Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Ordem de autenticação para RADIUS TACACS+, e senha local

O Junos OS oferece suporte a diferentes métodos de autenticação, incluindo autenticação local de senhas, RADIUS e TACACS+, para controlar o acesso à rede.

Quando você configura um dispositivo para oferecer suporte a vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Este tópico discute como a ordem de autenticação funciona e como configurá-la em um dispositivo.

Visão geral da ordem de autenticação

Você (o administrador de rede) pode configurar a authentication-order declaração para priorizar a ordem na qual Junos OS tenta diferentes métodos de autenticação para verificar o acesso do usuário a um roteador ou switch. Se você não definir uma ordem de autenticação, por padrão, Junos OS verifique os usuários com base em suas senhas locais configuradas.

Se a ordem de autenticação incluir servidores RADIUS ou TACACS+, mas os servidores não responderem a uma solicitação, Junos OS sempre será padrão tentar a autenticação de senha local como último recurso.

Se a ordem de autenticação incluir servidores RADIUS ou TACACS+, mas os servidores rejeitarem a solicitação, o manuseio da solicitação é mais complicado.

  • Se password (a autenticação de senha local) for incluída no final da ordem de autenticação e os servidores de autenticação remota rejeitarem a solicitação de autenticação, o dispositivo tenta autenticação de senha local.

  • Se password (autenticação de senha local) não estiver incluída na ordem de autenticação e os servidores de autenticação remota rejeitarem a solicitação de autenticação, a solicitação termina com a rejeição.

Assim, o dispositivo deve incluir password como uma opção final de ordem de autenticação para o dispositivo tentar a autenticação de senha local no caso de os servidores de autenticação remota rejeitarem a solicitação.

Se a ordem de autenticação estiver definida, o dispositivo usará apenas a authentication-order passwordautenticação local de senha.

Usando autenticação remota

Você pode configurar o Junos OS para ser um cliente de autenticação RADIUS ou TACACS+ (ou uma combinação).

Se um método de autenticação incluído na authentication-order declaração não estiver disponível ou se o método de autenticação estiver disponível, mas o servidor de autenticação correspondente retornar uma resposta de rejeição, Junos OS tente o próximo método de autenticação incluído na authentication-order declaração.

A autenticação do servidor RADIUS ou TACACS+ pode falhar por um ou mais dos seguintes motivos:

  • O método de autenticação está configurado, mas os servidores de autenticação correspondentes não estão configurados. Por exemplo, os métodos de autenticação RADIUS e TACACS+ estão incluídos na authentication-order declaração, mas os servidores RADIUS ou TACACS+ correspondentes não estão configurados nos respectivos [edit system radius-server] níveis de hierarquia.[edit system tacplus-server]

  • O servidor de autenticação não responde antes do valor de tempo limite configurado para esse servidor ou antes do tempo limite padrão, se nenhum tempo limite estiver configurado.

  • O servidor de autenticação não é acessível devido a um problema de rede.

O servidor de autenticação pode retornar uma resposta de rejeição por um ou ambos os seguintes motivos:

  • O perfil de usuário de um usuário que acessa um roteador ou switch não está configurado no servidor de autenticação.

  • O usuário insira credenciais de logotipo incorretas.

Como usar a autenticação de senha local

Você pode configurar explicitamente o password método de autenticação na authentication-order declaração ou usar este método como um mecanismo de recuo quando os servidores de autenticação remota falharem. O password método de autenticação consulta os perfis de usuários locais configurados no nível de [edit system login] hierarquia. Os usuários podem fazer login em um roteador ou switch usando seu nome de usuário local e senha nos seguintes cenários:

  • O método de autenticação de senha (password) está explicitamente configurado como um dos métodos de autenticação na authentication-order declaração.

    Neste caso, o dispositivo tenta a autenticação de senha local se nenhum método de autenticação anterior aceitar as credenciais do logotipo. Isso é verdade se os métodos de autenticação anteriores não respondem ou eles retornam uma resposta de rejeição por causa de um nome de usuário ou senha incorretos.

  • O método de autenticação de senha não está explicitamente configurado como um dos métodos de autenticação na authentication-order declaração.

    Neste caso, o sistema operacional só tenta a autenticação de senha local se todos os métodos de autenticação configurados não responderem. O sistema operacional não usa autenticação local de senha se algum método de autenticação configurado devolver uma resposta de rejeição por causa de um nome de usuário ou senha incorretos.

Tentativas de ordem de autenticação

Tabela 1 descreve como a authentication-order declaração no nível de [edit system] hierarquia determina o procedimento que o Junos OS usa para autenticar os usuários para acesso a um dispositivo.

Tabela 1: Tentativas de ordem de autenticação

Sintaxe

Tentativas de ordem de autenticação

authentication-order radius;

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se um servidor RADIUS estiver disponível, mas a autenticação for recusada, negue o acesso.

  4. Se não houver servidores RADIUS disponíveis, experimente a autenticação local de senha.

authentication-order [ radius password ];

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores RADIUS não responderem ou os servidores retornarem uma resposta de rejeição, experimente a autenticação de senha local, porque ela está explicitamente configurada na ordem de autenticação.

authentication-order [ radius tacplus ];

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores RADIUS não responderem ou os servidores retornarem uma resposta de rejeição, experimente servidores TACACS+ configurados.

  4. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  5. Se um servidor TACACS+ estiver disponível, mas a autenticação for recusada, negue o acesso.

authentication-order [ radius tacplus password ];

  1. Experimente servidores de autenticação RADIUS configurados.

  2. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores RADIUS não responderem ou os servidores retornarem uma resposta de rejeição, experimente servidores TACACS+ configurados.

  4. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  5. Se os servidores TACACS+ não responderem ou os servidores retornarem uma resposta de rejeição, experimente a autenticação local de senha, porque ela está explicitamente configurada na ordem de autenticação.

authentication-order tacplus;

  1. Experimente servidores de autenticação TACACS+ configurados.

  2. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se um servidor TACACS+ estiver disponível, mas a autenticação for recusada, negue o acesso.

  4. Se nenhum servidor TACACS+ estiver disponível, experimente a autenticação local de senha.

authentication-order [ tacplus password ];

  1. Experimente servidores de autenticação TACACS+ configurados.

  2. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores TACACS+ não responderem ou os servidores retornarem uma resposta de rejeição, experimente a autenticação local de senha, porque ela está explicitamente configurada na ordem de autenticação.

authentication-order [ tacplus radius ];

  1. Experimente servidores de autenticação TACACS+ configurados.

  2. Se um servidor TACACS+ estiver disponível e a autenticação for aceita, conceda acesso.

  3. Se os servidores TACACS+ não responderem ou os servidores retornarem uma resposta de rejeição, tente configurar servidores RADIUS.

  4. Se um servidor RADIUS estiver disponível e a autenticação for aceita, conceda acesso.

  5. Se um servidor RADIUS estiver disponível, mas a autenticação for recusada, negue o acesso.

  6. Se não houver servidores TACACS+ ou RADIUS disponíveis, experimente a autenticação local de senha.

authentication-order password;

  1. Tente autenticar o usuário usando a senha configurada no nível de [edit system login] hierarquia.

  2. Se a autenticação for aceita, conceda acesso.

  3. Se a autenticação for recusada, negue o acesso.
Nota:

Se as chaves públicas de SSH estiverem configuradas, a autenticação do usuário SSH primeiro tenta realizar a autenticação de chave pública antes de usar os métodos de autenticação configurados na authentication-order declaração. Se você quiser que os logins SSH usem os métodos de autenticação configurados na authentication-order declaração sem antes tentar realizar a autenticação de chave pública, não configure as chaves públicas de SSH.

Configure a ordem de autenticação para RADIUS, TACACS+ e autenticação de senha local

Usando a authentication-order declaração, você pode priorizar a ordem em que Junos OS tenta os diferentes métodos de autenticação ao verificar o acesso do usuário a um roteador ou switch. Se você não definir uma ordem de autenticação, por padrão, os usuários serão verificados com base em suas senhas configuradas localmente.

Ao configurar uma senha usando texto simples e confiar em Junos OS criptografá-la, você ainda está enviando a senha pela Internet em texto simples. Usar senhas pré-criptografadas é mais seguro porque significa que o texto simples da senha nunca precisa ser enviado pela Internet. Além disso, com senhas, apenas um usuário pode ser atribuído a uma senha de cada vez.

Por outro lado, RADIUS e TACACS+ criptografam senhas. Esses métodos de autenticação permitem que você atribua um conjunto de usuários de cada vez, em vez de atribuir usuários um a um. Mas aqui está como esses sistemas de autenticação diferem:

  • O RADIUS usa UDP; O TACACS+ usa o TCP.

  • O RADIUS criptografa apenas a senha durante a transmissão, enquanto o TACACS+ criptografa toda a sessão.

  • O RADIUS combina autenticação (dispositivo) e autorização (usuário), enquanto o TACACS+ separa autenticação, autorização e responsabilização.

Em resumo, o TACACS+ é mais seguro que o RADIUS. No entanto, o RADIUS tem melhor desempenho e é mais interoperável. O RADIUS é amplamente suportado, enquanto o TACACS+ é um produto proprietário da Cisco e não é amplamente suportado fora da Cisco.

Você pode configurar a ordem de autenticação com base em seu sistema, suas restrições e sua política de TI e preferências operacionais.

Para configurar a ordem de autenticação, inclua a authentication-order declaração no nível de [edit system] hierarquia.

Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.

A seguir, as possíveis opções de entrada para pedidos de autenticação:

  • radius— Verifique o usuário usando servidores de autenticação RADIUS.

  • tacplus— Verifique o usuário usando servidores de autenticação TACACS+.

  • password— Verifique o usuário usando o nome de usuário e a senha configurados localmente na declaração de autenticação no nível hierárquico [edit system login user] .

A sequência de autenticação do Challenge Authentication Protocol (CHAP) não pode levar mais de 30 segundos. Se levar mais de 30 segundos para autenticar um cliente, a autenticação será abandonada e uma nova sequência será iniciada.

Por exemplo, suponha que você configure três servidores RADIUS para que o roteador ou switch tente entrar em contato com cada servidor três vezes. Suponha ainda que, a cada nova tentativa, o servidor seja desativado após 3 segundos. Nesse cenário, o tempo máximo dado ao método de autenticação RADIUS antes que a CHAP a considere uma falha é de 27 segundos. Se você adicionar mais servidores RADIUS a essa configuração, eles podem não ser contatados porque o processo de autenticação pode ser abandonado antes que esses servidores sejam julgados.

Junos OS impõe um limite no número de solicitações de servidores de autenticação em pé que a autenticação DOCA pode ter ao mesmo tempo. Assim, um método de servidor de autenticação — RADIUS, por exemplo — pode falhar em autenticar um cliente quando esse limite for excedido. Se a autenticação falhar, a sequência de autenticação é reiniciada pelo roteador ou switch até que a autenticação seja bem sucedida e o link seja estabelecido. No entanto, se os servidores RADIUS estiverem indisponíveis e métodos adicionais de autenticação, como tacplus ou password também estiverem configurados, o próximo método de autenticação será testado.

O exemplo a seguir mostra como configurar radius e password autenticar:

O exemplo a seguir mostra como inserir a tacplus declaração após a radius declaração:

O exemplo a seguir mostra como excluir a radius declaração da ordem de autenticação:

Exemplo: Configure a ordem de autenticação

Este exemplo mostra como configurar a ordem de autenticação para login do usuário.

Requisitos

Antes de começar, execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.

Visão geral

Você pode configurar a ordem do método de autenticação que um dispositivo usa para verificar o acesso do usuário ao dispositivo. Para cada tentativa de login, o dispositivo tenta os métodos de autenticação na ordem configurada, até que a senha corresponda ou todos os métodos de autenticação tenham sido tentados. Se você não configurar a autenticação remota, os usuários serão verificados com base em suas senhas locais configuradas.

Este exemplo configura o dispositivo para tentar a autenticação do usuário com serviços de autenticação RADIUS primeiro, depois com serviços de autenticação TACACS+ e, finalmente, com autenticação local de senha.

Ao usar a autenticação local de senha, você deve criar uma conta de usuário local para todos os usuários que queiram acessar o sistema. No entanto, ao usar servidores de autenticação remota, você pode criar contas de modelo (para fins de autorização) que um conjunto de usuários compartilha. Quando um usuário é atribuído a uma conta de modelo, o nome de usuário da interface de linha de comando (CLI) é o nome de login; no entanto, o usuário herda os privilégios, a propriedade dos arquivos e a ID de usuário eficaz da conta modelo.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Configuração rápida da GUI
Procedimento passo a passo

Para configurar a ordem de autenticação:

  1. Na interface de usuário J-Web, selecione Configure>System Properties>User Management.

  2. Clique em Edit. A caixa de diálogo de gerenciamento de usuários edita.

  3. Selecione a guia Authentication Method and Order .

  4. Nos métodos disponíveis, selecione o método de autenticação que o dispositivo deve usar para autenticar os usuários. Use o botão de seta para mover o item para a lista de métodos selecionados. Os métodos disponíveis incluem:

    • RAIO

    • TACACS+

    • Senha local

    Se você quiser usar vários métodos para autenticar usuários, repita esta etapa para adicionar os outros métodos à lista de Métodos Selecionados.

  5. Nos métodos selecionados, use a seta para cima e para baixo para especificar a ordem em que o dispositivo deve executar os métodos de autenticação.

  6. Clique OK para verificar sua configuração e salvá-la como configuração do candidato.

  7. Depois de configurar o dispositivo, clique Commit Options>Commitem .

Procedimento passo a passo

Para configurar a ordem de autenticação:

  1. Exclua qualquer declaração existente authentication-order .

  2. Adicione a autenticação RADIUS à ordem de autenticação.

  3. Adicione a autenticação do TACACS+ à ordem de autenticação.

  4. Adicione a autenticação de senha local à ordem de autenticação.

Resultados

No modo de configuração, confirme sua configuração inserindo o show system authentication-order comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Nota:

Para configurar completamente a autenticação RADIUS ou TACACS+, você deve configurar pelo menos um servidor RADIUS ou TACACS+ e criar contas de usuário ou contas de modelo de usuário.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração da ordem de autenticação

Propósito

Verifique se o dispositivo usa os métodos de autenticação na ordem configurada.

Ação

Crie um usuário de teste que tenha uma senha diferente para cada método de autenticação. Faça login no dispositivo usando as diferentes senhas. Verifique se o dispositivo consulta métodos de autenticação subsequentes quando os métodos anteriores rejeitarem a senha ou não responderem.

Como alternativa, em um ambiente de teste, você pode desativar a configuração do servidor de autenticação ou a configuração da conta do usuário local (ou ambos) para testar cada método de autenticação. Por exemplo, para testar o servidor TACACS+, você pode desativar a configuração do servidor RADIUS e a conta local do usuário. No entanto, se você desativar a conta local do usuário, você deve garantir que o usuário ainda mapeia para uma conta modelo de usuário local, como o modelo do remote usuário.

Exemplo: Configure a autenticação do sistema para RADIUS, TACACS+e autenticação de senhas

O exemplo a seguir mostra como configurar a autenticação do sistema para RADIUS, TACACS+, e autenticação de senha em um dispositivo que executa o Junos OS.

Neste exemplo, apenas o usuário Philip e usuários autenticados por um servidor RADIUS podem fazer login. Se um usuário fizer login e não for autenticado pelo servidor RADIUS, o usuário será negado acesso ao roteador ou switch. Se o servidor RADIUS não estiver disponível, o usuário será autenticado usando o password método de autenticação e permitirá o acesso ao roteador ou switch. Para obter mais informações sobre o método de autenticação de senha, consulte Visão geral da ordem de autenticação.

Quando Philip tenta fazer login no sistema, se o servidor RADIUS o autentica, ele recebe acesso e privilégios para a super-user classe. As contas locais não estão configuradas para outros usuários. Quando eles fazem login no sistema e o servidor RADIUS os autentica, eles recebem acesso usando o mesmo ID de usuário (UID) 9999 e os privilégios associados à operator classe.

Nota:

Para fins de autorização, você pode usar uma conta modelo para criar uma única conta que um conjunto de usuários pode compartilhar ao mesmo tempo. Por exemplo, quando você cria uma conta modelo remota, um conjunto de usuários remotos pode compartilhar simultaneamente um único UID. Para obter mais informações sobre contas de modelo, veja Exemplo: Configure a ordem de autenticação.

Quando um usuário faz login em um dispositivo, o servidor RADIUS ou TACACS+ usa o nome de login do usuário para autenticação. Se o servidor de autenticação autenticar o usuário com sucesso e o usuário não estiver configurado no nível de [edit system login user] hierarquia, este é o resultado: O dispositivo usa a conta de usuário padrão de modelo remoto para o usuário, desde que uma conta modelo remota seja configurada no nível de edit system login user remote hierarquia. A conta de modelo remoto serve como uma conta de usuário modelo padrão para todos os usuários que são autenticados pelo servidor de autenticação, mas não têm uma conta de usuário configurada localmente no dispositivo. Esses usuários compartilham a mesma classe de login e UID.

Para configurar um usuário de modelo alternativo, especifique o user-name parâmetro devolvido no pacote de resposta à autenticação RADIUS. Nem todos os servidores RADIUS permitem que você altere esse parâmetro. O seguinte mostra uma amostra da configuração do Junos OS:

Suponha que seu servidor RADIUS esteja configurado com as seguintes informações:

  • Usuário Philip com senha "olympia"

  • Usuário Alexander com senha "bucephalus" e nome de usuário "operador"

  • Darius do usuário com senha "ruiva" e nome de usuário "operador"

  • Usuário Roxane com senha "athena"

Philip teria acesso como um superusuário (super-user) por ter uma conta de usuário local única. Alexander e Darius compartilham o UID 9990 e têm acesso como operadores. Roxane não tem substituição de usuário modelo e, portanto, compartilha o acesso com todos os outros usuários remotos, obtendo acesso somente para leitura.