Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de TACACS +

El Junos OS admite TACACS + para la autenticación centralizada de los usuarios en varios enrutadores o conmutadores o dispositivos de seguridad. Para usar la autenticación TACACS + en el dispositivo, debe configurar la información sobre uno o más servidores TACACS + en la red. También puede configurar la contabilidad de TACACS + en el dispositivo para recopilar datos estadísticos acerca de los usuarios que inician o salen de una LAN y los envían a un servidor de contabilidad TACACS +. Para obtener más información, lea este tema.

Configuración de la autenticación TACACS +

La autenticación de TACACS + es un método para autenticar a los usuarios que intentan acceder al enrutador o conmutador.

Nota:

A partir de la versión 13,3, Junos OS admite IPv6 junto con la compatibilidad con IPv4 existente para la autenticación de usuarios mediante servidores TACACS +.

Las tareas para configurar la configuración TACACS + son:

Configuración de detalles del servidor TACACS +

Para usar autenticación TACACS + en el enrutador o conmutador, configure la información acerca de uno o más servidores TACACS + en tacplus-server la red incluyendo [edit system] el extracto en el nivel de jerarquía:

server-addresses la dirección del servidor TACACS +.

port-numberes el número de puerto de TACACS +.

routing-instance routing-instancees el nombre de la instancia de enrutamiento usada para enviar y recibir paquetes TACACS +. De forma predeterminada, Junos OS enruta los paquetes de autenticación, autorización y administración de cuentas para TACACS + a través de la instancia de enrutamiento predeterminada. A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir paquetes TACACS + de enrutamiento a través de una interfaz de administración en una instancia VRF no predeterminada denominada mgmt_junos. Para obtener más información acerca de esta instancia de administración Configuración de TACACS + para utilizar la instancia de administraciónVRF, consulte. A partir de Junos OS versión 18.2 R1, puede enrutar tráfico TACACS + a través de cualquier instancia de enrutamiento que configure en autenticación.

Debe especificar un secreto (contraseña) que el enrutador o conmutador local pase al cliente TACACS + al incluir la secret instrucción. Si la contraseña incluye espacios, escriba la contraseña entre comillas. El secreto utilizado por el conmutador o enrutador local debe coincidir con el utilizado por el servidor.

Opcionalmente, puede especificar el tiempo que esperará el enrutador o conmutador local para recibir una respuesta de un servidor TACACS + mediante la inclusión de timeout la instrucción. De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurarlo para que sea un valor en el intervalo de 1 a 90 segundos.

De manera opcional, puede hacer que el software mantenga una conexión abierta del Protocolo de control de transmisión (TCP) con el servidor para varias solicitudes, en lugar de abrir una conexión para cada single-connection intento de conexión mediante la inclusión de la instrucción.

Nota:

Las versiones anteriores del servidor TACACS + no admiten esta single-connection opción. Si especifica esta opción y el servidor no la admite, el Junos OS no será capaz de comunicarse con ese servidor TACACS +.

Para configurar varios servidores TACACS +, incluya varias tacplus-server instrucciones.

En un enrutador de matriz de transmisión, la contabilidad de TACACS + solo re0 debe re1configurarse en los grupos y.

Nota:

La contabilidad no debe configurarse [edit system] en el nivel de jerarquía; en un enrutador de matriz de transmisión, el control se realiza únicamente bajo el chasis de la tarjeta de conmutación.

Para configurar un conjunto de usuarios que comparten una sola cuenta para fines de autorización, debe crear un usuario de plantilla. Para ello, incluya la user instrucción en el nivel de [edit system login] jerarquía, tal como se describe en el ejemplo: Configure el orden de autenticación.

Configuración de TACACS + para utilizar la instancia de administración

De forma predeterminada, Junos OS enruta los paquetes de autenticación, autorización y administración de cuentas para TACACS + a través de la instancia de enrutamiento predeterminada. A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir una interfaz de administración en una instancia VRF no predeterminada.

Cuando la routing-instance mgmt_junos opción está configurada tanto tacplus-server server-address en el tacplus server server-ip como en las instrucciones (consulte tacplus) management-instance , siempre y cuando la instrucción también esté configurada, los paquetes TACACS + se enrutan a través de la instancia de administración mgmt_junos.

Nota:

La routing-instance mgmt_junos opción debe estar configurada tanto tacplus-server en el tacplus server como en las instrucciones. Si no, incluso cuando la management-instance instrucción está configurada, los paquetes TACACS + solo usan la instancia de enrutamiento predeterminada.

Antes de Junos OS versión 17.4 R1, no hay ninguna opción para configurar una instancia de ruta para TACACS +. Por lo tanto, management-instance aunque esté configurado, no existe ninguna infuncionalidad de la instancia de enrutamiento TACACS +, hasta que Junos os Release 17.4 R1.

Para obtener más detalles acerca de la instancia de administración mgmt_junos, consulte Management-Instance.

Especificación de una dirección de origen para el Junos OS acceder a servidores TACACS + externos

Puede especificar la dirección de origen que utiliza el Junos OS al acceder a la red para comunicarse con un servidor TACACS + externo con el fin de autenticarlo. También puede especificar qué dirección de origen utiliza el Junos OS al ponerse en contacto con un servidor TACACS + para enviar información contable.

Para especificar una dirección de origen para un servidor TACACS + para autenticación, incluya source-address la instrucción en [edit system tacplus-server server-address] el nivel de jerarquía:

source-addresses una dirección IP válida configurada en una de las interfaces del enrutador o conmutador.

Para especificar una dirección de origen para un servidor TACACS + para la contabilidad del sistema source-address , incluya la [edit system accounting destination tacplus server server-address] instrucción en el nivel de jerarquía:

source-addresses una dirección IP válida configurada en una de las interfaces del enrutador o conmutador.

Configuración del mismo servicio de autenticación para varios servidores TACACS +

Para configurar el mismo servicio de autenticación para varios servidores TACACS +, incluya instrucciones en [edit system tacplus-server] los [edit system tacplus-options] niveles de jerarquía y. Para obtener más información sobre cómo configurar un servidor TACACS + en [edit system tacplus-server] el nivel de jerarquía, consulte Configuring TACACS + Authentication.

Para asignar el mismo servicio de autenticación a varios servidores TACACS +, incluya service-name la instrucción en [edit system tacplus-options] el nivel de jerarquía:

service-namees el nombre del servicio de autenticación. De forma predeterminada, el nombre del servicio se junos-execestablece en.

El siguiente ejemplo muestra cómo configurar el mismo servicio de autenticación para varios servidores TACACS +:

Configuración de Juniper Networks atributos TACACS + específicos del proveedor

Los atributos de TACACS + específicos de los proveedores de Juniper Networks le permiten configurar privilegios de acceso para los usuarios en un servidor TACACS +. Se especifican en el archivo de configuración del servidor TACACS + para cada usuario. El Junos OS recupera estos atributos a través de una solicitud de autorización del servidor TACACS + después de autenticar a un usuario. No es necesario que configure estos atributos para ejecutar el Junos OS con TACACS +.

Para especificar estos atributos, incluya una service declaración con el formato siguiente en el archivo de configuración del servidor TACACS +:

Esta service instrucción puede aparecer en una user instrucción group or o.

Ejemplo Configuración de un servidor TACACS + para la autenticación del sistema

Este ejemplo muestra cómo configurar un servidor TACACS + para la autenticación del sistema.

Aplicables

Antes de empezar:

  • Realice la configuración inicial del dispositivo. Consulte la guía de introducción para su dispositivo.

  • Configure al menos un servidor TACACS +.

Descripción general

En este ejemplo, establece la dirección IP en 172.16.98.24 y la contraseña secreta compartida del servidor TACACS + en Tacacssecret1. La contraseña secreta se almacena como un valor cifrado en la base de datos de configuración. A continuación, establezca la dirección de origen del bucle de retroceso como 10.0.0.1

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar un servidor TACACS + para la autenticación del sistema:

  1. En la interfaz de usuario de J-Web Configure>System Properties>User Management, seleccione.

  2. Haga Editclic en. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Authentication Method and Order ficha.

  4. En la sección TACACS, haga Addclic en. Aparecerá el cuadro de diálogo Agregar servidor TACACS.

  5. En el cuadro Dirección IP, escriba la dirección IP de 32 bits del servidor.

  6. En los cuadros contraseña y Confirmar contraseña, escriba la contraseña secreta del servidor y Compruebe la entrada.

  7. En el cuadro puerto de servidor, escriba el puerto apropiado.

  8. En el cuadro Dirección de origen, escriba la dirección de interfaz configurada localmente, que se utiliza como dirección de origen de los paquetes TACACS +.

    Nota:

    El cuadro Dirección de origen puede aceptar tanto un nombre de host como una dirección IP.

  9. En el cuadro Intentos de reintento, especifique el número de veces que el servidor debe intentar comprobar los credenciales del usuario.

  10. En el cuadro tiempo de espera, especifique la cantidad de tiempo (en segundos) que debe esperar el dispositivo para que se responda el servidor.

  11. Haga OK clic aquí para comprobar su configuración y guardarla como configuración candidata.

  12. Si ha terminado de configurar el dispositivo, haga Commit Options>Commitclic en.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar un servidor TACACS + para la autenticación del sistema:

  1. Agregue un nuevo servidor TACACS + y establezca su dirección IP.

  2. Especifique el secreto compartido (contraseña) del servidor TACACS +.

  3. Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.

Resultados

Desde el modo de configuración, escriba el show system tacplus-server comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Nota:

Para configurar completamente la autenticación de TACACS +, debe crear cuentas de plantilla de usuario y especificar un orden de autenticación del sistema. Realice una de las tareas siguientes:

Comproba

Confirme que la configuración funciona correctamente.

Verificación de la configuración de autenticación del sistema de servidor TACACS +

Purpose

Compruebe que se ha configurado el servidor TACACS + para la autenticación del sistema.

Intervención

En el modo de configuración, show system tacplus-server escriba el comando.

Configuración de Actualizar periódica del perfil de autorización TACACS +

Cuando configura un dispositivo Junos OS para que utilice un servidor TACACS + para la autenticación, el dispositivo solicita a los usuarios la información de inicio de sesión, que es verificada por el servidor TACACS +. Una vez que el usuario se ha autenticado correctamente, el Junos OS dispositivo envía una solicitud de autorización al servidor TACACS + para obtener el perfil de autorización del usuario. Los perfiles de autorización especifican los permisos de acceso de los usuarios o dispositivos autenticados.

El servidor TACACS + envía el perfil de autorización como parte de un mensaje de respuesta de autorización. El usuario remoto configurado en el servidor TACACS + está asignado a un usuario local configurado en el dispositivo Junos OS. El dispositivo Junos OS combina el perfil de autorización remoto con el perfil de autorización configurado localmente para el usuario, que se configura en eledit system login classnivel de jerarquía [].

El intercambio de mensajes de solicitud de autorización y de respuesta sólo se produce una vez, tras una autenticación correcta, de forma predeterminada. Puede configurar el dispositivo Junos OS para que recupere periódicamente el perfil de autorización remoto desde el servidor TACACS + y que actualice el perfil de autorización almacenado localmente. Esto garantiza que cualquier cambio en los parámetros de autorización se refleja en el dispositivo local sin que el usuario tenga que reiniciar el proceso de autenticación.

Para habilitar la actualización periódica del perfil de autorización, debe establecer el intervalo de tiempo en el que el dispositivo Junos OS comprueba el perfil de autorización configurado de forma remota en el servidor TACACS +. Si se produce un cambio en el perfil de autorización remoto, el dispositivo recopila el perfil de autorización desde el servidor TACACS + y el perfil de autorización configurado en la jerarquía de clases login. El dispositivo actualiza el perfil de autorización almacenado localmente mediante la combinación de los perfiles de autorización remotos y configurados localmente.

El intervalo de tiempo puede configurarse directamente en el servidor TACACS + o localmente en el Junos OS dispositivo con la CLI. El intervalo de tiempo se configura en minutos, en el rango de 15 a 1440 minutos.

  • Para configurar la actualización periódica del perfil de autorización en el dispositivo local con la CLI, incluya authorization-time-interval la instrucción en [edit system tacplus-options] el nivel de jerarquía:
  • Para configurar el intervalo de tiempo para la actualización periódica en el servidor TACACS +, agregue el intervalo de tiempo como parámetro en el perfil de autorización con la siguiente sintaxis:

Utilice las siguientes directrices para determinar el intervalo de tiempo que tiene prioridad la configuración:

  • Si no hay un intervalo de tiempo de actualización configurado en el servidor TACACS + para una actualización periódica, el dispositivo Junos OS no recibe el valor del intervalo de tiempo en la respuesta de autorización. En este caso, entrará en vigor el valor configurado localmente en el Junos OS dispositivo.

  • Si el intervalo de tiempo de actualización se configura en el servidor TACACS + y no hay un intervalo de tiempo de actualización configurado localmente en el dispositivo Junos OS, entrará en vigor el valor configurado en el servidor TACACS +.

  • Si se configura el intervalo de tiempo de actualización en el servidor TACACS + y también en el dispositivo Junos OS localmente, tendrá prioridad el valor configurado en el servidor TACACS +.

  • Si no hay un intervalo de tiempo de actualización configurado en el servidor TACACS + y no se ha configurado un intervalo de tiempo de actualización en el dispositivo Junos OS, no se realizará ninguna actualización periódica.

  • Si el intervalo de actualización configurado en el servidor TACACS + está fuera del rango o no es válido, el valor del intervalo de tiempo de actualización configurado localmente entrará en vigor.

  • Si el intervalo de actualización configurado en el servidor TACACS + está fuera del rango o no es válido, y no hay un intervalo de tiempo de actualización configurado localmente, no se realizará ninguna actualización periódica.

Después de establecer el intervalo de tiempo de actualización periódica, si el usuario cambia el intervalo de actualización antes de que la solicitud de autorización se envíe desde el dispositivo de Junos OS, el intervalo de actualización actualizado surte efecto después de la siguiente actualización periódica inmediata.

Uso de expresiones regulares en un servidor RADIUS o TACACS + para permitir o denegar el acceso a los comandos

Utilice expresiones regulares para especificar los comandos de modo operativo o de configuración permitidos o denegados cuando utilice un servidor RADIUS o TACACS + para la autenticación de usuarios. Puede especificar las expresiones regulares mediante los RADIUS de Juniper Networks específicos del proveedor o los atributos TACACS + en la configuración del servidor de autenticación.

Se admiten los siguientes atributos para configurar las autorizaciones en los servidores de RADIUS y TACACS +:

  • user-permissions

  • allow-configuration

  • deny-configuration

  • allow-commands

  • deny-commands

  • allow-configuration-regexp

  • deny-configuration-regexp

  • (Solo TACACS +)allow-commands-regexp

  • (Solo TACACS +)deny-commands-regexp

Se puede especificar allow-configuration, deny-configurationallow-commands, o deny-commands en una única expresión regular extendida, si se cierran varios comandos entre paréntesis y se separan con el símbolo de la barra vertical (Pipe). Por ejemplo, puede especificar varios allow-commands parámetros utilizando: allow-commands= (cmd1 | cmd2 | cmdn). Puede especificar user-permissions una lista de valores separados por comas, y no como una expresión regular.

Para configurar las autorizaciones mediante allow/deny-configuration-regexps los allow/deny-commands-regexps atributos o, puede configurar un conjunto de cadenas en las que cada cadena sea una expresión regular, encerrada entre comillas dobles y separada por un operador de espacio. Por ejemplo, puede especificar varios parámetros para allow-commands-regexp utilizar la sintaxis siguiente: allow-commands-regexps = (“regexp1” “regexp2”...).

En un servidor RADIUS o TACACS +, también puede utilizar una versión simplificada para expresiones regulares en las que especifique cada expresión individual en una línea independiente. La versión simplificada es válida allow-commandspara deny-commandsatributos allow-configurationespecíficos deny-configurationde, permissions ,, y del proveedor.

Para un servidor RADIUS, especifique las expresiones regulares individuales con la siguiente sintaxis:

Para TACACS + Server, especifique las expresiones regulares individuales con la siguiente sintaxis:

Nota:
  • Los valores numéricos de 1 a n en la sintaxis (para el servidor TACACS+) deben ser únicos pero no deben ser completos. Por ejemplo, la sintaxis siguiente es válida:

  • El servidor TACACS + o RADIUS Server impone el límite del número de líneas de las expresiones regulares individuales.

  • Cuando se ejecuta el show cli authorization comando, el resultado del comando muestra la expresión regular en una sola línea, aunque se especifique cada expresión individual en una línea independiente.

Para obtener más información acerca de Juniper Networks atributos de RADIUS y TACACS+ específicos del proveedor, consulte Juniper Networks Atributos DE TACACS+ específicosdel proveedor RADIUS y LDAP Juniper Networks específicos del proveedor.

Nota:

Cuando se configura la autenticación RADIUS o TACACS + para un enrutador, las expresiones regulares configuradas en el servidor RADIUS o TACACS + se combinan con cualquier expresión regular [edit system login class] configurada en allow-commandsel deny-commandsenrutador local en el nivel jerárquico mediante las instrucciones,, allow-configurationdeny-configuration, o permissions . Si la expresión final tiene un error de sintaxis, el resultado global es una expresión regular no válida.

Atributos TACACS + específicos de los Juniper Networks proveedores

Junos OS admite la configuración de los atributos específicos de los proveedores Juniper Networks TACACS + (VSA). Estos VSA se encapsulan en un atributo TACACS + específico del proveedor con el ID de proveedor establecido en el Juniper Networks número de ID., 2636. Tabla 1 enumera los Juniper Networks VSA que puede configurar.

Tabla 1: Atributos TACACS + específicos de los Juniper Networks proveedores

Nombre

Descripción

Alarga

Alfanumérico

local-user-name

Indica el nombre de la plantilla de usuario utilizada por este usuario al iniciar sesión en un dispositivo.

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles.

allow-commands

Contiene una expresión regular extendida que permite al usuario ejecutar comandos de modo operativo, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

allow-configuration

Contiene una expresión regular extendida que permite al usuario ejecutar comandos del modo de configuración, además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

deny-commands

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos de modo operativo autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

deny-configuration

Contiene una expresión regular extendida que niega el permiso del usuario para ejecutar comandos de modo de configuración autorizados por los bits de permiso de clase de inicio de sesión del usuario.

≥3

Uno o más octetos que contienen caracteres ASCII imprimibles, en forma de una expresión regular extendida. Consulte expresiones regulares para permitir y denegar Junos os comandos del modo de funcionamiento, instrucciones de configuración y jerarquías.

user-permissions

Contiene información que el servidor utiliza para especificar permisos de usuario.

Nota:

Cuando el atributo está configurado para otorgar Junos OS o permisos en un servidor user-permissionsmaintenanceall TACACS+ IPv4 o IPv6, la membresía del grupo de ruedas UNIX no se agrega automáticamente a la lista de membresías de grupo de un usuario. Algunas operaciones, como ejecutar el su root comando desde un shell local, requieren permisos de pertenencia a grupo de rueda. Sin embargo, cuando un usuario está configurado localmente con los maintenance permisos allo, el usuario recibe automáticamente la pertenencia al grupo de ruedas de Unix. Por lo tanto, se recomienda crear una cuenta de usuario de plantilla con los permisos necesarios y asociar cuentas de usuario individuales a la cuenta de usuario de plantilla.

≥3

Uno o más octetos que contengan caracteres ASCII imprimibles. Consulte Descripción de los niveles de privilegios de Junos os acceso.

authentication-type

Indica el método de autenticación (base de datos local, o servidor TACACS +) utilizado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra "local". Si el usuario se autentica mediante el servidor TACACS+, el valor del atributo muestra "remoto".

≥5

Uno o más octetos que contengan caracteres ASCII imprimibles.

session-port

Indica el número de puerto de origen de la sesión establecida.

tamaño del entero

Valor entero

Configuración de la contabilidad de sistemas TACACS +

Puede usar TACACS + para realizar seguimientos y registrar los inicios de sesión de software, cambios de configuración y comandos interactivos. Para auditar estos eventos, incluya las siguientes instrucciones en [edit system accounting] el nivel de jerarquía:

Las tareas para configurar la contabilidad de sistemas TACACS + son:

Especificación de eventos de auditoría y contabilidad de TACACS +

Para especificar los eventos que desea auditar cuando utilice un servidor TACACS + para la autenticación, incluya events la instrucción en [edit system accounting] el nivel de jerarquía:

eventses uno o más de los siguientes:

  • login: inicios de sesión de auditoría

  • change-log: cambios de configuración de auditoría

  • interactive-commands: auditoría de comandos interactivos (cualquier entrada de línea de comandos)

Configuración de la contabilidad de servidores TACACS +

Para configurar la contabilidad de servidores TACACS +, server incluya la instrucción [edit system accounting destination tacplus] en el nivel de jerarquía:

server-addressEspecifica la dirección del servidor TACACS +. Para configurar varios servidores TACACS +, incluya varias server instrucciones.

Nota:

Si no se configura ningún servidor TACACS + en [edit system accounting destination tacplus] el nivel de la jerarquía de instrucciones, el Junos os utilizará los servidores [edit system tacplus-server] TACACS + configurados en el nivel de jerarquía.

Recomendamos que agregue la siguiente configuración en el nivel [edit system accounting destination tacplus] de la jerarquía de instrucciones para identificar un destino y que ayude a evitar la generación de una condición de error:

port-numberespecifica el número de puerto del servidor TACACS +.

routing-instance routing-instancees el nombre de la instancia de enrutamiento usada para enviar y recibir paquetes TACACS +. De forma predeterminada, Junos OS enruta los paquetes de autenticación, autorización y administración de cuentas para TACACS + a través de la instancia de enrutamiento predeterminada. A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir paquetes TACACS + de enrutamiento a través de una interfaz de administración en una instancia VRF no predeterminada denominada mgmt_junos. Para obtener más información acerca de esta instancia de administración Configuración de TACACS + para utilizar la instancia de administraciónVRF, consulte. A partir de Junos OS versión 18.2 R1, puede enrutar tráfico TACACS + a través de cualquier instancia de distribución que configure en contabilidad.

Debe especificar un secreto (contraseña) que el enrutador o conmutador local pase al cliente TACACS + al incluir la secret instrucción. Si la contraseña contiene espacios, escriba la contraseña completa entre comillas (" "). La contraseña utilizada por el conmutador o enrutador local debe coincidir con la utilizada por el servidor.

Opcionalmente, puede especificar el tiempo que esperará el enrutador o conmutador local para recibir una respuesta de un servidor TACACS + mediante la inclusión de timeout la instrucción. De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurarlo para que sea un valor en el intervalo de 1 a 90 segundos.

Opcionalmente, puede mantener una conexión TCP abierta con el servidor para varias solicitudes, en lugar de abrir una conexión para cada intento de conexión, si incluye single-connection la instrucción.

Para garantizar que las solicitudes Start y STOP para la contabilidad de eventos de inicio de sesión se registran correctamente en el archivo de contabilidad, en lugar de hacerlo en el archivo de no-cmd-attribute-value registro de administración exclude-cmd-attribute de un [edit system tacplus-options] servidor TACACS +, incluya la instrucción o el en el nivel de la jerarquía.

Si utiliza la no-cmd-attribute-value instrucción, el valor del cmd atributo se establece en una cadena nula en las solicitudes Start y STOP. Si utiliza la exclude-cmd-attribute instrucción, el cmd atributo se excluye totalmente de las solicitudes Start y STOP. Ambas instrucciones admiten el registro correcto de solicitudes de cuentas en el archivo de control, en lugar del archivo de administración.

Configuración de TACACS + para utilizar la instancia de administración

De forma predeterminada, Junos OS enruta los paquetes de autenticación, autorización y administración de cuentas para TACACS + a través de la instancia de enrutamiento predeterminada. A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir una interfaz de administración en una instancia VRF no predeterminada.

Cuando la routing-instance mgmt_junos opción está configurada tanto tacplus-server server-address en el tacplus server server-ip como en las instrucciones management-instance , siempre y cuando la instrucción también esté configurada, los paquetes TACACS + se enrutan a través de la instancia de administración mgmt_junos.

Nota:

La routing-instance mgmt_junos opción debe estar configurada tanto tacplus-server en el tacplus server como en las instrucciones. Si no es así, incluso management-instance si la instrucción está configurada, los paquetes TACACS + seguirán enviándose únicamente con la instancia de enrutamiento predeterminada.

Para obtener más detalles acerca de esta instancia de administración, consulte Management-Instance.

Configuración de la contabilidad de TACACS + en un enrutador de matriz TX

En un enrutador de matriz de transmisión, la contabilidad de TACACS + solo re0 debe re1configurarse en los grupos y.

Nota:

Las cuentas no deben configurarse [edit system] en la jerarquía; en un enrutador de matriz de transmisión, el control se realiza únicamente bajo el chasis de la tarjeta de conmutación.

Tabla de historial de versiones
Liberación
Descripción
18.2R1
A partir de Junos OS versión 18.2 R1, puede enrutar tráfico TACACS + a través de cualquier instancia de enrutamiento que configure en autenticación.
18.2R1
A partir de Junos OS versión 18.2 R1, puede enrutar tráfico TACACS + a través de cualquier instancia de distribución que configure en contabilidad.
17.4R1
A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir paquetes TACACS + de enrutamiento a través de una interfaz de administración en una instancia VRF no predeterminada denominada mgmt_junos.
17.4R1
A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir una interfaz de administración en una instancia VRF no predeterminada.
17.4R1
A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir paquetes TACACS + de enrutamiento a través de una interfaz de administración en una instancia VRF no predeterminada denominada mgmt_junos.
17.4R1
A partir de Junos OS Release 17.4 R1, se mejoró el comportamiento de TACACS + existente para admitir una interfaz de administración en una instancia VRF no predeterminada.