Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

为 RADIUS、TACACS + 和本地密码身份验证配置 Junos OS 身份验证顺序

 

使用此authentication-order语句,您可以优先考虑在验证用户对路由器或交换机的访问时,Junos OS 尝试不同身份验证方法的顺序。如果您不设置身份验证顺序,默认情况下,用户将根据其配置的密码进行验证。

使用纯文本配置密码并依赖 Junos OS 进行加密时,您仍以纯文本形式在 internet 上发送密码。使用预先加密的密码更安全,因为这意味着密码的纯文本决不会通过互联网发送。此外,借助密码,一次只能将一个用户分配给一个密码。

另一方面,RADIUS 和 TACACS + 预 ecrypt 密码。二者都允许您一次分配一组用户,而不是一段时间。但以下是这些认证系统的不同之处:

  • RADIUS 使用 UDP,而 TACACS + 使用 TCP。

  • RADIUS 在传输期间仅加密密码,而 TACACS + 加密整个会话。

  • RADIUS 结合身份验证(设备)和授权(用户),而 TACACS + 分隔身份验证、授权和责任。

简而言之,TACACAS + 是这两方面的安全性。但是,RADIUS 具有更好的性能,并且更具可互操作性。RADIUS 受到广泛支持,而 TACACS + 是 Cisco 专有产品,不在 Cisco 外部广泛支持。

您可以根据您的系统、其限制以及您的 IT 策略和操作首选项来配置身份验证顺序。

要配置身份验证顺序,请将authentication-order语句包含在[edit system]层次结构级别:

有关可在其中包含此语句的层次结构级别列表,请参阅本声明的语句摘要部分。

以下是可能的身份验证顺序条目选项:

  • radius—验证用户是否使用 RADIUS 认证服务器。

  • tacplus—使用 TACACS + 认证服务器验证用户。

  • password—通过在[edit system login user]层次结构级别包括身份验证语句,验证用户使用本地配置的用户名和密码。

如果按身份验证顺序配置了 RADIUS 和/或 TACACS + 服务器,但没有响应请求,则 Junos OS 始终默认为尝试本地密码身份验证,最后是一种手段。如果身份验证顺序设置为authentication-order password,则将是唯一尝试的身份验证方法。

注意

不可能,尝试按照顺序将本地密码身份验证配置 RADIUS 或 TACACS + 之前没有意义,因为“不会发生响应。”本地认证请求将始终被接受或拒绝。

当 RADIUS 或 TACACS + 存在时处理被拒绝的身份验证请求将更加复杂。

  • 如果password (本地密码认证)是身份验证顺序,则 RADIUS 和/或 TACACS + 拒绝将在拒绝后结束。

  • 如果password在身份验证顺序中包含,并且 RADIUS 和/或 TACACS + 拒绝身份验证,则 Junos OS尝试本地身份验证检查。

换言之,包括password作为最终身份验证顺序选项的一种方式,您可以选择是 RADIUS 和/或 TACACS + 拒绝在那里结束,还是在本地为请求提供身份验证的最后一次机会。

有关详细信息,请参阅Junos OS Authentication Order for RADIUS, TACACS+, and Password Authentication

CHAP 身份验证序列的时间不能超过30秒。如果对客户端进行身份验证所需的时间较长,则会放弃身份验证并启动新序列。

例如,如果您将三个 RADIUS 服务器配置为使路由器或交换机尝试每次与每台服务器联系,并在 3 秒后重试服务器超时,则在 CHAP 认为该故障之前,给 RADIUS 身份验证方法的最大时间为27秒。如果将更多 RADIUS 服务器添加到此配置中,则可能无法联系它们,因为在尝试这些服务器之前可能会放弃身份验证进程。

Junos OS 对一次 CHAP 身份验证可以拥有的已有认证服务器请求数量施加限制。因此,在超过此限制—时,身份验证—服务器方法 RADIUS (例如)可能无法对客户端进行身份验证。如果失败,则由路由器或交换机 reinitiated 身份验证顺序,直至认证成功且链路启动。但是,如果 RADIUS 服务器不可用,并且还配置了其他身份验证方法tacpluspassword如或radius),则会尝试下一次身份验证方法。

以下示例显示如何配置radiuspassword认证:

以下示例显示如何从身份验证顺序radius中删除语句:

以下示例显示如何在tacplusradius语句后插入语句: