de sesión.
Resultados

En el modo de configuración, confirme la configuración introduciendo el show system comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

El siguiente resultado incluye solo las partes de la jerarquía de configuración que son relevantes para este ejemplo:

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificar la configuración del servidor TACACS+

Propósito

Compruebe que el servidor TACACS+ autentica a los usuarios.

Acción

Inicie sesión en el dispositivo de red y compruebe que el inicio de sesión se ha realizado correctamente. Para comprobar que el dispositivo utiliza el servidor TACACS+ para la autenticación, puede intentar iniciar sesión con una cuenta que no defina una contraseña de autenticación local en la configuración.

Atributos TACACS+ específicos del proveedor de Juniper Networks

Junos OS admite la configuración de atributos específicos del proveedor (VSA) de Juniper Networks TACACS+ en el servidor TACACS+. Tabla 1 enumera los VSA de Juniper Networks compatibles.

Algunos de los atributos aceptan expresiones regulares extendidas, tal como se definen en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, escríbala entre comillas. Para obtener más información, consulte:

Tabla 1: Atributos TACACS+ específicos del proveedor de Juniper Networks

Nombre

Description

Largura

Cuerda

local-user-name

Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo.

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

allow-commands

Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

allow-commands-regexps

Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

allow-configuration

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de las instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

allow-configuration-regexps

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de las instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

deny-commands

Contiene una expresión regular extendida que deniega al usuario el permiso para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

deny-commands-regexps

Contiene una expresión regular extendida que deniega al usuario el permiso para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

deny-configuration

Contiene una expresión regular extendida que deniega al usuario el permiso para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

deny-configuration-regexps

Contiene una expresión regular extendida que deniega al usuario el permiso para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida.

user-permissions

Contiene información que el servidor utiliza para especificar permisos de usuario.

Nota:

Cuando el servidor TACACS+ define el user-permissions atributo para conceder el maintenance permiso o all permiso a un usuario, la lista de pertenencias a grupos del usuario no incluye automáticamente el grupo de rueda de UNIX. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia a grupos de ruedas. Sin embargo, cuando el dispositivo de red define una cuenta de usuario local con los permisos maintenance o all, se concede automáticamente al usuario la pertenencia al grupo de rueda de UNIX. Por lo tanto, se recomienda crear una cuenta de plantilla de usuario con los permisos necesarios y asociar cuentas de usuario individuales a la cuenta de plantilla de usuario.

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Consulte Descripción general de los niveles de privilegios de acceso.

authentication-type

Indica el método de autenticación (base de datos local o servidor TACACS+) utilizado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra 'local'. Si el usuario se autentica mediante un servidor TACACS+, el valor del atributo muestra 'remoto'.

≥5

Uno o más octetos que contengan caracteres ASCII imprimibles.

session-port

Indica el número de puerto de origen de la sesión establecida.

Tamaño del entero

Entero

Usar expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos

Junos OS puede asignar usuarios autenticados por RADIUS y TACACS+ a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que define los privilegios de acceso del usuario. Opcionalmente, también puede configurar los privilegios de acceso de un usuario definiendo los atributos específicos del proveedor (VSA) RADIUS y TACACS+ de Juniper Networks en el servidor de autenticación correspondiente.

La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué comandos de modo operativo y modo de configuración está autorizado a ejecutar un usuario y qué áreas de la configuración puede ver y modificar. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar determinados comandos o ver y modificar ciertas áreas de la configuración, además de lo que autorizan los indicadores de permiso. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización del usuario:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSA de Juniper Networks para definir permisos específicos o expresiones regulares que determinan los privilegios de acceso de un usuario. Para obtener la lista de RADIUS y TACACS+ VSA compatibles, consulte lo siguiente:

Puede definir permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacios.

  • Un servidor RADIUS usa el atributo y la sintaxis siguientes:

    Por ejemplo:

  • Un servidor TACACS+ usa el siguiente atributo y sintaxis:

    Por ejemplo:

Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que utilizan una única expresión regular extendida (como se define en POSIX 1003.2) para permitir o denegar a un usuario la capacidad de ejecutar determinados comandos o ver y modificar áreas de la configuración. Puede incluir varios comandos o jerarquías de configuración entre paréntesis y separarlos mediante un símbolo de barra vertical. Si la expresión regular contiene espacios, operadores o caracteres comodín, escríbala entre comillas. Cuando se configuran los parámetros de autorización tanto local como remotamente, el dispositivo combina las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular definida en el dispositivo local.

  • Un servidor RADIUS usa los siguientes atributos y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ usa los siguientes atributos y sintaxis:

    Por ejemplo:

Los servidores RADIUS y TACACS+ también admiten la configuración de atributos que corresponden a las mismas *-regexps instrucciones que puede configurar en el dispositivo local. Los *-regexps atributos TACACS+ y RADIUS *-Regexps usan la misma sintaxis de expresión regular que los atributos anteriores, pero permiten configurar expresiones regulares con variables.

  • Un servidor RADIUS usa los siguientes atributos y sintaxis:

  • Un servidor TACACS+ usa los siguientes atributos y sintaxis:

    Por ejemplo, la configuración del servidor TACACS+ podría definir los siguientes atributos:

En un servidor RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que especifique cada expresión individual en una línea independiente.

Para un servidor RADIUS, especifique las expresiones regulares individuales mediante la sintaxis siguiente:

Para un servidor TACACS+, especifique las expresiones regulares individuales mediante la sintaxis siguiente:

Nota:
  • En la sintaxis del servidor TACACS+, los valores numéricos del 1 al n deben ser únicos, pero no necesariamente secuenciales. Por ejemplo, la siguiente sintaxis es válida:

  • El servidor RADIUS o TACACS+ impone un límite en el número de líneas de expresión regular individuales.

  • Al emitir el show cli authorization comando, el resultado del comando muestra la expresión regular en una sola línea, incluso si especifica cada expresión individual en una línea independiente.

Los usuarios pueden comprobar su clase, permisos y autorización de comando y configuración emitiendo el comando de show cli authorization modo operativo.

Nota:

Cuando se configuran los parámetros de autorización localmente en el dispositivo de red y de forma remota en el servidor RADIUS o TACACS+, el dispositivo combina las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.

Configuración de la contabilidad del sistema TACACS+

Puede configurar la contabilidad de TACACS+ en un dispositivo para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y envían los datos a un servidor de contabilidad de TACACS+. Los datos estadísticos se pueden utilizar para la supervisión general de la red, el análisis y el seguimiento de los patrones de uso, o la facturación a un usuario en función de la duración de la sesión o el tipo de servicios a los que se accede.

Para configurar la contabilidad de TACACS+, especifique:

  • Uno o más servidores de contabilidad TACACS+ para recibir los datos estadísticos del dispositivo

  • El tipo de datos contables que se deben recopilar

Puede usar el mismo servidor para la contabilidad y autenticación de TACACS+, o puede usar servidores separados. Puede especificar una lista de servidores de contabilidad TACACS+. El dispositivo consulta los servidores en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que recibe una respuesta.

Cuando se habilita la contabilidad de TACACS+, los dispositivos de Juniper Networks, que actúan como clientes de TACACS+, pueden notificar al servidor de TACACS+ sobre las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos.

Configurar la contabilidad del servidor TACACS+

Para configurar la contabilidad del servidor TACACS+:

  1. Configure los eventos que se van a auditar.

    Por ejemplo:

    events puede incluir uno o varios de los siguientes elementos:

    • login—Auditar inicios de sesión

    • change-log—Auditar los cambios de configuración

    • interactive-commands—Auditar comandos interactivos (cualquier entrada de línea de comandos)

  2. Habilite la contabilidad TACACS+.
  3. Configure la dirección de uno o varios servidores de contabilidad TACACS+.

    Por ejemplo:

    Nota:

    Si no configura ningún servidor TACACS+ en el nivel de [edit system accounting destination tacplus] jerarquía, el dispositivo utiliza los servidores TACACS+ configurados en el nivel de [edit system tacplus-server] jerarquía.

  4. (Opcional) Configure la dirección de origen para las solicitudes contables de TACACS+.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 válida o una dirección IPv6 configurada en una de las interfaces de enrutador o interfaces de conmutador. Si el dispositivo de red tiene varias interfaces que pueden llegar al servidor TACACS+, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el servidor TACACS+. Al hacer esto, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  5. Configure la contraseña secreta compartida que utiliza el dispositivo de red para autenticarse con el servidor de contabilidad TACACS+.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor TACACS+. Si la contraseña contiene espacios, escríbala entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  6. (Opcional) Si es necesario, especifique a qué puerto del servidor de contabilidad TACACS+ desea enviar paquetes de contabilidad, si es diferente del predeterminado (49).
  7. (Opcional) Configure la cantidad de tiempo que el dispositivo espera para recibir una respuesta del servidor de contabilidad TACACS+.

    De forma predeterminada, el dispositivo espera tres segundos. Puede configurar el timeout valor de 1 a 90 segundos.

    Por ejemplo, para esperar 15 segundos para recibir una respuesta del servidor:

  8. (Opcional) Configure el dispositivo para mantener una conexión TCP abierta al servidor para varias solicitudes en lugar de abrir una conexión independiente para cada intento de conexión.
    Nota:

    Las versiones anteriores del servidor TACACS+ no admiten la single-connection opción. Si especifica esta opción y el servidor no la admite, el dispositivo no podrá comunicarse con ese servidor TACACS+.

  9. (Opcional) Para enrutar paquetes de contabilidad de TACACS+ a través de la instancia de administración no predeterminada u otra instancia de enrutamiento en lugar de la instancia de enrutamiento predeterminada, configure la routing-instance instrucción y especifique la instancia de enrutamiento.
    Por ejemplo:
  10. Para asegurarse de que las solicitudes de inicio y detención de eventos de inicio de sesión se registran correctamente en el archivo de registro de contabilidad del servidor TACACS+ en lugar del archivo de registro de administración, incluya la no-cmd-attribute-value instrucción o la exclude-cmd-attribute instrucción en el [edit system tacplus-options] nivel jerárquico.
    Nota:

    Ambas instrucciones admiten el registro correcto de solicitudes de contabilidad en el archivo de contabilidad en lugar del archivo de administración. Si configura la no-cmd-attribute-value instrucción, el valor del cmd atributo se establece en una cadena nula en las solicitudes start y stop. Si configura la exclude-cmd-attribute instrucción, el cmd atributo queda totalmente excluido de las solicitudes start y stop.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, puede enrutar el tráfico de TACACS+ a través de cualquier instancia de enrutamiento que configure en autenticación.
17.4R1
A partir de Junos OS versión 17.4R1, el comportamiento existente de TACACS+ se mejora para admitir el enrutamiento de paquetes TACACS+ a través de una interfaz de administración en una instancia de VRF no predeterminada denominada mgmt_junos.