Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

LDAP через аутентификацию TLS

Сервер Junos OS поддерживает аутентификацию и авторизацию LDAP по TLS (LDAPS) Junos OS пользователя с помощью обеспечения безопасности TLS между устройством, работающим Junos OS (который является клиентом LDAPS) и сервером LDAPS. Дополнительные сведения можно получить на этом тему.

Аутентификация LDAP через TLS

Junos OS аутентификации пользователей

Junos OS аутентификации пользователей, которые пытаются войти в систему локально или с помощью централизованной базы данных. Локализованная аутентификация или авторизация возможна для пользователей, имя пользователя и пароль которых настроены с Junos OS интерфейс командной строки или RPC. В Junos OS выпуске 20.2R1, Junos OS поддерживает безопасность TLS (LDAPS) LDAP и обеспечивает безопасную передачу данных между клиентом LDAPS и сервером LDAPS.

В версиях, не Junos OS в 20.2R1, Junos OS поддерживает централизованную аутентификацию и авторизацию пользователей с помощью стандартных RADIUS и протоколов TACACS.

Рис. 1: Настройка централизованной аутентификации, авторизации и учета (AAA)Настройка централизованной аутентификации, авторизации и учета (AAA)

Junos OS поддерживают эти методы аутентификации пользователя:

  • Аутентификация локального пароля

  • LDAP через TLS (LDAPS)

  • RADIUS

  • TACACS+

Преимущества аутентификации LDAP по TLS

  • Encryption and data integrity- LDAPS обеспечивает шифрование учетных данных пользователя, что обеспечивает сохранение конфиденциальности данных. Пользователь шифрует данные с помощью частного ключа, и только предполагаемый получатель, обладающий этим ключом, может расшифровать подписанные данные с помощью общего ключа подписаника. Это обеспечивает целостность данных.

  • Enhanced security— Протокол TLS обеспечивает надежную передачу и получение данных по сети. TLS использует сертификаты для аутентификации и шифрования данных, что обеспечивает более совершенные средства обеспечения безопасности.

  • Scalability- LDAPS обеспечивает более емкие характеристики и масштабируемость без потерь надежности. Количество пользователей, поддерживаемых с помощью этой функции, не ограничивается, так как пользователи поддерживают собственные сертификаты, а аутентификация сертификатов включает только обмен данными между клиентом и сервером.

Поддерживаемые и неподдермываемые функции

  • Junos OS поддерживает LDAPS только для аутентификации и авторизации пользователя. Junos OS учета не поддерживается. через LDAPS.

  • Клиент LDAPS реализуется и интегрирован в Junos OS. Однако реализация сервера LDAPS на Junos OS не поддерживается. Вместо этого эта функция реализуется с помощью сервера OpenLdap 2.4.46.

Обзор LDAP

Облегченный протокол доступа к каталогам (LDAP) является стандартным протоколом прикладных технологий для доступа и обслуживания распределенной информации о каталогах через сеть Интернет-протокол (IP). Аутентификацию и авторизацию можно выполнить, используя следующий набор функций безопасности LDAP, таких как:

  • Поиск

  • Получить

  • Обработка содержимого каталога

транспортный уровень безопасности (TLS) Обзор

TLS – это протокол уровня приложений, который предоставляет технологию шифрования для Интернета. Это наиболее широко используемый протокол безопасности для приложений, для обмена данными через сеть требуется безопасный обмен данными, например, передача файлов, VPN-соединения, обмен мгновенными сообщениями и передача голосовых данных по IP (VoIP). TLS использует сертификаты и пары обмена частными ключами для обеспечения защищенной передачи данных между клиентом LDAPS и сервером LDAPS. LDAPS использует локальные сертификаты, динамически полученные из Junos открытых ключей (PKI) .

TLS обеспечивает эффективную передачу данных между клиентом и сервером и обеспечивает конфиденциальность данных, аутентификацию, конфиденциальность и целостность данных. Можно использовать протокол TLS для обмена сертификатами, взаимной аутентификации и согласования шифров, чтобы защитить поток от потенциального взлома и взлома неустойки.

Как работает аутентификация LDAPS

Для обеспечения безопасной поддержки LDAPS для входа Junos OS оператора учетные данные пользователя и конфигурации хранятся либо на сервере LDAPS, либо в базах данных, поддерживаемых LDAP. Клиент LDAPS на устройстве, на Junos OS, взаимодействует с настроенным сервером LDAPS. Для этого клиент LDAPS реализуется и интегрирован в составе устройства, на Junos OS.

Рис. 2 показывает процесс аутентификации LDAPS.

Рис. 2: Процесс аутентификации LDAPSПроцесс аутентификации LDAPS
  1. Удаленный пользователь регистрется на устройстве, Junos OS через SSH, TELNET или любую другую утилиту входа.

  2. Клиент LDAPS (которое является устройством, работающим на Junos OS) устанавливает TCP-соединение с сервером авторизации LDAPS, используя запрос протокола TLS.

  3. После того, как клиент получает TLS-ответ, клиент и сервер аутентификация их личные данных.

  4. Клиент LDAPS аутентификационирует себя с помощью учетной записи прокси, которая предварительно сконфигурна на сервере LDAPS с помощью запроса привязки binddnbindpw (и).

  5. Если операция привязки успешна, сервер LDAPS отправляет подтверждение клиенту LDAPS.

  6. Затем клиент LDAPS отправляет на сервер LDAPS запрос на аутентификацию с учетными данными пользователя, пытаемого войти в систему.

  7. После успешной авторизации клиент LDAPS извеает пользователя об успешном входе в систему. Данные авторизации пользователя сохраняются в файл, который будет использоваться в дальнейшем для выполнения авторизации.

  8. Клиент закрывает соединение с сервером LDAPS.

Настройка аутентификации LDAP через TLS

LDAP по TLS (LDAPS) – это способ аутентификации пользователей, которые пытаются получить доступ к устройству, Junos OS с безопасностью TLS между клиентом LDAPS и сервером LDAPS. Данная тема включает в себя следующие задачи:

Настройка порядка аутентификации

Junos OS аутентификации пользователей: аутентификация локального пароля, LDAP по TLS (LDAPS), RADIUS, TACACS+.

Можно использовать утверждение для приоритизации порядка, в котором Junos OS различные методы аутентификации при проверке доступа пользователя к устройству, на котором authentication-order Junos OS. Если порядок аутентификации не законфигурирован, Junos OS пользователей на основе настроенных паролей.

Если пользователь пытается войти в систему, и если параметр настроен, учетные данные передаются внешнему серверу authentication-orderldaps LDAP для проверки пользователем.

Чтобы настроить порядок аутентификации, включите утверждение authentication-order на [edit system] иерархическому уровне:

Например:

Ниже возможен порядок входа в порядок аутентификации:

  • ldaps- Проверьте пользователя, использующем безопасные серверы аутентификации LDAP.

  • password- Проверьте пользователя, используя имя пользователя и пароль, настроенные локально, включив в нее утверждение на authentication-order[edit system login user] уровне иерархии.

  • radius- Проверьте пользователя, используюго RADIUS аутентификации.

  • tacplus-Проверьте пользователя, используюго серверы аутентификации TACACS+.

Настройка клиента LDAPS

Настройка аутентификации LDAP на клиенте:

  1. Настройте адрес сервера IPv4 или IPv6.

    Например, настройте следующий адрес IPv4 или IPv6:

    Адрес сервера является уникальным адресом IPv4 или IPv6, который присвоен определенному серверу LDAP и используется для маршрутной информации на сервер.

  2. Настройте отличительное имя базы поиска (LDAP base), которая определяет базу каталога пользователя. Каждая запись в каталоге имеет отличительное имя (DN). DN — это имя, которое уникальным образом идентифицирует запись в каталоге.

    Например, если домен example.com, синтаксис – dc=example, dc=com.

  3. Настройте отличительное имя () для binddn связи клиента LDAPS с сервером LDAPS.

    Например, если домен example.com, синтаксис – dc=example, dc=com. cn - это общее имя.

  4. Настройка общего ключа (LDAP) bindpw пароля.

    Например, чтобы установить пароль как секретный:

  5. Чтобы включить LDAPS, необходимо указать имя локального сертификата. Для получения сведений о настройке локального сертификата центр сертификации (CA) см. "Настройка цифровых сертификатов". Укажите имя локального сертификата, который будет использоваться для TLS-связи.

    Локальный запрос цифрового сертификата генерируется с помощью подписывания сертификатов в автономном режиме и установки request security pki generate-certificate-request. на устройстве с использованием. request security pki ca-certificate load

    Например, чтобы указать имя локального сертификата как ldap-tls-cert:

    Прим.:

    Имя сертификата – имя пары открытых и частных ключей, добавленных к локальному цифровому сертификату, который добавляется с помощью request security pki ca-certificate load

  6. Укажите порт на сервере LDAPS, к которому клиент LDAPS может подключиться.

    Например, чтобы установить для сервера LDAPS номер порта 432:

  7. По умолчанию Junos OS маршрутизацию пакетов аутентификации и авторизации для LDAPS через экземпляр маршрутизации по умолчанию. LDAPS также поддерживает интерфейс управления в экземпляре VRF, не по заданным заданным номерам.

    При настройке параметра для утверждения интерфейса управления и интерфейсов управления экземпляры управления маршрутялизют mgmt_junosrouting-instancemgmt_junos пакеты LDAPS.

    Например:

Настройка сервера LDAPS

Сервер OpenLDAP является одной из открытых реализаций LDAP и LDAPS. С помощью сервера OpenLDAP 2.4.46 реализована функция LDAP по TLS-аутентификации и авторизации.

Прим.:

Можно настроить не более двух серверов LDAPS.

Для настройки обычного сервера OpenLDAP:

  1. Определите типы атрибутов для параметров авторизации пользователя LDAP в файле схемы сервера LDAP.

    Для обычного сервера OpenLDAP атрибут может быть nis.schema частью:

  2. Включите файл схемы, определенный как часть шага 1 в файле конфигурации сервера LDAP. Для обычного сервера OpenLDAP определения можно загрузить на сервер LDAP, определив в файле атрибуты и включив nis.schemanis.schema файл slapd.conf схемы.
  3. Настройте параметры авторизации пользователя в файле обмена данными LDAP (LDIF).

    Например:

  4. Загрузит конфигурацию пользователя на работающий сервер LDAP. При обычной установке OpenLDAP можно загрузить файл LDIF с помощью следующей команды:

После выполнения предыдущих действий любой клиент может войти в систему с иным и паролем, указанным в файле LDIF.

Настройка параметров TLS

Протокол TLS обеспечивает надежную передачу и получение данных по сети. TLS использует сертификаты для аутентификации и шифрования данных. Клиент аутентификацию сервера запрашивает его сертификат и открытый ключ. Кроме того, сервер может запросить сертификат у клиента, чтобы обеспечить взаимную аутентификацию.

Для успешного завершения TLS-подтверждения клиент должен иметь профиль центр сертификации (CA) для проверки сертификата сервера. Клиентские параметры могут CA на сервере. Однако, если сервер обязет сертификат клиента, сервер должен иметь клиентский сертификат CA чтобы проверить сертификат. Позже для шифрования данных используется открытый ключ и частный ключ.

Профиль CA определяет каждый параметр, связанный с конкретным сертификатом, для установления безопасного соединения между двумя конечными точками. Дополнительные сведения о настройке профилей CA см. в certificate Authority.

Для настройки параметров TLS необходимо выполнить следующие задачи:

  • Настройте трассировки для инфраструктуры открытых ключей безопасности (PKI).

  • Создайте CA профиль.

  • Создайте проверку отзыва, чтобы указать метод проверки отзыва сертификата.

  1. Настройте трассировки PKI, если необходимо получить сообщения sylog от PKI.
    • Для трассировки сообщений syslog от проверки сертификата TLS во время начального пожатия:

    • Для трассировки вывода сообщений syslog в файл:

      Например, для трассировки выходных данных в файл ldap_pki файл:

  2. Создайте профиль CA для проверки сертификата сервера.

    Корневой сертификат выдан доверенным лицом CA. Подчиненным CA является CA сертификаты корневого CA объекта. Корневой CA подписан и подписывает все подчиненные ЦС непосредственно под ней. Эти ЦС, в свою очередь, подписывают объекты, указанные ниже, либо дополнительные подчиненные ЦС, либо сертификаты оконечного объекта.

    Чтобы создать корневой CA:

    Для создания подчиненного CA:

  3. Создайте проверку отзыва, чтобы указать метод проверки отзыва сертификата.

Настройка параметров администрирования системы для аутентификации LDAPS

В рамках данной конфигурации создаются административные параметры для пользователей с аутентификацией LDAP.

Пользователи, аутентифцированные на LDAPS, могут назначать различные шаблоны пользователей и классы входа. Это позволяет пользователям, аутентификациям LDAPS, получить различные административные разрешения на устройстве, на Junos OS. По умолчанию пользователи, аутентифицируемые по LDAPS, используют шаблон пользователя, если он настроен, и пользователям, аутентифицируемым по LDAPS, назначен связанный класс, указанный в пользовательском remoteremote шаблоне.

Имя пользователя является remote особым случаем в Junos OS. Он служит шаблоном для пользователей, аутентификацию которые аутентификации имеют удаленный сервер, но не имеют локально настроенной учетной записи пользователя на устройстве. В этом методе Junos OS разрешения удаленного шаблона к аутентификационным пользователям без локально определенной учетной записи. Все пользователи, привязаные к удаленному шаблону, имеют один и тот же класс входа.

В конфигурации Junos OS настраивается пользовательский шаблон точно так же, как и обычная учетная запись локального пользователя, за исключением того, что локальный пароль аутентификации не настраивается, поскольку аутентификация выполняется удаленно на сервере LDAPS.

Чтобы назначить классы входа, разрешения и зашифрованный пароль для пользователей, аутентифцированных по LDAPS, выполните следующие действия:

  1. Назначьте класс входа.

    Например:

  2. Назначьте разрешения классу входа. Можно назначить все разрешения для пользователей, аутентификацию по LDAPS или специальные разрешения различным пользователям.

    Назначение всех разрешений пользователям, аутентификациям по запросу на LDAPS:

    Например:

    Чтобы указать разрешения для различных пользователей, сделайте одну из следующих задач:

    • Создайте несколько шаблонов пользователей в Junos OS конфигурации.

    • Укажите на сервере LDAPS шаблон, который будет применяться к аутентификацию пользователю.

    Создайте несколько шаблонов пользователей в Junos OS конфигурации.

    Каждому шаблону пользователя может быть назначен другой класс входа.

    Например:

    Укажите на сервере LDAPS шаблон, который будет применяться к аутентификацию пользователю.

    Чтобы сервер LDAPS указать, какой пользовательский шаблон необходимо использовать, он должен включить атрибут juniperLocalUserName (Поставщик 2636, тип 1, строка) Juniper VSA (атрибут, определенный поставщиком) в сообщение LDAPS Access-Accept, которое указывает пользовательский шаблон, который будет использоваться в устройстве Junos OS. Значение строки в juniperLocalUserName должно соответствовать имени настроенного пользовательского шаблона на устройстве. Список соответствующих Juniper vsAS LDAPS Juniper Networks атрибуты RADIUS LDAP, определенных поставщику см. в .

    В примере на предыдущем шаге строка будет RO, OP или однопользовательский. Конфигурация сервера LDAPS зависит от используемого сервера.

    Если атрибут juniperLocalUserName не содержится в сообщении Access-Accept или строка содержит имя шаблона пользователя, которое не существует на устройстве, пользователю, если он настроен, будет назначен шаблон remote пользователя. Если он не настроен, аутентификация для пользователя не будет аутентификацией.

    После регистрации удаленный аутентификационный пользователь сохраняет то же имя пользователя, что и для входа в систему. Однако пользователь наследует класс пользователя из назначенного шаблона пользователя.

  3. Назначьте зашифрованный пароль для пользователя.

    Необходимо указать пароль в этом encrypted-password указании. Если пароль содержит пробелы, занося его в кавычках. "Секретный" пароль, используемый локальным маршрутизатором, должен совпадать с паролем, используемым сервером.

    Например:

Настройка учетных записей шаблона пользователя для аутентификации пользователей

Настройка учетных записей шаблона локальных пользователей для аутентификации пользователей см. в . Настройка учетных записей шаблона локальных пользователей для аутентификации пользователей

Настройка учетных записей удаленного шаблона для аутентификации пользователей см. в . Настройка учетных записей удаленного шаблона для аутентификации пользователей

Juniper Networks атрибуты RADIUS LDAP, определенных поставщику

Junos OS поддерживает настройку атрибутов Juniper Networks RADIUS поставщиков LDAP. Эти VSAS инкапсулированы в RADIUS и LDAP, специфический для поставщика атрибут с ID поставщика, который Juniper Networks ID, 2636. Табл. 1 перечисляет Juniper Networks vsAs, которые можно настроить.

Табл. 1: Juniper Networks атрибуты RADIUS LDAP, определенных поставщику

Имя

Описание

Тип

Длина

Строка

Juniper -Local-User-Name

Указывает имя шаблона пользователя, используемого при входе на устройство. Этот атрибут используется только в пакетах Access-Accept.

1

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-Allow-Commands

Содержит расширенное регулярное выражение, которое позволяет пользователю запускать команды рабочего режима в дополнение к командам, авторизованным битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

2

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения. См. "Регулярные выражения для разрешение и запрета команд Junos OS operational mode", "Утверждения конфигурации и иерархии".

Juniper-deny-commands

Содержит расширенное регулярное выражение, которое не разрешает пользователю запускать команды режима работы, авторизованные битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

3

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения. См. "Регулярные выражения для разрешение и запрета команд Junos OS operational mode", "Утверждения конфигурации и иерархии".

Juniper-allow-configuration

Содержит расширенное регулярное выражение, которое позволяет пользователю запускать команды режима конфигурации в дополнение к командам, авторизованным битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

4

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения. См. "Регулярные выражения для разрешение и запрета команд Junos OS operational mode", "Утверждения конфигурации и иерархии".

Juniper-deny-configuration

Содержит расширенное регулярное выражение, которое не разрешает пользователю запускать команды конфигурации, авторизованные битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

5

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения. См. "Регулярные выражения для разрешение и запрета команд Junos OS operational mode", "Утверждения конфигурации и иерархии".

Juniper-интерактивная команда

Показывает интерактивную команду, введенную пользователем. Этот атрибут используется только в пакетах учета-запросов.

8

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-конфигурация

Показывает интерактивную команду, которая приводит к изменению конфигурации (базы данных). Этот атрибут используется только в пакетах учета-запросов.

9

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-пользовательские разрешения

Содержит информацию, которую сервер использует для указания пользовательских разрешений. Этот атрибут используется только в пакетах Access-Accept.

Прим.:

Когда атрибут настроен для предоставления Junos OS или разрешений для сервера Juniper-User-Permissionsmaintenance RADIUS и LDAP, членство в группе подуровний UNIX автоматически не добавляется в список участников группы all пользователей. Некоторые операции, такие как запуск команды su root из локальной оболочки, требуют разрешений участия в группе управления. Однако, когда пользователь настраивается локально с разрешениями или пользователь автоматически получает членство в maintenanceall группе приводов UNIX. Поэтому рекомендуется создать учетную запись пользователя с требуемой учетной записью шаблона и связать отдельные учетные записи пользователей с учетной записью пользователя.

10

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Строка – это список флагов разрешений, разделенных пробелом. Точное имя каждого флага должно быть указано в полном объеме. См. флажкиразрешения на вход в систему.

Juniper-аутентификация

Указывает метод аутентификации (локская база данных, LDAP или RADIUS-сервер), используемый для аутентификации пользователя. Если аутентификация пользователя с использованием локальной базы данных указывается на значение атрибута «local». Если аутентификация пользователя RADIUS или с сервером LDAP, значение атрибута указывает на удаленное значение.

11

≥5

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-session-port

Указывает номер порта источника установленного сеанса.

12

размер в несколько раз

Целое число

Дополнительные сведения о VSAS см. в документах RFC 2138, Remote Authentication Dial In User Service (RADIUS).