Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS аутентификации

Junos OS поддерживает RADIUS для центральной аутентификации пользователей на сетевых устройствах. Чтобы RADIUS аутентификацию на устройстве, вам (сетевому администратору) необходимо настроить информацию об одном или более RADIUS серверах в сети. Можно также настроить на RADIUS учет на устройстве для сбора статистических данных о пользователях, войдя в LAN или выехав из LAN, и отправив данные на RADIUS учета.

Настройка аутентификации RADIUS сервера

RADIUS аутентификация – это способ аутентификации пользователей, которые пытаются получить доступ к сетевому устройству. В следующих разделах описано, почему RADIUS настройку.

Почему RADIUS

Вы (администратор сети) можете использовать различные протоколы для центральной аутентификации пользователей на сетевых устройствах, включая RADIUS и TACACS+. Мы рекомендуем RADIUS, так как он является стандартом IETF от разных сторон, и его функции более широко применяются по сравнению со стандартами TACACS+ или другими проприетарными системами. Кроме того, мы рекомендуем использовать систему с одновековой паролем для повышения безопасности, и все поставщики этих систем поддерживают RADIUS.

При использовании RADIUS приоритетами необходимо использовать возможности и производительность:

  • Возможности использования — RADIUS лучше, чем TACACS+, в первую очередь вследствие фирменной природы TACACS+. Хотя TACACS+ поддерживает больше протоколов, RADIUS поддерживается во всем.

  • Производительность — RADIUS очень часто происходить на маршрутизаторах и коммутаторах. По этой причине сетевые инженеры обычно предпочитают RADIUS TACACS+.

Настройка RADIUS сервера

Чтобы использовать RADIUS аутентификацию на устройстве, настройте сведения об одном или более RADIUS сетевых серверах, включив для каждого сервера на уровне иерархии по одной RADIUS radius-server[edit system] серверу. Устройство запрашивает RADIUS серверы в порядке их настройки. Если основной сервер (первый настроенный) недоступен, устройство пытается связаться с каждым из серверов в списке до получения ответа.

Сетевое устройство может RADIUS пользователей с локально определенной учетной записью пользователя или шаблоном пользователя, определяемой авторизацией. По умолчанию, RADIUS аутентификацией пользователей учетной записи шаблона пользователя, если Junos OS она настроена, remote когда:

  • Аутентификация пользователя не имеет настроенной учетной записи пользователя на локальном устройстве.

  • Сервер RADIUS либо не назначает пользователя локальному шаблону пользователя, либо шаблон, назначаемый сервером, не настраивается на локальном устройстве.

Сервер RADIUS может назначить аутентификацию пользователя другому шаблону пользователя, чтобы предоставить этому пользователю различные административные разрешения. Пользователь сохраняет то же имя пользователя в имени интерфейс командной строки но наследует класс входа, права доступа и эффективный ID пользователя из назначенного шаблона. Если аутентификация RADIUS пользователя не соотносялась с локально определенной учетной записью или шаблоном пользователя и шаблон не remote настроен, аутентификация не происходит.

Прим.:

Имя remote пользователя является особым регистром и всегда должно быть в Junos OS нижнем регистре. Он служит шаблоном для пользователей, аутентификации которых удаленный сервер не имеет локально настроенной учетной записи пользователя на устройстве. применяет разрешения шаблона к аутентификациенным пользователям Junos OSremote без локально определенной учетной записи. Все пользователи, привязаные к remote шаблону, находятся в одном и том же классе входа.

Поскольку удаленная аутентификация настраивается на нескольких устройствах, ее часто настраивают внутри группы конфигураций. Шаги, показанные на этом этапе, находятся в группе конфигураций с и названием global . Использование группы конфигураций необязательно.

Чтобы настроить аутентификацию RADIUS сервером:

  1. Настройте адрес IPv4 или адрес IPv6 RADIUS аутентификации.

    Например:

  2. (Необязательно) Настройте исходный адрес пакета для запросов, отправленных на RADIUS серверу.

    Например:

    Исходный адрес является действительным адресом IPv4 или адресом IPv6, настроенным на одном из интерфейсов маршрутизатора или интерфейсов коммутатора. Если сетевое устройство имеет несколько интерфейсов, которые могут достичь RADIUS, назначьте IP-адрес, который устройство может использовать для всей связи с RADIUS сервером. Это устанавливает фиксированный адрес в качестве адреса источника локально созданных IP-пакетов.

  3. Настройте общий секретный пароль, который сетевое устройство использует для аутентификации с RADIUS сервером.

    Настроенный пароль должен совпадать с паролем, настроенным на RADIUS сервере. Если пароль содержит пробелы, занося его в кавычках. В базе данных конфигурации пароль хранится в зашифрованном виде.

    Например:

  4. (Необязательно) Укажите порт, с которым необходимо связаться RADIUS сервером, если он отличается от порта по умолчанию.

    Порт по умолчанию – 1812 (как указано в RFC 2865).

    Например:

    Прим.:

    Можно также настроить accounting-port утверждение, чтобы указать, на RADIUS сервера для отправки учетных пакетов. Значение по умолчанию — 1813 (как указано в RFC 2866).

  5. (Необязательно) Настройте количество попыток устройства связаться с RADIUS сервером и время ожидания отклика от сервера.

    По умолчанию устройство пытается обратиться к серверу три раза и ждет три секунды. Значение можно настроить от 1 до retry 100 раз и от 1 до timeout 1000 секунд.

    Например, чтобы связаться с RADIUS сервером 2 раза и подождать 10 секунд для ответа:

  6. Укажите порядок аутентификации и включив radius параметр.

    В следующем примере при попытке пользователя войти в систему пользователь сначала RADIUS Junos OS аутентификацию. Если это не удалось, он запрашивает сервер TACACS+. Если проверка связи не удалась, то она пытается аутентификацию с учетными записями пользователя, настроенными локально.

  7. Назначьте класс регистрации RADIUS пользователей, у которых нет локально определенной учетной записи пользователя.

    Учетная запись шаблона пользователя настроена так же, как и учетная запись локального пользователя, за исключением того, что локальный пароль аутентификации не настроен, поскольку RADIUS сервер аутентификации пользователя.

    • Чтобы воспользоваться одинаковыми разрешениями для RADIUS пользователей, аутентификацией, настройте remote шаблон пользователя.

      Например:

    • Для использования различных классов регистрации для RADIUS пользователей с аутентификацией, предоставление им различных разрешений:

      1. Создайте в конфигурации несколько шаблонов Junos OS пользователей. Например:

      2. Настройте сервер RADIUS для настройки аутентификации пользователя в соответствующий шаблон пользователя.

        Установите Juniper -Local-User-Name Juniper VSA (атрибут поставщика 2636, тип 1, строка) имени пользователя, настроенного на устройстве, который в предыдущем примере – RO, OP или однопользовательский. Сервер RADIUS включает атрибут в сообщение access-Accept RADIUS Access-Accept. Аутентификация неуспешна, если устройство не может назначить пользователя локальной учетной записи или шаблону пользователя, и шаблон пользователя remote не настроен.

Настройка RADIUS на использование экземпляра управления

По умолчанию маршрутизация маршрутов аутентификации, авторизации и учета RADIUS через экземпляр Junos OS маршрутизации по умолчанию. Также можно перенаправление RADIUS через интерфейс управления нестандартным экземпляром VRF.

Маршрут RADIUS пакетов через mgmt_junos экземпляр управления:

  1. mgmt_junosАктивить экземпляр управления.

  2. Настройте routing-instance mgmt_junos утверждение для RADIUS аутентификации и RADIUS учета, если они настроены.

Примере: Настройка сервера RADIUS для системной аутентификации

В этом примере система аутентификации настраивается через RADIUS сервер.

Требования

Перед началом работы:

  • Выполните первоначальную настройку устройства. См. руководство по началу работы с устройством.

  • Установите по крайней мере один RADIUS сервер в сети.

Обзор

В этом примере добавляется новый RADIUS с IP-адресом 172.16.98.1. Общий секретный пароль сервера RADIUS radiussecret1. Устройство хранит секретный код в базе данных конфигурации в зашифрованном виде. Наконец, необходимо указать адрес источника, который будет использован устройством RADIUS запросах сервера. В большинстве случаев используется адрес обратной связи устройства, который в данном примере – 10.0.0.1.

На сетевом устройстве можно настроить поддержку нескольких методов аутентификации пользователя, таких как аутентификация локального пароля, RADIUS и TACACS+. При настройке нескольких методов аутентификации можно установить приоритеты в порядке, в котором устройство пробует использовать различные методы. В данном примере устройство сначала настроено на использование RADIUS аутентификации, а затем, если это не удалось, для попытки локальной аутентификации пароля.

Пользователь RADIUS, аутентификацию которого аутентификация, должен учесть локализованную учетную запись пользователя или учетную запись локального шаблона пользователя на сетевом устройстве, определяемую авторизацией. Если аутентификация RADIUS в локальной учетной записи или определенном шаблоне пользователя, пользователю, если он настроен, будет назначен remote шаблон пользователя. В этом примере настраивается remote пользовательский шаблон.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

Чтобы настроить сервер RADIUS для системной аутентификации:

  1. Добавьте новый RADIUS сервер и установите его IP-адрес.

  2. Укажите общий секретный (пароль) сервера RADIUS.

  3. Укажите адрес обратной связи устройства в качестве адреса источника.

  4. Укажите порядок аутентификации устройства и включив radius параметр.

  5. Настройте шаблон remote пользователя и его класс входа.
Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show system команды. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Следующие выходные данные включают в себя только те части иерархии конфигурации, которые относятся к данному примеру.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка конфигурации RADIUS server

Цель

Убедитесь, RADIUS сервер аутентифицирует пользователей.

Действий

Войдите в систему сетевого устройства и убедитесь, что вход в систему успешен. Чтобы убедиться в том, что RADIUS сервер используется для аутентификации, можно попытаться войти с учетной записью, не определяемой локальным паролем аутентификации в конфигурации.

Настройте RADIUS аутентификацию (серия QFX или OCX Series)

RADIUS аутентификация – это способ аутентификации пользователей, которые пытаются получить доступ к маршрутизатору или коммутатору. Задачи, которые необходимо RADIUS аутентификации:

Прим.:

Утверждение source-address не поддерживается на [edit system-radius-server name] уровне иерархии в системе QFabric.

Настройка RADIUS сервера

Чтобы использовать RADIUS аутентификацию на маршрутизаторе или коммутаторе, настройте сведения об одном или более RADIUS сетевых серверах, включив по одной конфигурированию уровня иерархии для каждого RADIUS radius-server[edit system] сервера:

server-address – это адрес RADIUS сервера.

Можно указать порт, с которым можно связаться с RADIUS сервером. По умолчанию используется номер порта 1812 (как указано в RFC 2865). Также можно указать порт учета для отправки учетных пакетов. Значение по умолчанию — 1813 (как указано в RFC 2866).

Необходимо указать пароль в этом secret password указании. Если пароль содержит пробелы, занося его в кавычках. Секретный секрет, используемый локальным маршрутизатором или коммутатором, должен совпадать с секретом, используемым сервером.

Дополнительно можно указать время ожидания ответа локального маршрутизатора или коммутатора от сервера RADIUS (в утверждениях) и количество попыток маршрутизатора или коммутатора обратиться к RADIUS аутентификации timeoutretry сообщении). По умолчанию маршрутизатор или коммутатор ждет 3 секунды. Можно настроить это значение от 1 до 90 секунд. По умолчанию маршрутизатор или коммутатор трижды подключается к серверу. Можно настроить это значение от 1 до 10 раз.

Это утверждение можно source-address использовать для указания логического адреса отдельных серверов или нескольких RADIUS серверов.

Для настройки нескольких RADIUS, включив в себя radius-server несколько еконфигурирований.

Для настройки набора пользователей, для работы с одной учетной записью для целей авторизации, необходимо создать пользователя шаблона. Чтобы сделать это, user включим утверждение на [edit system login] уровне иерархии, как описано в Примере: Настройка порядка аутентификации .

Можно также настроить аутентификацию RADIUS на уровне [edit access] иерархии и на [edit access profile] иерархии. Junos OS для определения набора серверов, используемых для аутентификации, используется следующий порядок поиска:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Настройка MS-CHAPv2 для поддержки смены пароля

Прежде чем настраивать MS-CHAPv2 для поддержки изменения пароля, убедитесь, что вы:

  • Настройте параметры RADIUS сервера.

  • Установите authentication-order исходное время для RADIUS пароля.

Для поддержки изменения паролей можно настроить microsoft реализацию протокола аутентификации кжатия вызова версии 2 (MS-CHAPv2) на маршрутизаторе или коммутаторе. Эта функция предоставляет пользователям доступ к маршрутизатору или коммутатору возможность изменения пароля по истечении срока действия пароля, переустановки или изменения при следующем входе в систему.

Чтобы настроить MS-CHAP-v2, включим следующие утверждения на [edit system radius-options] уровне иерархии:

В следующем примере показаны утверждения для настройки протокола пароля MS-CHAPv2, порядка аутентификации пароля и учетных записей пользователей:

Указание адреса источника для доступа Junos OS доступа к внешним RADIUS серверам

Можно указать адрес источника, который Junos OS при доступе к сети для связи с внешним RADIUS сервером для аутентификации. Можно также указать адрес источника, который Junos OS при обращении к RADIUS серверу для отправки учетной информации.

Чтобы указать адрес источника для RADIUS сервера, включим в него утверждение source-address на [edit system radius-server server-address] уровне иерархии:

исходный адрес – допустимый IP-адрес, настроенный на одном из интерфейсов маршрутизатора или интерфейсов коммутаторов.

Juniper Networks атрибуты RADIUS LDAP, определенных поставщику

Junos OS на сервере аутентификации Juniper Networks RADIUS аутентификации и атрибутов, определенных поставщиком LDAP. Эти VSAS инкапсулированы в RADIUS или LDAP, специфический для поставщика атрибут с ID поставщика, Juniper Networks ID, 2636.

Табл. 1 перечисляет Juniper Networks списки VSAs, которые можно настроить.

Некоторые атрибуты принимают расширенные регулярные выражения, как определено в POSIX 1003.2. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. Дополнительные сведения см. в.

Табл. 1: Juniper Networks атрибуты RADIUS LDAP, определенных поставщику

Имя

Описание

Тип

Длина

Строка

Juniper -Local-User-Name

Указывает имя шаблона пользователя, назначенного этому пользователю при входе пользователя на устройство. Этот атрибут используется только в пакетах Access-Accept.

1

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-Allow-Commands

Содержит расширенное регулярное выражение, которое позволяет пользователю запускать команды в дополнение к командам, авторизованным битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

2

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

Juniper-deny-commands

Содержит расширенное регулярное выражение, которое не разрешает пользователю запускать команды, авторизованные битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

3

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

Juniper-allow-configuration

Содержит расширенное регулярное выражение, которое позволяет пользователю просматривать и изменять выражения конфигурации в дополнение к выражениям, авторизованным битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

4

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

Juniper-deny-configuration

Содержит расширенное регулярное выражение, которое не разрешает пользователю просматривать или изменять выражения конфигурации, авторизованные битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

5

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

Juniper-интерактивная команда

Показывает интерактивную команду, введенную пользователем. Этот атрибут используется только в пакетах учета-запросов.

8

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-конфигурация

Показывает интерактивную команду, которая приводит к изменению конфигурации (базы данных). Этот атрибут используется только в пакетах учета-запросов.

9

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-пользовательские разрешения

Содержит информацию, которую сервер использует для указания пользовательских разрешений. Этот атрибут используется только в пакетах Access-Accept.

Прим.:

Когда сервер RADIUS или LDAP определяет атрибут для предоставления пользователю разрешений или разрешений, список участников группы пользователя автоматически не включает группу для работы с Juniper-User-Permissionsmaintenanceall unIX. Некоторые операции, такие как запуск команды su root из локальной оболочки, требуют разрешений участия в группе управления. Однако, когда сетевое устройство определяет учетную запись локального пользователя с помощью разрешений или пользователь автоматически получает членство в группе устройств с приводами maintenanceall UNIX. Поэтому рекомендуется создать учетную запись шаблона пользователя с требуемой учетной записью и связать отдельные учетные записи пользователей с учетной записью шаблона пользователя.

10

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

Строка – это список флагов разрешений, разделенных пробелом. Точное имя каждого флага должно быть указано в полном объеме.

См. Обзор уровней привилегий доступа .

Juniper-аутентификация

Указывает метод аутентификации (локализованная база данных, LDAP или RADIUS сервер), используемый для аутентификации пользователя. Если аутентификация пользователя с использованием локальной базы данных указывается на значение атрибута «local». Если аутентификация пользователя с помощью сервера RADIUS или LDAP, значение атрибута указывает на удаленное значение.

11

≥5

Один или несколько октетов, содержащих печатаемые символы ASCII.

Juniper-session-port

Указывает номер порта источника установленного сеанса.

12

размер в несколько раз

Целое число

Juniper-Allow-Configuration-Regexps (только RADIUS)

Содержит расширенное регулярное выражение, которое позволяет пользователю просматривать и изменять выражения конфигурации в дополнение к выражениям, авторизованным битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

13

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

Juniper-deny-Configuration-Regexps (только RADIUS)

Содержит расширенное регулярное выражение, которое не разрешает пользователю просматривать или изменять выражения конфигурации, авторизованные битами разрешения класса входа пользователя. Этот атрибут используется только в пакетах Access-Accept.

14

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

Дополнительные сведения о VSAS см. в документах RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Использование регулярных выражений на сервере RADIUS или TACACS+, чтобы разрешить или запретить команды

Junos OS могут соотоставить RADIUS- и TACACS+-authenticated пользователей с локально определенной учетной записью пользователя или учетной записью шаблона пользователя, которая определяет права доступа пользователя. Можно также дополнительно настроить пользовательские привилегии доступа, определив атрибуты Juniper Networks RADIUS и TACACS+ для поставщика (VSAs) на соответствующем сервере аутентификации.

Класс входа пользователя определяет набор разрешений, которые определяют, какой режим работы и команды режима конфигурации пользователь может выполнять, а какие области конфигурации пользователь может просматривать и изменять. Класс входа также может определять регулярные выражения, которые позволяют или запретить пользователю возможность выполнять определенные команды или просматривать и изменять определенные области конфигурации, в дополнение к тем разрешениям, которые авторизируют флаги разрешений. Класс входа может включать в себя следующие утверждения для определения авторизации пользователя:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Аналогичным образом конфигурация RADIUS или сервера TACACS+ может использовать Juniper Networks VSAs для определения определенных разрешений или регулярных выражений, определяя права доступа пользователя. Список поддерживаемых RADIUS TACACS+ VSAS см. в следующем:

На сервере RADIUS TACACS+можно определить пользовательские разрешения как список значений, разделенных пространством.

  • Сервер RADIUS использует следующий атрибут и синтаксис:

    Например:

  • Сервер TACACS+использует следующий атрибут и синтаксис:

    Например:

Сервер RADIUS или TACACS+ также может определить Juniper Networks VSAs, которые используют одно расширенное регулярное выражение (как определено в POSIX 1003.2), чтобы разрешить или запретить пользователю возможность выполнения определенных команд или просматривать и изменять области конфигурации. Несколько команд или иерархий конфигурации заключены в скобки и разделяют их с помощью символа канала. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. При настройке параметров авторизации как локально, так и удаленно, устройство объединяет регулярные выражения, полученные во время TACACS+ или RADIUS авторизации с любыми регулярными выражениями, определенными на локальном устройстве.

  • Сервер RADIUS использует следующие атрибуты и синтаксис:

    Например:

  • Сервер TACACS+использует следующие атрибуты и синтаксис:

    Например:

RADIUS серверы TACACS+ также поддерживают настройку атрибутов, соответствующих тем же утверждениям, что можно настроить на *-regexps локальном устройстве. Атрибуты TACACS+ и атрибуты RADIUS используют тот же синтаксис регулярных выражений, что и предыдущие атрибуты, но они позволяют настраивать регулярные выражения с *-regexps*-Regexps переменными.

  • Сервер RADIUS использует следующие атрибуты и синтаксис:

  • Сервер TACACS+использует следующие атрибуты и синтаксис:

    Например, конфигурация сервера TACACS+ может определить следующие атрибуты:

На сервере RADIUS TACACS+можно также определить атрибуты с помощью упрощенного синтаксиса, в котором каждое отдельное выражение указывается на отдельной строке.

Для сервера RADIUS регулярные выражения, используя следующий синтаксис:

Для сервера TACACS+ укажите регулярные выражения, используя следующий синтаксис:

Прим.:
  • В синтаксисе сервера TACACS+ численное значение от 1 до n должно быть уникальным, но не должно быть синтаксическим. Например, допустим следующий синтаксис:

  • Сервер RADIUS или TACACS+ накладывает ограничения на количество отдельных строк регулярного выражения.

  • При выдаче команды выходные данные команды отображают регулярное выражение в одной строке, даже если каждое отдельное выражение show cli authorization указывается в отдельной строке.

Пользователи могут проверить свои класс, разрешения, а также команду и авторизацию конфигурации, выдав show cli authorization команду operational mode.

Прим.:

При настройке параметров авторизации как локально на сетевом устройстве, так и удаленно на сервере RADIUS или TACACS+, устройство объединяет регулярные выражения, полученные в процессе авторизации TACACS+ или RADIUS авторизации с любыми локально настроенными регулярными выражениями. Если в заключительном выражении содержится синтаксисная ошибка, общий результат является недопустимым регулярным выражением.

Juniper-коммутатор-фильтр условий и действий vsA

Устройства поддерживают настройку RADIUS серверов, которые Juniper Networks. Эти атрибуты известны как атрибуты, специфические для поставщика (VSAS) и описаны в RFC 2138, Remote Authentication Dial In User Service (RADIUS).

С помощью VSAs можно настроить атрибуты фильтрации портов на RADIUS сервере. VSAs – это поля с четким текстом, отосланные с RADIUS сервера устройству в результате успешной или неудачной аутентификации. Аутентификация предотвращает несанкционированный доступ пользователя путем блокирования на порту вопросичного устройства до тех пор, пока устройство не будет аутентификацией RADIUS сервером. Атрибуты VSA интерпретируются устройством во время аутентификации, и устройство осуществляет соответствующие действия. Реализация атрибутов фильтрации портов с аутентификацией на сервере RADIUS предоставляет центральное место для управления доступом КВС для фильтрующих.

Эти атрибуты фильтрации портов, специфические для Juniper Networks, инкапсулированы в VSA на RADIUS-сервере с ИД поставщика, который Juniper Networks ID номером 2636.

За счет настройки атрибутов фильтрации портов через VSAs можно применить предварительно настроенный фильтр межсетевых экранов порта непосредственно к RADIUS серверу. Как и атрибуты фильтрации портов, фильтр применяется в процессе аутентификации, и его действия применяются на порте устройства. Добавление фильтра брандмауэра порта на RADIUS устраняет необходимость добавления фильтра к нескольким портам и устройствам.

Коммутатор-Juniper-фильтр VSA работает вместе с аутентификацией 802.1X для централизованного управления доступом запротоскающих в сеть. Можно использовать vsA для настройки фильтров на RADIUS сервере. Эти фильтры отправляются на коммутатор и применяются к пользователям, которые были аутентификации с помощью аутентификации 802.1X.

В Juniper VSA с фильтром коммутатора может содержаться один или несколько терминов фильтра. Термины фильтра настраиваются с помощью одного или более условий совпадения с итогом действия. Условия соответствия — это критерии, которые пакет должен соответствовать настроенным действиям, применяемым к ним. Настраиваемое действие – это действие, которое выполняет коммутатор, если пакет соответствует критериям, заданным в условиях соответствия. Коммутатор может принять или запретить пакет.

При указании условий совпадения и действий для VSAS применяются следующие рекомендации:

  • И match утверждение, и action утверждение являются обязательными.

  • Если не задано ни одно условие совпадения, то любой пакет по умолчанию считается совпадать.

  • Если не задано никаких действий, по умолчанию пакет будет от отказаться.

  • В каждый параметр или утверждение могут быть включены любые match или action все параметры.

  • Операция AND выполняется в полях другого типа, разделенных запятой. Поля одного типа не могут повторяться.

  • Чтобы forwarding-class этот параметр можно было применить, класс переадстройки должен быть настроен на коммутаторе. Если класс переадстроения не настроен на коммутаторе, этот параметр игнорируется.

Табл. 2 описывает условия совпадения, которые можно задать при настройке атрибута VSA в качестве фильтра брандмауэра с помощью команды на match RADIUS сервере. Строка, определяя условие совпадения, называется строкой match.

Табл. 2: Условия совпадения

Параметр

Описание

destination-mac mac-address

Адрес MAC-адрес (MAC) пакета.

source-dot1q-tag tag

Значение метки в загон 802.1Q в диапазоне до 04095 .

destination-ip ip-address

Адрес конечного узла назначения.

ip-protocol protocol-id

Значение протокола IPv4. В задаваемом численное значение можно указать одно из следующих текстовых синонимов:

ah, egp (8)esp (50 , , , gre (47) , , , , icmp (1) , igmp (2)ipip (4)ipv6 (41)ospf (89)pim (103)rsvp (46)tcp (6) или udp (17)

source-port port

Поле порта источника TCP или протокола датаграмм пользователя (UDP). Обычно это утверждение совпадения указывается вместе с утверждением match, чтобы определить протокол, ip-protocol используемый на порте. В качестве цифрового поля можно указать один из параметров текста, указанных в destination-port списке.

destination-port port

Поле порта назначения TCP или UDP. Обычно это утверждение совпадения указывается вместе с утверждением match, чтобы определить протокол, ip-protocol используемый на порте. В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также указаны номера портов):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

При определении одного или более терминов, определяющих критерии фильтрации, также определяется действие, которое необходимо принять, если пакет соответствует всем критериям. Табл. 3 показывает действия, которые можно указать в термине.

Табл. 3: Действия для VSAS

Параметр

Описание

(allow | deny)

Примите пакет или тихо отбросьте его без отправки сообщения протокола управления Интернет (ICMP).

forwarding-class class-of-service

(Необязательно) Классифицировать пакет в одном из следующих классов переад через:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority (low | medium | high)

(Необязательно) Установите приоритет потери пакетов (PLP) low в medium , high или. Укажите как класс переадности, так и приоритет потери.

Понимание RADIUS учета

Сетевые устройства поддерживают IETF RFC 2866, RADIUS учета. Можно настроить учет RADIUS на устройстве для сбора статистических данных о пользователях, входе в LAN или выходе из lan, и отправки данных на RADIUS учета. Статистические данные могут использоваться для общего сетевого мониторинга, анализа и отслеживания моделей использования или вы выставления счета пользователю на основе продолжительности сеанса или типа доступа к услугам.

Чтобы настроить учет RADIUS, укажите:

  • Один или несколько RADIUS серверы учета для получения статистических данных с устройства

  • Тип собираемой учетной информации

Один сервер можно использовать как для учета RADIUS, так и для аутентификации, а также для отдельных серверов. Можно указать список RADIUS учета. Устройство запрашивает серверы в порядке их настройки. Если основной сервер (первый настроенный) недоступен, устройство пытается связаться с каждым из серверов в списке до получения ответа.

Процесс RADIUS учета между устройством и сервером RADIUS работает вот так:

  1. Сервер RADIUS учета прослушивает пакеты протоколов датаграмм пользователя (UDP) на определенном порту. Порт по умолчанию для RADIUS – 1813.

  2. Устройство передает на сервер учета пакет учета-запрос, содержащий запись события. Запись события, связанная с этим вопроси важным регистратором, содержит атрибут Acct-Status-Type, значение которого указывает на начало обслуживания пользователя для этого начинающейся службы. После окончания сеанса запрашивающей компании запрос учета содержит значение атрибута Acct-Status-Type, указывающее конец пользовательской службы. Сервер RADIUS учета регистрет эту запись как запись стоп-учета, содержащую информацию о сеансе и его продолжительности.

  3. Сервер RADIUS учета региструет эти события в файле в качестве записей start-accounting или stop-accounting. В FreeRADIUS имя файла является адресом сервера, например, 192.0.2.0.

  4. Сервер учета отправляет устройству пакет учета-ответа с подтверждением того, что он получил запрос учета.

  5. Если устройство не получает от сервера пакет учета-ответа, оно продолжает отправлять запросы учета до тех пор, пока не возвращает ответ.

Статистику, собранную с помощью этого процесса, можно просмотреть на RADIUS сервере. Чтобы увидеть эти статистические данные, перейдите к файлу журнала, настроенном для их получения.

Настройка учета RADIUS системы

Если включить учет RADIUS, Juniper Networks, действующие в качестве RADIUS клиентов, могут уведомить RADIUS-сервер о действиях пользователя, таких как входы в программное обеспечение, изменения конфигурации и интерактивные команды. Основы учета RADIUS описываются в RFC 2866 и RADIUS учета.

Настройка проверки событий пользователя на RADIUS-сервере

Настройка учета RADIUS:

  1. Настройте события для проверки.

    Например:

    events может включать один или несколько из следующих ок.

    • login- Проверка регистрации

    • change-log- Проверка изменений конфигурации

    • interactive-commands- Проверка интерактивных команд (любые входные данные командной строки)

  2. В RADIUS учет.
  3. Настройте адрес для одного или более RADIUS учета.

    Например:

    Прим.:

    Если серверы иерархии не RADIUS, устройство использует серверы RADIUS, настроенные на [edit system accounting destination radius][edit system radius-server] уровне иерархии.

  4. (Необязательно) Настройте адрес источника для RADIUS учета.

    Например:

    Исходный адрес является действительным адресом IPv4 или адресом IPv6, настроенным на одном из интерфейсов маршрутизатора или интерфейсов коммутатора. Если сетевое устройство имеет несколько интерфейсов, которые могут достичь RADIUS, назначьте IP-адрес, который устройство может использовать для всей связи с RADIUS сервером. Это устанавливает фиксированный адрес в качестве адреса источника локально созданных IP-пакетов.

  5. Настройте общий секретный пароль, который сетевое устройство использует для аутентификации с RADIUS учета.

    Настроенный пароль должен совпадать с паролем, настроенным на RADIUS сервере. Если пароль содержит пробелы, занося его в кавычках. В базе данных конфигурации пароль хранится в зашифрованном виде.

    Например:

  6. (Необязательно) При необходимости укажите, на RADIUS сервера учета для отправки учетных пакетов, если он отличается от порта по умолчанию (1813).
    Прим.:

    Если включить учет RADIUS иерархии, то учет активирует порт по умолчанию [edit access profile profile-name accounting-order] 1813, даже если не указано значение для accounting-port утверждения.

  7. (Необязательно) Настройте количество попыток устройства связаться с RADIUS учета и время ожидания отклика от сервера.

    По умолчанию устройство пытается обратиться к серверу три раза и ждет три секунды. Значение можно настроить от 1 до retry 100 раз и от 1 до timeout 1000 секунд.

    Например, чтобы связаться с сервером 2 раза и подождать 10 секунд для ответа:

  8. (Необязательно) Для маршрут RADIUS учетных пакетов через экземпляр управления, который не является экземпляром по умолчанию, а не через экземпляр маршрутов по умолчанию, настройте routing-instance mgmt_junos утверждение.
  9. (Необязательно) Настройте утверждение на уровне иерархии, чтобы включить дополнительные атрибуты учета, включая метод доступа, удаленный порт и привилегии доступа, для enhanced-accounting[edit system radius-options] событий входа пользователя.
    Прим.:

    Чтобы ограничить количество проверяемых значений атрибутов, настройте утверждение enhanced-avs-max <number> на [edit system accounting] уровне иерархии.

В следующем примере три сервера (10.5.5.5, 10.6.6.6 и 10.7.7.7) настроены для RADIUS учета:

Таблица истории выпусков
Версия
Описание
18.1R1
Начиная Junos OS выпуске 18.1R1, стандартное поведение RADIUS по умолчанию улучшено поддержкой интерфейса управления в экземпляре VRF, который не является экземпляром по умолчанию.