Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Аутентификация TACACS+

Junos OS поддерживает TACACS+ для центральной аутентификации пользователей на сетевых устройствах. Чтобы использовать аутентификацию TACACS+ на устройстве, вам (сетевому администратору) необходимо настроить информацию об одном или более серверах TACACS+ в сети. Можно также настроить учет TACACS+ на устройстве для сбора статистических данных о пользователях, входе в LAN или выходных данных, а также отправки данных на сервер учета TACACS+.

Настройка аутентификации TACACS+

Аутентификация TACACS+ – это способ аутентификации пользователей, которые пытаются получить доступ к сетевому устройству.

Для настройки TACACS+, выполните следующие задачи:

Настройка сведений о сервере TACACS+

Чтобы использовать аутентификацию TACACS+ на устройстве, настройте сведения об одном или более серверах TACACS+ в сети, включив по одной конфигурированию уровня иерархии для каждого tacplus-server[edit system] сервера TACACS+. Устройство запрашивает серверы TACACS+ в порядке их настройки. Если основной сервер (первый настроенный) недоступен, устройство пытается связаться с каждым из серверов в списке до получения ответа.

Сетевое устройство может соотоставить пользователей с TACACS+-authenticated пользователями локально определенной учетной записи пользователя или шаблона пользователя, определяемой авторизацией. По умолчанию, при настройке, при настройке, при Junos OS настройке, TACACS+-authenticated пользователи присваивают учетной записи шаблона remote пользователя:

  • Аутентификация пользователя не имеет настроенной учетной записи пользователя на локальном устройстве.

  • Сервер TACACS+либо не назначает пользователя локальному шаблону пользователя, либо шаблон, назначаемый сервером, не настраивается на локальном устройстве.

Сервер TACACS+может назначать аутентификацию пользователя другому шаблону пользователя для предоставления различных административных разрешений этому пользователю. Пользователь сохраняет то же имя пользователя в имени пользователя в интерфейс командной строки но наследует класс входа, привилегии доступа и эффективный ID пользователя из назначенного шаблона. Если пользователь, аутентификация TACACS+, не соотнося с локально определенной учетной записью или шаблоном пользователя, не remote настраивается, аутентификация не происходит.

Прим.:

Имя remote пользователя является особым регистром и всегда должно быть в Junos OS нижнем регистре. Он служит шаблоном для пользователей, аутентификации которых удаленный сервер не имеет локально настроенной учетной записи пользователя на устройстве. применяет разрешения шаблона к аутентификациенным пользователям Junos OSremote без локально определенной учетной записи. Все пользователи, привязаные к remote шаблону, находятся в одном и том же классе входа.

Поскольку удаленная аутентификация настраивается на нескольких устройствах, она обычно настраивается внутри группы конфигураций. Шаги, показанные на этом этапе, находятся в группе конфигураций с и названием global . Использование группы конфигураций необязательно.

Настройка аутентификации с помощью сервера TACACS+:

  1. Настройте адрес IPv4 или адрес IPv6 сервера аутентификации TACACS+.

    Например:

  2. (Необязательно) Настройте исходный адрес пакета для запросов, отправленных на сервер TACACS+.

    Например:

    Исходный адрес является действительным адресом IPv4 или адресом IPv6, настроенным на одном из интерфейсов маршрутизатора или интерфейсов коммутатора. Если сетевое устройство имеет несколько интерфейсов, которые могут достичь сервера TACACS+, назначьте IP-адрес, который устройство может использовать для связи с сервером TACACS+. Это устанавливает фиксированный адрес в качестве адреса источника локально созданных IP-пакетов.

  3. Настройте общий секретный пароль, который сетевое устройство использует для аутентификации с помощью сервера TACACS+.

    Настроенный пароль должен совпадать с паролем, настроенным на сервере TACACS+. Если пароль содержит пробелы, занося его в кавычках. В базе данных конфигурации пароль хранится в зашифрованном виде.

    Например:

  4. (Необязательно) Укажите порт, с которым необходимо связаться с сервером TACACS+, если он отличается от порта по умолчанию (49).

    Например:

  5. (Необязательно) Настройте время ожидания устройства отклика от сервера TACACS+.

    По умолчанию устройство ждет 10 секунд. Можно настроить значение timeout от 1 до 90 секунд.

    Например, 15 секунд ожидания ответа от сервера:

  6. (Необязательно) Настройте устройство на одно открытое TCP-соединение с сервером для нескольких запросов, а не открытие отдельного подключения для каждой попытки подключения.
    Прим.:

    Более ранние версии сервера TACACS+не поддерживают single-connection этот параметр. Если этот параметр указан и сервер его не поддерживает, устройство не сможет установить связь с сервером TACACS+.

  7. (Необязательно) Чтобы маршрутизировать пакеты TACACS+ через определенный экземпляр маршрутов, настройте утверждение и укажите routing-instance допустимый экземпляр маршрутов.

    По умолчанию маршруты аутентификации, авторизации и учета для TACACS+ проходят через экземпляр Junos OS маршрутизации по умолчанию.

  8. Укажите порядок аутентификации и включив tacplus параметр.

    В следующем примере при попытке входа пользователь сначала запрашивает для аутентификации сервер Junos OS TACACS+. Если это не удалось, он опове речь RADIUS серверу. Если проверка связи не удалась, то она пытается аутентификацию с учетными записями пользователя, настроенными локально.

  9. Назначьте класс входа пользователям, у которых нет локально определенной учетной записи пользователя, TACACS+-authenticated.

    Учетная запись шаблона пользователя настраивается так же, как и учетная запись локального пользователя, за исключением того, что локальный пароль аутентификации не настраивается, поскольку сервер TACACS+аутентификация пользователя.

    • Чтобы использовать одинаковые разрешения для всех пользователей TACACS+-authenticated, настройте remote шаблон пользователя.

      Например:

    • Чтобы использовать различные классы входа для различных пользователей, пользующихся данными TACACS+-authenticated, предоставление им различных разрешений:

      1. Создайте в конфигурации несколько шаблонов Junos OS пользователей. Например:

      2. Настройте сервер TACACS+, чтобы соотоставить аутентификацию пользователя с соответствующим пользовательским шаблоном.

        Например, Juniper атрибуту поставщика (VSA) имени шаблона пользователя, настроенного на устройстве, который в предыдущем примере – RO, OP или local-user-name однопользовательский. Аутентификация неуспешна, если устройство не может назначить пользователя локальной учетной записи или шаблону пользователя и remote шаблон пользователя не настроен.

Настройка TACACS+ для использования экземпляра управления

По умолчанию маршруты аутентификации, авторизации и учета для TACACS+ проходят через экземпляр Junos OS маршрутизации по умолчанию. Также можно перенаправление пакетов TACACS+ через интерфейс управления в экземпляре VRF, который не является стандартным.

Маршрут для пакетов TACACS+ через mgmt_junos экземпляр управления:

  1. mgmt_junosАктивить экземпляр управления.

  2. Настройте routing-instance mgmt_junos утверждение для сервера аутентификации TACACS+ и сервера учета TACACS+, если он настроен.

Настройка одной и той же службы аутентификации для нескольких серверов TACACS+

Можно настроить один и тот же сервис аутентификации для нескольких серверов TACACS+, включив в них утверждения на уровне иерархии и на [edit system tacplus-server][edit system tacplus-options] иерархии.

Назначение одной и той же службы аутентификации нескольким серверам TACACS+:

  1. Настройте серверы TACACS+, как описано Настройка аутентификации TACACS+ в.
  2. Настройте service-name утверждение на [edit system tacplus-options] уровне иерархии.
    service-name это имя службы аутентификации, которая по умолчанию junos-exec .

    Например:

В следующем примере показано, как настроить один и тот же сервис аутентификации для нескольких серверов TACACS+:

Настройка Juniper Networks TACACS+ для поставщика

Junos OS может соотоставить пользователей TACACS+-authenticated с локально определенной учетной записью пользователя или учетной записью шаблона пользователя, определяемой авторизацией. Можно также дополнительно настроить пользовательские привилегии доступа, определив Juniper Networks на сервере TACACS+ с учетом поставщика. Атрибуты в файле конфигурации сервера TACACS+определяются пользователем. Сетевое устройство извлекает эти атрибуты через запрос авторизации сервера TACACS+после аутентификации пользователя.

Чтобы указать эти атрибуты, включите в файл конфигурации сервера service TACACS+ утверждение следующей формы:

Можно определить утверждение service в утверждениях user или в group утверждениях.

Настройка периодической обновление профиля авторизации TACACS+

При настройке устройства, на котором используется сервер TACACS+ для аутентификации, устройство выскакиет пользователям информацию о входе, что проверяется сервером Junos OS TACACS+. После успешной аутентификации сетевое устройство посылает запрос авторизации на сервер TACACS+, чтобы получить профиль авторизации для пользователя. Профили авторизации определяют разрешения доступа для аутентификацию пользователей или устройств.

Сервер TACACS+отправляет профиль авторизации в составе сообщения authorization REPLY. Удаленный пользователь, настроенный на сервере TACACS+, соотнощается с локальным пользователем или пользовательским шаблоном, настроенным на устройстве, которое работает. Объединяет профиль удаленной авторизации пользователя и локально настроенный профиль авторизации, последний из которых настраивается на Junos OSJunos OS уровне edit system login class [] иерархии.

По умолчанию обмен запросом авторизации и ответными сообщениями происходит только один раз после успешной аутентификации. Устройства можно настроить таким образом, чтобы время от времени извлекает профиль удаленной авторизации с сервера TACACS+ и обновляет сохраненный профиль Junos OS авторизации. Периодическое обновление гарантирует, что локальное устройство отражает любое изменение параметров авторизации, не требуя, чтобы пользователь перезапускал процесс аутентификации.

Чтобы включить периодическое обновление профиля авторизации, необходимо установить интервал времени, в течение которого локальное устройство проверяет профиль авторизации, настроенный удаленно на сервере TACACS+. Если профиль удаленной авторизации изменяется, устройство извлекает профиль авторизации с сервера TACACS+ и профиль авторизации, настроенный под иерархией класса входа. Устройство обновляет профиль авторизации, сохраненный локально, путем объединения удаленных и локально настроенных профилей авторизации.

Можно настроить интервал времени обновления локально на устройстве, запущенном или непосредственно на сервере Junos OS TACACS+. Интервал времени может колебаться от 15 до 1440 минут.

  • Чтобы настроить периодическое обновление профиля авторизации на локальном устройстве, включите утверждение на уровне authorization-time-interval[edit system tacplus-options] иерархии:
  • Чтобы настроить периодическое обновление на сервере TACACS+, добавьте параметр в профиле авторизации, используя refresh-time-interval следующий синтаксис:

Используйте следующие инструкции для определения того, какой из настроек имеет приоритет во времени:

  • Если интервал времени обновления настроен только на сервере TACACS+ или только на запущенном устройстве, то настроенное Junos OS значение вступает в силу.
  • Если интервал времени обновления настроен на сервере TACACS+ и на запущенном устройстве, значение, настроенное на сервере Junos OS TACACS+, имеет преимущество.

  • Если на сервере TACACS+ или на запущенном устройстве не настроен ни один интервал времени обновления, то периодическое обновление не Junos OS происходит.

  • Если интервал времени обновления, настроенный на сервере TACACS+, находится вне диапазона или недействителен, локально настроенный интервал времени обновления вступает в силу. Если локально не настраивается интервал времени обновления, то периодическое обновление не происходит.

Если пользователь изменяет интервал обновления до того, как с локального устройства будет отправлен запрос на авторизацию, обновленный интервал обновления вступает в силу после следующего немедленного периодического обновления.

Примере: Настройка сервера TACACS+ для системной аутентификации

В данном примере система аутентификации настраивается через сервер TACACS+.

Требования

Перед началом работы:

  • Выполните первоначальную настройку устройства. См. руководство по началу работы с устройством.

  • Установите в сети по крайней мере один сервер TACACS+.

Обзор

В данном примере добавляется новый сервер TACACS+с IP-адресом 172.16.98.1. Общий секретный пароль сервера TACACS+ указан как Tacacssecret1. Устройство хранит секретный код в базе данных конфигурации в зашифрованном виде. Наконец, вы укажите адрес источника, который будет использовать устройство в запросах сервера TACACS+. В большинстве случаев используется адрес обратной связи устройства, который в данном примере – 10.0.0.1.

На сетевом устройстве можно настроить поддержку нескольких методов аутентификации пользователей, таких как аутентификация локального пароля, TACACS+, и RADIUS. При настройке нескольких методов аутентификации можно установить приоритеты в порядке, в котором устройство пытается использовать различные методы. В данном примере устройство сначала настроено на использование служб аутентификации TACACS+ и, в случае сбойного, на аутентификацию локального пароля.

Пользователь TACACS+-authenticated должен привязаться к локальной учетной записи пользователя или к учетной записи локального шаблона пользователя на сетевом устройстве, определяемом авторизацией. Если пользователь, аутентификация TACACS+, не соотнося с учетной записью локального пользователя или с конкретным шаблоном пользователя, пользователю, если он настроен, будет назначен remote шаблон пользователя. В этом примере настраивается remote пользовательский шаблон.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все обрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите в режим [edit]commit настройки.

Пошаговая процедура

Настройка сервера TACACS+ для системной аутентификации:

  1. Добавьте новый сервер TACACS+ и установите его IP-адрес.

  2. Укажите общий секретный (пароль) сервера TACACS+.

  3. Укажите адрес обратной связи устройства в качестве адреса источника.

  4. Укажите порядок аутентификации устройства и включив tacplus параметр.

  5. Настройте шаблон remote пользователя и его класс входа.
Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show system команды. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Следующие выходные данные включают в себя только те части иерархии конфигурации, которые относятся к данному примеру:

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка конфигурации сервера TACACS+

Цель

Убедитесь, что сервер TACACS+ аутентифицирует пользователей.

Действий

Войдите в систему сетевого устройства и убедитесь, что вход в систему успешен. Чтобы убедиться, что устройство использует сервер TACACS+ для аутентификации, можно попытаться войти с учетной записью, не определяемой локальным паролем аутентификации в конфигурации.

Juniper Networks атрибуты TACACS+, специфические для поставщика

Junos OS поддерживает настройку Juniper Networks TACACS+ атрибутов, специфических для поставщика (VSAs) на сервере TACACS+. Табл. 1 перечисляет поддерживаемые Juniper Networks VSAS.

Некоторые атрибуты принимают расширенные регулярные выражения, как определено в POSIX 1003.2. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. Дополнительные сведения см. в.

Табл. 1: Juniper Networks атрибуты TACACS+, специфические для поставщика

Имя

Описание

Длина

Строка

local-user-name

Указывает имя шаблона пользователя, назначенного этому пользователю при входе пользователя на устройство.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

allow-commands

Содержит расширенное регулярное выражение, которое позволяет пользователю запускать команды в дополнение к командам, авторизованным битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

allow-commands-regexps

Содержит расширенное регулярное выражение, которое позволяет пользователю запускать команды в дополнение к командам, авторизованным битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

allow-configuration

Содержит расширенное регулярное выражение, которое позволяет пользователю просматривать и изменять выражения конфигурации в дополнение к выражениям, авторизованным битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

allow-configuration-regexps

Содержит расширенное регулярное выражение, которое позволяет пользователю просматривать и изменять выражения конфигурации в дополнение к выражениям, авторизованным битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

deny-commands

Содержит расширенное регулярное выражение, которое не разрешает пользователю запускать команды, авторизованные битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

deny-commands-regexps

Содержит расширенное регулярное выражение, которое не разрешает пользователю запускать команды, авторизованные битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

deny-configuration

Содержит расширенное регулярное выражение, которое не разрешает пользователю просматривать или изменять выражения конфигурации, авторизованные битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

deny-configuration-regexps

Содержит расширенное регулярное выражение, которое не разрешает пользователю просматривать или изменять выражения конфигурации, авторизованные битами разрешения класса входа пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII в форме расширенного регулярного выражения.

user-permissions

Содержит информацию, которую сервер использует для указания пользовательских разрешений.

Прим.:

Когда сервер TACACS+определяет атрибут для предоставления пользователю разрешений или разрешений, список участников группы пользователей не включается автоматически в группу пошагового действия user-permissionsmaintenanceall UNIX. Некоторые операции, такие как запуск команды su root из локальной оболочки, требуют разрешений участия в группе управления. Однако, когда сетевое устройство определяет учетную запись локального пользователя с помощью разрешений или пользователь автоматически получает членство в группе устройств с приводами maintenanceall UNIX. Поэтому рекомендуется создать учетную запись шаблона пользователя с требуемой учетной записью и связать отдельные учетные записи пользователей с учетной записью шаблона пользователя.

≥3

Один или несколько октетов, содержащих печатаемые символы ASCII.

См. Обзор уровней привилегий доступа .

authentication-type

Указывает метод аутентификации (локализованная база данных или сервер TACACS+), используемый для аутентификации пользователя. Если аутентификация пользователя с использованием локальной базы данных указывается на значение атрибута «local». Если аутентификация пользователя с помощью сервера TACACS+ указывается на значение атрибута "remote".

≥5

Один или несколько октетов, содержащих печатаемые символы ASCII.

session-port

Указывает номер порта источника установленного сеанса.

размер в несколько раз

Целое число

Использование регулярных выражений на сервере RADIUS или TACACS+, чтобы разрешить или запретить команды

Junos OS могут соотоставить RADIUS- и TACACS+-authenticated пользователей с локально определенной учетной записью пользователя или учетной записью шаблона пользователя, которая определяет права доступа пользователя. Можно также дополнительно настроить пользовательские привилегии доступа, определив атрибуты Juniper Networks RADIUS и TACACS+ для поставщика (VSAs) на соответствующем сервере аутентификации.

Класс входа пользователя определяет набор разрешений, которые определяют, какой режим работы и команды режима конфигурации пользователь может выполнять, а какие области конфигурации пользователь может просматривать и изменять. Класс входа также может определять регулярные выражения, которые позволяют или запретить пользователю возможность выполнять определенные команды или просматривать и изменять определенные области конфигурации, в дополнение к тем разрешениям, которые авторизируют флаги разрешений. Класс входа может включать в себя следующие утверждения для определения авторизации пользователя:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Аналогичным образом конфигурация RADIUS или сервера TACACS+ может использовать Juniper Networks VSAs для определения определенных разрешений или регулярных выражений, определяя права доступа пользователя. Список поддерживаемых RADIUS TACACS+ VSAS см. в следующем:

На сервере RADIUS TACACS+можно определить пользовательские разрешения как список значений, разделенных пространством.

  • Сервер RADIUS использует следующий атрибут и синтаксис:

    Например:

  • Сервер TACACS+использует следующий атрибут и синтаксис:

    Например:

Сервер RADIUS или TACACS+ также может определить Juniper Networks VSAs, которые используют одно расширенное регулярное выражение (как определено в POSIX 1003.2), чтобы разрешить или запретить пользователю возможность выполнения определенных команд или просматривать и изменять области конфигурации. Несколько команд или иерархий конфигурации заключены в скобки и разделяют их с помощью символа канала. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. При настройке параметров авторизации как локально, так и удаленно, устройство объединяет регулярные выражения, полученные во время TACACS+ или RADIUS авторизации с любыми регулярными выражениями, определенными на локальном устройстве.

  • Сервер RADIUS использует следующие атрибуты и синтаксис:

    Например:

  • Сервер TACACS+использует следующие атрибуты и синтаксис:

    Например:

RADIUS серверы TACACS+ также поддерживают настройку атрибутов, соответствующих тем же утверждениям, что можно настроить на *-regexps локальном устройстве. Атрибуты TACACS+ и атрибуты RADIUS используют тот же синтаксис регулярных выражений, что и предыдущие атрибуты, но они позволяют настраивать регулярные выражения с *-regexps*-Regexps переменными.

  • Сервер RADIUS использует следующие атрибуты и синтаксис:

  • Сервер TACACS+использует следующие атрибуты и синтаксис:

    Например, конфигурация сервера TACACS+ может определить следующие атрибуты:

На сервере RADIUS TACACS+можно также определить атрибуты с помощью упрощенного синтаксиса, в котором каждое отдельное выражение указывается на отдельной строке.

Для сервера RADIUS регулярные выражения, используя следующий синтаксис:

Для сервера TACACS+ укажите регулярные выражения, используя следующий синтаксис:

Прим.:
  • В синтаксисе сервера TACACS+ численное значение от 1 до n должно быть уникальным, но не должно быть синтаксическим. Например, допустим следующий синтаксис:

  • Сервер RADIUS или TACACS+ накладывает ограничения на количество отдельных строк регулярного выражения.

  • При выдаче команды выходные данные команды отображают регулярное выражение в одной строке, даже если каждое отдельное выражение show cli authorization указывается в отдельной строке.

Пользователи могут проверить свои класс, разрешения, а также команду и авторизацию конфигурации, выдав show cli authorization команду operational mode.

Прим.:

При настройке параметров авторизации как локально на сетевом устройстве, так и удаленно на сервере RADIUS или TACACS+, устройство объединяет регулярные выражения, полученные в процессе авторизации TACACS+ или RADIUS авторизации с любыми локально настроенными регулярными выражениями. Если в заключительном выражении содержится синтаксисная ошибка, общий результат является недопустимым регулярным выражением.

Настройка учета системы TACACS+

Можно настроить учет TACACS+ на устройстве для сбора статистических данных о пользователях, входе в LAN или выходных данных из LAN и отправки данных на сервер учета TACACS+. Статистические данные могут использоваться для общего сетевого мониторинга, анализа и отслеживания моделей использования или вы выставления счета пользователю на основе продолжительности сеанса или типа доступа к услугам.

Для настройки учета TACACS+ укажите:

  • Один или несколько серверов учета TACACS+ для получения статистических данных с устройства

  • Тип собираемой учетной информации

Один сервер можно использовать как для учета, так и для аутентификации TACACS+ или для отдельных серверов. Можно указать список серверов учета TACACS+. Устройство запрашивает серверы в порядке их настройки. Если основной сервер (первый настроенный) недоступен, устройство пытается связаться с каждым из серверов в списке до получения ответа.

При в режиме учета TACACS+ Juniper Networks устройства, действующие как клиенты TACACS+, могут уведомлять сервер TACACS+о деятельности пользователя, например, входе в систему по программному обеспечению, изменениях конфигурации и интерактивных командах.

Настройка учета сервера TACACS+

Настройка учета серверов TACACS+:

  1. Настройте события для проверки.

    Например:

    events может включать один или несколько из следующих ок.

    • login- Проверка регистрации

    • change-log- Проверка изменений конфигурации

    • interactive-commands- Проверка интерактивных команд (любые входные данные командной строки)

  2. В включить учет TACACS+.
  3. Настройте адрес для одного или более серверов учета TACACS+.

    Например:

    Прим.:

    Если серверы TACACS+ не настроены на уровне иерархии, устройство использует серверы TACACS+, настроенные на уровне [edit system accounting destination tacplus][edit system tacplus-server] иерархии.

  4. (Необязательно) Настройте адрес источника для запросов учета TACACS+.

    Например:

    Исходный адрес является действительным адресом IPv4 или адресом IPv6, настроенным на одном из интерфейсов маршрутизатора или интерфейсов коммутатора. Если сетевое устройство имеет несколько интерфейсов, которые могут достичь сервера TACACS+, назначьте IP-адрес, который устройство может использовать для связи с сервером TACACS+. Это устанавливает фиксированный адрес в качестве адреса источника локально созданных IP-пакетов.

  5. Настройте общий секретный пароль, который сетевое устройство использует для аутентификации с помощью сервера учета TACACS+.

    Настроенный пароль должен совпадать с паролем, настроенным на сервере TACACS+. Если пароль содержит пробелы, занося его в кавычках. В базе данных конфигурации пароль хранится в зашифрованном виде.

    Например:

  6. (Необязательно) При необходимости укажите, на какой порт сервера учета TACACS+ следует отправлять учетные пакеты, если он отличается от порта по умолчанию (49).
  7. (Необязательно) Настройте время ожидания устройства отклика от сервера учета TACACS+.

    По умолчанию устройство ждет три секунды. Можно настроить значение timeout от 1 до 90 секунд.

    Например, 15 секунд ожидания ответа от сервера:

  8. (Необязательно) Настройте устройство на одно открытое TCP-соединение с сервером для нескольких запросов, а не открытие отдельного подключения для каждой попытки подключения.
    Прим.:

    Более ранние версии сервера TACACS+не поддерживают single-connection этот параметр. Если этот параметр указан и сервер его не поддерживает, устройство не сможет установить связь с сервером TACACS+.

  9. (Необязательно) Чтобы маршрутизировать пакеты учета TACACS+ через экземпляр нестандартного управления или другой экземпляр маршрутов вместо экземпляра маршрутов по умолчанию, настройте утверждение и укажите экземпляр routing-instance маршрутов.
    Например:
  10. Чтобы убедиться, что запросы начала и остановки событий входа правильно регистрируются в файле журнала учета сервера TACACS+ вместо файла журнала администрирования, включите либо утверждение, либо утверждение на уровне no-cmd-attribute-valueexclude-cmd-attribute[edit system tacplus-options] иерархии.
    Прим.:

    Оба утверждения поддерживают правильную регистрацию запросов учета в файле учета вместо файла администрирования. При настройке утверждения значение атрибута устанавливается в нулевую строку в запросах начала и no-cmd-attribute-valuecmd остановки. При настройке утверждения атрибут полностью исключается из запросов начала и exclude-cmd-attributecmd остановки.

Таблица истории выпусков
Версия
Описание
18.2R1
Начиная с Junos OS 18.2R1, можно маршрутизации трафика TACACS+ через любой экземпляр маршрутизации, настроенный в аутентификации.
17.4R1
Начиная с Junos OS 17.4R1, существующее поведение TACACS+ улучшено поддержкой маршрутизационных пакетов TACACS+, которые проходят через интерфейс управления в экземпляре VRF, не задаваемом по умолчанию, с именем mgmt_junos.