- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Autenticação central da Web
A autenticação da Web oferece acesso à rede para usuários redirecionando o navegador da Web do cliente para um servidor central de autenticação web (servidor CWA), que lida com o processo de login completo. A autenticação da Web também pode ser usada como um método de autenticação de fallback para usuários regulares de rede que têm dispositivos habilitados para 802.1X, mas falham na autenticação por causa de outros problemas, como credenciais de rede expiradas.
Entendendo a autenticação central da Web
A autenticação da Web redireciona as solicitações do navegador da Web para uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode acessar a rede. A autenticação da Web é útil para fornecer acesso à rede a usuários temporários, como visitantes de um site corporativo, que tentam acessar a rede usando dispositivos que não estão habilitados para o 802.1X. A autenticação da Web também pode ser usada como um método de autenticação de fallback para usuários regulares de rede que têm dispositivos habilitados para 802.1X, mas falham na autenticação por causa de outros problemas, como credenciais de rede expiradas.
A autenticação da Web pode ser feita localmente no switch usando portal cativo, mas isso exige que as páginas do portal da Web sejam configuradas em cada switch usado como um dispositivo de acesso à rede. A autenticação central da Web (CWA) oferece benefícios de eficiência e escalabilidade redirecionando o navegador da Web do cliente para um servidor central de autenticação web (servidor CWA), que lida com o processo de login completo.
A CWA é compatível apenas com a autenticação MAC RADIUS. A CWA não tem suporte para autenticação 802.1X.
- Processo central de autenticação da Web
- Filtros dinâmicos de firewall para autenticação central da Web
- Redirecione a URL para a autenticação central da Web
Processo central de autenticação da Web
A autenticação central da Web é invocada após um host falhar na autenticação MAC RADIUS. O host pode tentar autenticação usando a autenticação 802.1X primeiro, mas depois deve tentar a autenticação MAC RADIUS antes de tentar a autenticação central da Web. O switch, operando como autenticador, troca mensagens RADIUS com o servidor de autenticação, autorização e contabilidade (AAA). Após a autenticação MAC RADIUS falhar, o switch recebe uma mensagem de aceitação de acesso do servidor AAA. Essa mensagem inclui um filtro dinâmico de firewall e uma URL de redirecionamento para autenticação central da Web. O switch aplica o filtro, que permite que o host receba um endereço IP e usa a URL para redirecionar o host para a página de autenticação da Web.
O host é solicitado a obter credenciais de login e também pode ser solicitado a concordar com uma política de uso aceitável. Se a autenticação da Web for bem sucedida, o servidor AAA envia uma mensagem de Mudança de Autorização (CoA), que atualiza os termos da sessão autorizada em andamento. Isso permite que o autenticador atualize o filtro ou a atribuição de VLAN aplicada à porta controlada, para permitir que o host acesse a LAN.
A sequência de eventos na autenticação central da Web é a seguinte (veja Figura 1):
Um host conectado ao switch (autenticador) inicia a autenticação MAC RADIUS.
A autenticação MAC RADIUS falha. Em vez de enviar uma mensagem de rejeição de acesso ao switch, o servidor AAA envia uma mensagem de aceitação de acesso que inclui um filtro de firewall dinâmico e uma URL de redirecionamento da CWA.
O host é permitido pelos termos do filtro para enviar solicitações de DHCP.
O host recebe um endereço IP e informações de DNS do servidor DHCP. O servidor AAA inicia uma nova sessão que tem um ID de sessão exclusivo.
O host abre um navegador web.
O autenticador envia a URL de redirecionamento da CWA para o host.
O host é redirecionado para o servidor CWA e é solicitado para obter credenciais de login.
O host fornece o nome de usuário e a senha.
Após a autenticação bem-sucedida da Web, o servidor AAA envia uma mensagem de CoA para udpate o filtro ou atribuição de VLAN aplicado na porta controlada, permitindo que o host acesse a LAN.
O autenticador responde com uma mensagem CoA-ACK e envia uma solicitação de autenticação MAC RADIUS ao servidor AAA.
O servidor AAA combina a ID da sessão com a política de acesso apropriada e envia uma mensagem de aceitação de acesso para autenticar o host.
Filtros dinâmicos de firewall para autenticação central da Web
A autenticação central da Web usa filtros dinâmicos de firewall, que são definidos centralmente no servidor AAA e aplicados dinamicamente a suplicantes que solicitam autenticação por meio desse servidor. O filtro permite que o host obtenha um endereço IP dinamicamente usando DHCP. Você define os filtros usando atributos RADIUS, que estão incluídos nas mensagens de aceitação de acesso enviadas do servidor. Os filtros podem ser definidos usando o atributo Juniper-Switching-Filter, que é um atributo específico do fornecedor (VSA) ou o atributo ID do filtro, que é um atributo IETF RADIUS.
Para usar o VSA do filtro de comutação da Juniper para autenticação central da Web, você deve configurar o filtro com os termos corretos que permitem o endereço IP de destino do servidor CWA. Essa configuração é feita diretamente no servidor AAA. Para usar o atributo ID do filtro para autenticação central da web, digite o valor como JNPR_RSVD_FILTER_CWA no servidor AAA. Os termos do filtro para este atributo são definidos internamente para autenticação central da Web, devido à qual nenhuma configuração adicional é necessária. Para obter mais informações sobre a configuração de filtros dinâmicos de firewall para autenticação central da web, consulte Configurando a autenticação central da Web.
Redirecione a URL para a autenticação central da Web
Na autenticação central da Web, o autenticador redireciona a solicitação do navegador Web do host para o servidor CWA usando uma URL de redirecionamento. Após o redirecionamento, o servidor CWA conclui o processo de login. A URL de redirecionamento para autenticação central da Web pode ser configurada no servidor AAA ou no autenticador. A URL de redirecionamento, juntamente com o filtro dinâmico de firewall, deve estar presente para desencadear o processo central de autenticação da Web após a falha da autenticação MAC RADIUS.
A URL de redirecionamento pode ser definida centralmente no servidor AAA usando o Juniper-CWA-Redirecionamento VSA, que é atributo número 50 no firewall RADIUS da Juniper. A URL é encaminhada do servidor AAA para o switch na mesma mensagem RADIUS Access-Accept que contém o filtro dinâmico de firewall. Você também pode configurar a URL de redirecionamento local na interface do host usando a declaração redirect-url
CLI no nível [edit protocols dot1x authenticator interface interface-name
] de hierarquia. Para obter mais informações sobre a configuração da URL de redirecionamento, consulte Configurando a autenticação central da Web.
Consulte também
Configuração da autenticação central da Web
A autenticação central da Web é um método de autenticação de recuo no qual o navegador da Web do host é redirecionado para um servidor central de autenticação da Web (CWA). O servidor CWA fornece um portal web onde o usuário pode inserir um nome de usuário e senha. Se essas credenciais forem validadas pelo servidor CWA, o usuário será autenticado e poderá acessar a rede.
A autenticação central da Web é invocada após um host falhar na autenticação MAC RADIUS. O switch, operando como autenticador, recebe uma mensagem RADIUS Access-Accept do servidor AAA que inclui um filtro de firewall dinâmico e uma URL de redirecionamento para autenticação central da Web. O filtro dinâmico de firewall e a URL de redirecionamento devem estar presentes para que o processo central de autenticação da Web seja acionado.
- Configuração de filtros dinâmicos de firewall para autenticação central da Web
- Configurando a URL de redirecionamento para autenticação central da Web
- Diretrizes para configurar a autenticação central da Web
Configuração de filtros dinâmicos de firewall para autenticação central da Web
Os filtros dinâmicos de firewall são usados na autenticação central da Web para permitir que o host obtenha um endereço IP de um servidor DHCP, o que permite que o host acesse a rede. Os filtros são definidos no servidor AAA usando atributos RADIUS, que são enviados ao autenticador em uma mensagem de aceitação de acesso. Você pode definir o filtro usando o atributo Juniper-Switching-Filter, que é um atributo específico do fornecedor (VSA) ou o atributo ID do filtro, que é um atributo IETF RADIUS.
Para usar o VSA do filtro de comutação da Juniper para autenticação central da Web, você deve configurar os termos do filtro diretamente no servidor AAA. O filtro deve incluir um termo para combinar o endereço IP de destino do servidor CWA com a ação
allow
.Por exemplo:
content_copy zoom_out_map001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
Nota:O switch não resolve as consultas de DNS para o URL de redirecionamento. Você deve configurar o atributo Juniper-Switching-Filter para permitir o endereço IP de destino do servidor CWA.
Para usar o atributo ID do filtro para autenticação central da Web, digite JNPR_RSVD_FILTER_CWA como o valor do atributo no servidor AAA. Os termos do filtro para este atributo são definidos internamente para autenticação central da Web, devido à qual nenhuma configuração adicional é necessária.
Por exemplo:
content_copy zoom_out_map001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Filter-Id = "JNPR_RSVD_FILTER_CWA",
Para obter mais informações sobre a configuração de filtros de firewall dinâmicos no servidor AAA, consulte a documentação para o seu servidor AAA.
Configurando a URL de redirecionamento para autenticação central da Web
Na autenticação central da Web, o autenticador redireciona a solicitação do navegador Web do host para o servidor CWA usando uma URL de redirecionamento. A URL de redirecionamento para autenticação central da Web pode ser configurada no servidor AAA ou localmente na interface do host.
Para configurar a URL de redirecionamento no servidor AAA, use o Juniper-CWA-Redirecionar VSA, que é atributo número 50 no firewall RADIUS da Juniper. A URL é encaminhada do servidor AAA para o switch na mesma mensagem RADIUS Access-Accept que contém o filtro dinâmico de firewall.
Por exemplo:
content_copy zoom_out_map001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Filter-Id = "JNPR_RSVD_FILTER_CWA",
Nota:Quando o atributo especial ID de filtro JNPR_RSVD_FILTER_CWA for usado para o filtro dinâmico de firewall, a URL de redirecionamento deve incluir o endereço IP do servidor AAA, por exemplo https://10.10.10.10.
Para configurar a URL de redirecionamento local na interface do host, use a seguinte declaração de CLI:
content_copy zoom_out_map[edit] user@switch# set protocols dot1x authenticator interface interface-name redirect-url
Por exemplo:
content_copy zoom_out_mapuser@switch# show protocols dot1x authenticator { authentication-name-profile auth1; interface { ge-0/0/1.0 { supplicant single; mac-radius; redirect-url https://10.10.10.10; } } }
Diretrizes para configurar a autenticação central da Web
A autenticação central da Web é desencadeada após a falha da autenticação MAC RADIUS quando a URL redirecionada e o filtro de firewall dinâmico estão ambos presentes. A URL redirecionada e o filtro de firewall dinâmico podem ser configurados em qualquer uma das seguintes combinações:
O servidor AAA envia tanto a URL de CWA quanto o filtro de firewall dinâmico para o autenticador. A URL de redirecionamento é configurada no servidor AAA usando o Juniper-CWA-Redirect VSA e o filtro de firewall dinâmico é configurado no servidor AAA usando o Juniper-Switching-Filter VSA. O filtro deve ser configurado para permitir o endereço IP de destino do servidor CWA neste caso.
O servidor AAA envia o filtro de firewall dinâmico para o autenticador e a URL de redirecionamento é configurada localmente na porta do host. A URL de redirecionamento é configurada no autenticador usando a
redirect-url
declaração CLI e o filtro de firewall dinâmico é configurado no servidor AAA usando o Juniper-Switching-Filter VSA. O filtro deve ser configurado para permitir o endereço IP de destino do servidor CWA neste caso.O servidor AAA envia tanto a URL de CWA quanto o filtro de firewall dinâmico para o autenticador. A URL de redirecionamento é configurada no servidor AAA usando o Juniper-CWA-Redirect VSA e o filtro de firewall dinâmico é configurado no servidor AAA usando o atributo ID do filtro com o valor JNPR_RSVD_FILTER_CWA. A URL de redirecionamento deve conter o endereço IP do servidor CWA neste caso.
O servidor AAA envia o filtro de firewall dinâmico para o autenticador e a URL de redirecionamento é configurada localmente na porta do host. A URL de redirecionamento é configurada no autenticador usando a
redirect-url
declaração CLI e o filtro de firewall dinâmico é configurado no servidor AAA usando o atributo ID do filtro com o valor JNPR_RSVD_FILTER_CWA. A URL de redirecionamento deve conter o endereço IP do servidor CWA neste caso.Nota:A
redirect-url
declaração de comando é necessária no CLI apenas se o servidor RADIUS não estiver enviando a URL de redirecionamento no VSA "Juniper-CWA-Redirecionamento".