Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de TACACS +

Junos OS admite TACACS+ para la autenticación central de los usuarios en dispositivos de red. Para utilizar la autenticación TACACS+ en el dispositivo, usted (el administrador de red) debe configurar la información de uno o más servidores TACACS+ en la red. También puede configurar la auditoría TACACS+ en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician sesión en o fuera de una LAN y enviar los datos a un servidor de auditoría TACACS+.

Configurar autenticación TACACS+

La autenticación TACACS+ es un método para autenticar a los usuarios que intentan acceder a un dispositivo de red.

Para configurar TACACS+, realice las siguientes tareas:

Configure los detalles del servidor TACACS+

Para utilizar la autenticación TACACS+ en el dispositivo, configure la información de uno o más servidores TACACS+ en la red incluyendo una instrucción en el nivel de jerarquía para cada tacplus-server[edit system] servidor TACACS+. El dispositivo consulta a los servidores TACACS+ en el orden en que se configuran. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta contactar a cada servidor de la lista hasta que recibe una respuesta.

El dispositivo de red puede asignar usuarios TACACS+ autenticados a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, la cual determina la autorización. De forma predeterminada, asigna usuarios TACACS+ autenticados a la cuenta de plantilla de Junos OSremote usuario, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor TACACS+ no asigna al usuario a una plantilla de usuario local, o la plantilla que el servidor asigna no está configurada en el dispositivo local.

El servidor TACACS+ puede asignar un usuario autenticado a una plantilla de usuario diferente para otorgar distintos permisos administrativos a ese usuario. El usuario conserva el mismo nombre de inicio de sesión en el CLI pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el usuario autenticado por TACACS no se asigna a ninguna cuenta de usuario o plantilla de usuario definidas localmente, y la plantilla no está configurada, entonces se produce un error de remote autenticación.

Nota:

El remote nombre de usuario es un caso especial y siempre debe ser en Junos OS minúscula. Actúa como una plantilla para usuarios autenticados por un servidor remoto, pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. aplica los permisos de la plantilla a aquellos usuarios Junos OSremote autenticados sin una cuenta definida localmente. Todos los usuarios asignados a remote la plantilla se encuentran en la misma clase de inicio de sesión.

Dado que la autenticación remota se configura en varios dispositivos, se suele configurar dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración llamado global . El uso de un grupo de configuración es opcional.

Para configurar la autenticación mediante un servidor TACACS+:

  1. Configure la dirección IPv4 o la dirección IPv6 del servidor de autenticación TACACS+.

    Por ejemplo:

  2. (Opcional) Configure la dirección de origen del paquete para las solicitudes enviadas al servidor TACACS+.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o dirección IPv6 válida configurada en una de las interfaces de enrutador o conmutador. Si el dispositivo de red tiene varias interfaces que pueden comunicarse con el servidor TACACS+, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el servidor TACACS+. Al hacer esto, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  3. Configure la contraseña de secreto compartida que el dispositivo de red utiliza para autenticar con el servidor TACACS+.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor TACACS+. Si la contraseña contiene espacios, inclúyalo entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  4. (Opcional) Especifique el puerto en el cual se debe contactar al servidor TACACS+, si es diferente del puerto predeterminado (49).

    Por ejemplo:

  5. (Opcional) Configure la cantidad de tiempo que espera el dispositivo para recibir una respuesta del servidor TACACS+.

    De forma predeterminada, el dispositivo espera 10 segundos. Puede configurar el valor timeout de 1 a 90 segundos.

    Por ejemplo, esperar 15 segundos para obtener una respuesta del servidor:

  6. (Opcional) Configure el dispositivo para mantener una conexión TCP abierta con el servidor para varias solicitudes en lugar de abrir una conexión independiente para cada intento de conexión.
    Nota:

    Las versiones anteriores del servidor TACACS + no admiten esta single-connection opción. Si especifica esta opción y el servidor no la admite, el dispositivo no podrá comunicarse con ese servidor TACACS+.

  7. (Opcional) Para enrutar paquetes TACACS+ a través de una instancia de enrutamiento específica, configure la routing-instance instrucción y especifique una instancia de enrutamiento válida.

    De forma predeterminada, enruta paquetes de autenticación, autorización y cuenta para Junos OS TACACS+ a través de la instancia de enrutamiento predeterminada.

  8. Especifique el orden de autenticación e incluya la tacplus opción.

    En el ejemplo siguiente, siempre que un usuario intenta iniciar sesión, primero consulta al Junos OS servidor TACACS+ para la autenticación. Si se produce un error, consulta al RADIUS servidor. Si esto falla, intenta autenticación con cuentas de usuario configuradas localmente.

  9. Asigne una clase de inicio de sesión a usuarios TACACS+ autenticados que no tengan una cuenta de usuario definida localmente.

    Puede configurar una cuenta de plantilla de usuario de la misma manera que una cuenta de usuario local, con la excepción de que no configura una contraseña de autenticación local porque el servidor TACACS+ autentica al usuario.

    • Para usar los mismos permisos para todos los usuarios autenticados por TACACS+, configure la plantilla remote de usuario.

      Por ejemplo:

    • Para usar diferentes clases de inicio de sesión para diferentes usuarios TACACS + autenticados, concediendoles distintos permisos:

      1. Cree varias plantillas de usuario en la Junos OS configuración. Por ejemplo:

      2. Configure el servidor TACACS+ para asignar al usuario autenticado a la plantilla de usuario adecuada.

        Por ejemplo, establezca el atributo Juniper específico del proveedor (VSA) en el nombre de una plantilla de usuario configurada en el dispositivo, que en el ejemplo anterior es RO, OP o local-user-name usuario único. Se produce un error de autenticación si el dispositivo no puede asignar un usuario a una cuenta de usuario o una plantilla de usuario local, y la plantilla de usuario remote no está configurada.

Configure TACACS+ para usar la instancia de administración

De forma predeterminada, enruta paquetes de autenticación, autorización y cuenta para Junos OS TACACS+ a través de la instancia de enrutamiento predeterminada. También puede enrutar paquetes TACACS+ a través de una interfaz de administración en una instancia de VRF no predeterminada.

Para enrutar paquetes TACACS+ a través de la instancia mgmt_junos de administración:

  1. Habilite la instancia mgmt_junos de administración.

  2. Configure la routing-instance mgmt_junos instrucción para el servidor de autenticación TACACS+ y el servidor de cuentas TACACS+, si está configurado.

Configure el mismo servicio de autenticación para varios servidores TACACS+

Puede configurar el mismo servicio de autenticación para varios servidores TACACS+ incluyendo instrucciones en los niveles [edit system tacplus-server][edit system tacplus-options] de jerarquía y.

Para asignar el mismo servicio de autenticación a varios servidores TACACS+:

  1. Configure los servidores TACACS+ como se describe en Configurar autenticación TACACS+ .
  2. Configure service-name la instrucción en [edit system tacplus-options] el nivel de jerarquía.
    service-name es el nombre del servicio de autenticación, que de forma predeterminada es junos-exec .

    Por ejemplo:

El siguiente ejemplo muestra cómo configurar el mismo servicio de autenticación para varios servidores TACACS +:

Configure Juniper Networks atributos TACACS+ específicos del proveedor

Junos OS puede asignar usuarios autenticados por TACACS a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, la cual determina la autorización. También puede configurar opcionalmente los privilegios de acceso de un usuario definiendo Juniper Networks atributos TACACS+ específicos del proveedor en el servidor TACACS+. Los atributos se definen en el archivo de configuración del servidor TACACS+ por usuario. El dispositivo de red recupera estos atributos mediante una solicitud de autorización del servidor TACACS+ después de autenticar a un usuario.

Para especificar estos atributos, incluya una service declaración con el formato siguiente en el archivo de configuración del servidor TACACS +:

Puede definir la service instrucción en una instrucción o en una usergroup instrucción.

Actualización periódica del perfil de autorización TACACS+

Cuando configura un dispositivo que se ejecuta para usar un servidor TACACS+ para la autenticación, el dispositivo solicita a los usuarios información de inicio de sesión, la cual es verificada por el Junos OS servidor TACACS+. Después de autenticar correctamente a un usuario, el dispositivo de red envía una solicitud de autorización al servidor TACACS+ para obtener el perfil de autorización para el usuario. Los perfiles de autorización especifican los permisos de acceso de los usuarios o dispositivos autenticados.

El servidor TACACS+ envía el perfil de autorización como parte de un mensaje de respuesta de autorización. El usuario remoto configurado en el servidor TACACS+ se asigna a un usuario local o una plantilla de usuario configurada en el dispositivo en ejecución. combina el perfil de autorización remota del usuario y el perfil de autorización configurado localmente, el último de los cuales se configura en el nivel jerárquico Junos OSJunos OS [ edit system login class ].

De forma predeterminada, el intercambio de mensajes de respuesta y solicitud de autorización se produce una sola vez después de una autenticación correcta. Puede configurar los dispositivos para que obtenga periódicamente el perfil de autorización remota del servidor TACACS+ y actualice el perfil de autorización Junos OS almacenada localmente. Esta actualización periódica garantiza que el dispositivo local refleje cualquier cambio en los parámetros de autorización sin necesidad de que el usuario reinicie el proceso de autenticación.

Para habilitar la actualización periódica del perfil de autorización, debe establecer el intervalo de tiempo en el cual el dispositivo local comprueba el perfil de autorización configurado de forma remota en el servidor TACACS+. Si cambia el perfil de autorización remota, el dispositivo busca el perfil de autorización del servidor TACACS+ y el perfil de autorización configurado bajo la jerarquía de clase de inicio de sesión. El dispositivo actualiza el perfil de autorización almacenada localmente mediante la combinación de los perfiles de autorización remotos y configurados localmente.

Puede configurar el intervalo de tiempo de actualización localmente en el dispositivo que se ejecuta Junos OS o directamente en el servidor TACACS+. El intervalo de tiempo puede ir de 15 a 1440 minutos.

  • Para configurar la actualización periódica del perfil de autorización en el dispositivo local, incluya la authorization-time-interval instrucción en el nivel [edit system tacplus-options] jerárquico, como se muestra a continuación:
  • Para configurar la actualización periódica en el servidor TACACS+, agregue el parámetro en el perfil de autorización refresh-time-interval con la siguiente sintaxis:

Utilice las siguientes directrices para determinar el intervalo de tiempo que tiene prioridad la configuración:

  • Si el intervalo de tiempo de actualización solo está configurado en el servidor TACACS+ o solo en el dispositivo que se ejecuta, entonces el valor configurado Junos OS toma efecto.
  • Si el intervalo de tiempo de actualización está configurado tanto en el servidor TACACS+ como en el dispositivo que se ejecuta, el valor configurado en el servidor Junos OS TACACS+ tiene prioridad.

  • Si no se configura ningún intervalo de tiempo de actualización en el servidor TACACS+ o en el dispositivo que se ejecuta, entonces no se Junos OS produce ninguna actualización periódica.

  • Si el intervalo de tiempo de actualización configurado en el servidor TACACS+ está fuera de rango o no es válido, el intervalo de tiempo de actualización configurado localmente toma efecto. Si no se configura ningún intervalo de tiempo de actualización localmente, no se produce ninguna actualización periódica.

Después de establecer el intervalo de tiempo de actualización periódica, si el usuario cambia el intervalo de actualización antes de enviar la solicitud de autorización desde el dispositivo local, el intervalo de actualización actualizado entra en efecto después de la próxima actualización periódica inmediata.

Ejemplo: Configure un servidor TACACS+ para la autenticación del sistema

En este ejemplo, se configura la autenticación del sistema mediante un servidor TACACS+.

Requisitos

Antes de empezar:

  • Realice la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.

  • Configure al menos un servidor TACACS+ en su red.

Descripción general

En este ejemplo, agrega un nuevo servidor TACACS+ con una dirección IP de 172.16.98.1. Especifique la contraseña de secreto compartida del servidor TACACS+ como Tacacssecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que el dispositivo utiliza en las solicitudes de servidor TACACS+. En la mayoría de los casos, puede utilizar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.

Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como autenticación de contraseña local, TACACS+ y RADIUS, en el dispositivo de red, Cuando configure varios métodos de autenticación, puede priorizar el orden en el que el dispositivo prueba los distintos métodos. En este ejemplo, configure el dispositivo para que utilice primero los servicios de autenticación TACACS+ y, si esto falla, para luego intentar la autenticación de contraseña local.

Un usuario autenticado con TACACS debe asignarse a una cuenta de usuario local o a una cuenta de plantilla de usuario local en el dispositivo de red, lo que determina la autorización. De forma predeterminada, si un usuario TACACS+ autenticado no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de usuario, si está remote configurado. En este ejemplo, se configura la remote plantilla de usuario.

Configuración

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese en el modo de [edit]commit configuración.

Procedimiento paso a paso

Para configurar un servidor TACACS + para la autenticación del sistema:

  1. Agregue un nuevo servidor TACACS + y establezca su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor TACACS +.

  3. Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.

  4. Especifique el orden de autenticación del dispositivo e incluya la tacplus opción.

  5. Configure la plantilla remote de usuario y su clase de inicio de sesión.
Resultados

En el modo de configuración, escriba el show system comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

El resultado siguiente solo incluye aquellas partes de la jerarquía de configuración relevantes para este ejemplo:

Después de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verifique la configuración del servidor TACACS+.

Propósito

Verifique que el servidor TACACS+ autentificar a los usuarios.

Acción

Inicie sesión en el dispositivo de red y compruebe que el inicio de sesión se realiza correctamente. Para comprobar que el dispositivo utiliza el servidor TACACS+ para la autenticación, puede intentar iniciar sesión con una cuenta que no defina una contraseña de autenticación local en la configuración.

Atributos TACACS + específicos de los Juniper Networks proveedores

Junos OS admite la configuración Juniper Networks atributos específicos del proveedor (VSA) del TACACS+ en el servidor TACACS+. Tabla 1 enumera los vsa Juniper Networks compatibles.

Algunos de los atributos aceptan expresiones regulares extendidas, tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierranla entre comillas. Para obtener más información, consulte:

Tabla 1: Atributos TACACS + específicos de los Juniper Networks proveedores

Nombre

Descripción

Alarga

Alfanumérico

local-user-name

Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo.

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

allow-commands

Contiene una expresión regular extendida que permite al usuario ejecutar comandos, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

allow-commands-regexps

Contiene una expresión regular extendida que permite al usuario ejecutar comandos, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

allow-configuration

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de aquellas instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

allow-configuration-regexps

Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de aquellas instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

deny-commands

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

deny-commands-regexps

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

deny-configuration

Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

deny-configuration-regexps

Contiene una expresión regular extendida que niega el permiso del usuario para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida.

user-permissions

Contiene información que el servidor utiliza para especificar permisos de usuario.

Nota:

Cuando el servidor TACACS+ define el atributo para otorgar el permiso o permiso a un usuario, la lista de membresías de grupo del usuario no incluye automáticamente el grupo de ruedas user-permissionsmaintenanceall UNIX. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia a grupo de rueda. Sin embargo, cuando el dispositivo de red define una cuenta de usuario local con los permisos o , el usuario se le otorga automáticamente la maintenance membresía al grupo de ruedas all unix. Por lo tanto, recomendamos que cree una cuenta de plantilla de usuario con los permisos necesarios y asocie las cuentas de usuario individuales con la cuenta de plantilla de usuario.

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

Consulte Descripción general de los niveles de privilegios de acceso.

authentication-type

Indica el método de autenticación (base de datos local o servidor TACACS+) usado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra "local". Si el usuario se autentica mediante un servidor TACACS+, el valor de atributo muestra "remoto".

≥5

Uno o más octetos que contengan caracteres ASCII imprimibles.

session-port

Indica el número de puerto de origen de la sesión establecida.

tamaño del entero

Valor entero

Utilice expresiones regulares en un RADIUS o TACACS+ para permitir o denegar comandos

Junos OS puede asignar usuarios autenticados por RADIUS y TACACS a una cuenta de usuario definida localmente o una cuenta de plantilla de usuario, lo que define los privilegios de acceso del usuario. También puede configurar opcionalmente los privilegios de acceso de un usuario mediante la definición de atributos Juniper Networks RADIUS y TACACS+ específicos del proveedor (VSA) en el servidor de autenticación respectivo.

La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué modo operativo y modo de configuración comandos está autorizado a ejecutar un usuario y qué áreas de la configuración puede ver y modificar un usuario. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar determinados comandos o ver y modificar determinadas áreas de la configuración, además de lo que los indicadores de permiso autorizados. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización del usuario:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSA de Juniper Networks para definir permisos específicos o expresiones regulares que determinen los privilegios de acceso de un usuario. Para obtener una lista de RADIUS compatibles con VSA de TACACS+, consulte lo siguiente:

Puede definir los permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacio.

  • Un RADIUS servidor utiliza el siguiente atributo y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza el siguiente atributo y sintaxis:

    Por ejemplo:

Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que utilizan una sola expresión regular extendida (tal como se define en POSIX 1003.2) para permitir o denegar Juniper Networks un usuario la capacidad de ejecutar ciertos comandos o ver y modificar áreas de la configuración. Encierra varios comandos o jerarquías de configuración entre paréntesis y los separa mediante un símbolo de canalización. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierranla entre comillas. Cuando configure parámetros de autorización de forma local y remota, el dispositivo fusiona las expresiones regulares recibidas durante el TACACS+ o una autorización RADIUS con cualquier expresión regular definida en el dispositivo local.

  • Un RADIUS servidor utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo:

RADIUS y los servidores TACACS+ también admiten la configuración de atributos que correspondan a las mismas instrucciones que puede *-regexps configurar en el dispositivo local. Los atributos TACACS+ y RADIUS utilizan la misma sintaxis de expresión regular que los atributos anteriores, pero permiten configurar *-regexps*-Regexps expresiones regulares con variables.

  • Un RADIUS servidor utiliza los siguientes atributos y sintaxis:

  • Un servidor TACACS+ utiliza los siguientes atributos y sintaxis:

    Por ejemplo, la configuración del servidor TACACS+ puede definir los siguientes atributos:

En un RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que se especifica cada expresión individual en una línea independiente.

Para un servidor RADIUS, especifique las expresiones regulares individuales con la siguiente sintaxis:

Para un servidor TACACS+, especifique las expresiones regulares individuales mediante la siguiente sintaxis:

Nota:
  • En la sintaxis del servidor TACACS+, los valores numéricos del 1 al 1 deben ser únicos pero no deben ser completos. Por ejemplo, la sintaxis siguiente es válida:

  • El RADIUS o TACACS+ impone un límite a la cantidad de líneas de expresión regular individuales.

  • Cuando se ejecuta el show cli authorization comando, el resultado del comando muestra la expresión regular en una sola línea, aunque se especifique cada expresión individual en una línea independiente.

Los usuarios pueden comprobar su clase, sus permisos y su autorización de comando y configuración emitiendo el show cli authorization comando de modo operativo.

Nota:

Cuando configure los parámetros de autorización de forma local en el dispositivo de red y de forma remota en el servidor RADIUS o TACACS+, el dispositivo fusiona las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.

Configuración de la contabilidad de sistemas TACACS +

Puede configurar la auditoría TACACS+ en un dispositivo para recopilar datos estadísticos acerca de los usuarios que inician sesión en una LAN o fuera de una LAN y enviar los datos a un servidor de auditoría TACACS+. Los datos estadísticos se pueden utilizar para el monitoreo general de la red, el análisis y el seguimiento de patrones de uso, o la facturación de un usuario en función de la duración de la sesión o el tipo de servicios a los que accede.

Para configurar la cuenta TACACS+, especifique:

  • Uno o más servidores de cuentas TACACS+ para recibir los datos estadísticos del dispositivo

  • El tipo de datos de contabilidad que se recopilan

Puede usar el mismo servidor para la cuenta y autenticación TACACS+, o puede usar servidores independientes. Puede especificar una lista de servidores de cuentas TACACS+. El dispositivo consulta a los servidores en el orden en que se configuran. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta contactar a cada servidor de la lista hasta que recibe una respuesta.

Cuando habilita la contabilidad TACACS+, los dispositivos Juniper Networks, que actúan como clientes TACACS+, pueden notificar al servidor TACACS+ acerca de las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos.

Configurar la contabilidad de servidores TACACS+

Para configurar la cuenta de servidor TACACS+:

  1. Configure los eventos para que se audite.

    Por ejemplo:

    events puede incluir uno o más de los siguientes elementos:

    • login: inicios de sesión de auditoría

    • change-log: cambios de configuración de auditoría

    • interactive-commands: auditoría de comandos interactivos (cualquier entrada de línea de comandos)

  2. Habilite la contabilidad TACACS+.
  3. Configure la dirección para uno o más servidores de cuentas TACACS+.

    Por ejemplo:

    Nota:

    Si no configura ningún servidor TACACS+ en el nivel jerárquico, el dispositivo utiliza los servidores [edit system accounting destination tacplus] TACACS+ configurados en el nivel [edit system tacplus-server] jerárquico.

  4. (Opcional) Configure la dirección de origen para las solicitudes de cuentas TACACS+.

    Por ejemplo:

    La dirección de origen es una dirección IPv4 o dirección IPv6 válida configurada en una de las interfaces de enrutador o conmutador. Si el dispositivo de red tiene varias interfaces que pueden comunicarse con el servidor TACACS+, asigne una dirección IP que el dispositivo pueda utilizar para toda su comunicación con el servidor TACACS+. Al hacer esto, se establece una dirección fija como dirección de origen para los paquetes IP generados localmente.

  5. Configure la contraseña de secreto compartida que el dispositivo de red utiliza para autenticar con el servidor de cuentas TACACS+.

    La contraseña configurada debe coincidir con la contraseña configurada en el servidor TACACS+. Si la contraseña contiene espacios, inclúyalo entre comillas. El dispositivo almacena la contraseña como un valor cifrado en la base de datos de configuración.

    Por ejemplo:

  6. (Opcional) Si es necesario, especifique a qué puerto de servidor de cuentas TACACS+ enviar paquetes de contabilidad, si es distinto del predeterminado (49).
  7. (Opcional) Configure la cantidad de tiempo que espera el dispositivo para recibir una respuesta del servidor de cuentas TACACS+.

    De forma predeterminada, el dispositivo espera tres segundos. Puede configurar el valor timeout de 1 a 90 segundos.

    Por ejemplo, esperar 15 segundos para obtener una respuesta del servidor:

  8. (Opcional) Configure el dispositivo para mantener una conexión TCP abierta con el servidor para varias solicitudes en lugar de abrir una conexión independiente para cada intento de conexión.
    Nota:

    Las versiones anteriores del servidor TACACS + no admiten esta single-connection opción. Si especifica esta opción y el servidor no la admite, el dispositivo no podrá comunicarse con ese servidor TACACS+.

  9. (Opcional) Para enrutar paquetes de cuentas TACACS+ a través de la instancia de administración no predeterminada u otra instancia de enrutamiento en lugar de la instancia de enrutamiento predeterminada, configure la instrucción y especifique la instancia routing-instance de enrutamiento.
    Por ejemplo:
  10. Para asegurarse de que las solicitudes de inicio y de parada de eventos de inicio de sesión se registran correctamente en el archivo de registro de auditoría del servidor TACACS+ en lugar del archivo de registro de administración, incluya la instrucción o la instrucción en el nivel jerárquico. no-cmd-attribute-valueexclude-cmd-attribute[edit system tacplus-options]
    Nota:

    Ambas instrucciones admiten el registro correcto de solicitudes de auditoría en el archivo de auditoría en lugar del archivo de administración. Si configura la instrucción, el valor del atributo se establece no-cmd-attribute-value en una cadena nula en las solicitudes start y cmd stop. Si configura la exclude-cmd-attribute instrucción, cmd el atributo queda totalmente excluida de las solicitudes start y stop.

Tabla de historial de versiones
Liberación
Descripción
18.2R1
A partir de Junos OS versión 18.2 R1, puede enrutar tráfico TACACS + a través de cualquier instancia de enrutamiento que configure en autenticación.
17.4R1
A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir paquetes TACACS + de enrutamiento a través de una interfaz de administración en una instancia VRF no predeterminada denominada mgmt_junos.