Visão geral da autenticação do usuário
O Junos OS oferece suporte a diferentes métodos de autenticação que você (o administrador de rede) usa para controlar o acesso do usuário à rede. Esses métodos incluem autenticação local de senhas, RADIUS e TACACS+. Você usa um desses métodos de autenticação para validar usuários e dispositivos que tentam acessar o roteador ou switch usando SSH e Telnet. A autenticação impede que dispositivos e usuários não autorizados tenham acesso à sua LAN.
Métodos de autenticação de usuários
O Junos OS oferece suporte a três métodos de autenticação do usuário: autenticação de senha local, RADIUS e TACACS+.
Com a autenticação local de senha, você configura uma senha para cada usuário autorizado a fazer login no roteador ou switch.
RADIUS e TACACS+ são métodos de autenticação para validar usuários que tentam acessar o roteador ou switch usando qualquer um dos métodos de login. Eles são sistemas distribuídos de cliente/servidor — os clientes RADIUS e TACACS+ são executados no roteador ou switch, e o servidor é executado em um sistema de rede remoto.
Você pode configurar o roteador ou switch para ser um cliente RADIUS, TACACS+ ou uma combinação. Você também pode configurar senhas de autenticação no arquivo de configuração do Junos OS. Você pode priorizar os métodos para configurar a ordem em que o software tenta os diferentes métodos de autenticação ao verificar o acesso do usuário.
Configure contas de modelo de usuário locais para autenticação de usuários
Você usa contas de modelo de usuário locais para atribuir diferentes aulas de login e, assim, conceder diferentes permissões aos usuários que forem autenticados por meio de um servidor de autenticação remota. Cada modelo pode definir um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo. Você define os modelos localmente no roteador ou switch, e os servidores de autenticação TACACS+ e RADIUS fazem referência aos modelos. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, propriedade de arquivos e ID de usuário eficaz da conta modelo.
Quando você configura modelos de usuário locais e um login de usuário, o Junos OS emite uma solicitação ao servidor de autenticação para autenticar o nome de login do usuário. Se o usuário for autenticado, o servidor retorna o nome de usuário local ao Junos OS ( local-user-name para TACACS+e Juniper-Local-User-Name para RADIUS). O Junos OS determina então se um nome de usuário local é especificado para esse nome de login e, se sim, o Junos OS atribui o usuário a esse modelo de usuário local. Se um modelo de usuário local não existir para o usuário autenticado, o roteador ou o switch ficarão inadimplentes com o remote modelo, se configurado.
Para configurar um modelo de usuário local, defina o nome de usuário do modelo no nível de [edit system login] hierarquia. Atribua uma classe para especificar os privilégios que deseja conceder aos usuários locais a quem o modelo se aplica:
[edit system login]
user local-username {
full-name "Local user account";
uid uid-value;
class class-name;
}
Para atribuir um usuário ao modelo de usuário local, configure o servidor de autenticação remota com o parâmetro apropriado ( local-user-name para TACACS+e Juniper-Local-User-Name para RADIUS) e especifique o nome de usuário definido para o modelo de usuário local. Para configurar diferentes privilégios de acesso para usuários que compartilham a conta modelo de usuário local, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.
Este exemplo configura os modelos e engineering os sales modelos do usuário no dispositivo local. O arquivo de configuração de servidor TACACS+ atribui os usuários a modelos específicos.
[edit]
system {
login {
user sales {
uid 6003;
class sales-class;
}
user engineering {
uid 6004;
class super-user;
}
}
}
Quando os usuários Simon e Rob são autenticados, o roteador ou switch aplica o sales modelo de usuário local. Quando os usuários de login Harold e Jim são autenticados, o roteador ou switch aplica o engineering modelo de usuário local.
user = simon {
...
service = junos-exec {
local-user-name = sales
allow-commands = "configure"
deny-commands = "shutdown"
}
}
user = rob {
...
service = junos-exec {
local-user-name = sales
allow-commands = "(request system) | (show rip neighbor)"
deny-commands = "clear"
}
}
user = harold {
...
service = junos-exec {
local-user-name = engineering
allow-commands = "monitor | help | show | ping | traceroute"
deny-commands = "configure"
}
}
user = jim {
...
service = junos-exec {
local-user-name = engineering
allow-commands = "show bgp neighbor"
deny-commands = "telnet | ssh"
}
}
Configure contas de modelo de usuário remoto para autenticação de usuários
O dispositivo de rede pode mapear usuários autenticados remotamente para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. A remote conta modelo é um modelo de usuário especial. Por padrão, Junos OS atribui usuários autenticados remotamente à remote conta modelo, se configurado, quando:
-
O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.
-
O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.
Para configurar a remote conta do modelo, inclua a user remote declaração no nível de [edit system login] hierarquia e especifique a classe de login para usuários atribuídos ao remote modelo:
[edit system login]
user remote {
full-name "remote users";
uid uid-value;
class class-name;
}
Para configurar diferentes privilégios de acesso para usuários que compartilham a remote conta modelo, você pode usar atributos específicos do fornecedor no arquivo de configuração do servidor de autenticação para permitir ou negar comandos específicos e hierarquias de configuração para um usuário.
Exemplo: Criar contas modelo
Este exemplo mostra como criar contas modelo.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Você pode criar contas modelo que são compartilhadas por um conjunto de usuários quando estiver usando a autenticação RADIUS ou TACACS+. Quando um usuário autenticado é atribuído a uma conta modelo, o nome de usuário da CLI é o nome de login, mas o usuário herda privilégios, propriedade de arquivos e ID de usuário eficaz da conta modelo.
Por padrão, Junos OS atribui usuários autenticados remotamente à remote conta modelo quando:
-
O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.
-
O servidor de autenticação remota não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.
Neste exemplo, você cria a remote conta modelo e define o nome de usuário e remote a classe de login para o usuário como operator. O dispositivo atribui o remote modelo a usuários que são autenticados pelo RADIUS, ou TACACS+ mas que não têm uma conta de usuário local ou pertencem a uma conta modelo local diferente.
Em seguida, você cria uma conta modelo local e define o nome de usuário como administrador e a classe de login como superusuário. Você usa contas de modelo locais quando precisa atribuir usuários autenticados remotamente a diferentes aulas de login. Assim, cada modelo pode conceder um conjunto diferente de permissões apropriadas para os usuários atribuídos a esse modelo de usuário.
Configuração
Crie uma conta modelo remota
Procedimento passo a passo
Para criar a remote conta modelo:
-
Definir o nome de usuário e a aula de login para o
remoteusuário.[edit system login] user@host# set user remote class operator
Resultados
No modo de configuração, confirme sua configuração inserindo o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show system login
user remote {
class operator;
}
Depois de configurar o dispositivo, entre commit no modo de configuração.
Crie uma conta de modelo local
Procedimento passo a passo
Para criar uma conta de modelo local:
-
Definir o nome de usuário e a classe de login para o modelo de usuário.
[edit system login] user@host# set user admin class superuser
Resultados
No modo de configuração, confirme sua configuração inserindo o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show system login
user admin {
class super-user;
}
Depois de configurar o dispositivo, entre commit no modo de configuração.
Para configurar completamente a autenticação RADIUS ou TACACS+, você deve configurar pelo menos um servidor RADIUS ou TACACS+ e especificar uma ordem de autenticação do sistema. Para obter mais informações, veja as seguintes tarefas:
-
Configure um servidor RADIUS. Veja Exemplo: Configure um servidor RADIUS para autenticação do sistema.
-
Configure um servidor TACACS+. Veja Exemplo: Configure um servidor TACACS+ para autenticação de sistema.
-
Configure a ordem de autenticação do sistema. Veja Exemplo: Configure a ordem de autenticação.
O que são servidores de autenticação remota?
Você provavelmente já usa um servidor de autenticação remota (ou servidores) em sua rede. Usar esses servidores é uma prática recomendada, pois eles permitem que você crie um conjunto consistente de contas de usuário centralmente para todos os dispositivos da sua rede. Gerenciar contas de usuário é muito mais fácil quando você usa servidores de autenticação remota para implementar uma solução de autenticação, autorização e prestação de contas (AAA) em sua rede.
A maioria das empresas usa um ou mais dos três métodos básicos de autenticação remota: RADIUS e TACACS+. O Junos OS oferece suporte aos três métodos e você pode configurar o Junos OS para consultar qualquer tipo de servidor de autenticação remota. A ideia por trás de um servidor RADIUS ou TACACS+ é simples: Cada um atua como um servidor de autenticação central que roteadores, switches, dispositivos de segurança e servidores podem usar para autenticar os usuários enquanto tentam acessar esses sistemas. Pense nas vantagens que um diretório central de usuários oferece para a auditoria de autenticação e controle de acesso em um modelo cliente/servidor. Os métodos de autenticação RADIUS e TACACS+ oferecem vantagens comparáveis para sua infraestrutura de rede.
Usar um servidor central tem várias vantagens sobre a alternativa de criar usuários locais em cada dispositivo, uma tarefa demorada e propensa a erros. Um sistema central de autenticação também simplifica o uso de sistemas de senha única, como o SecureID, que oferecem proteção contra ataques de sniffing de senha e repetição de senha. Nesses ataques, alguém pode usar uma senha capturada para se passar por administrador de sistema.
-
RADIUS — Você deve usar o RADIUS quando suas prioridades são a interoperabilidade e o desempenho.
-
Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Embora o TACACS+ ofereça mais protocolos, o RADIUS tem suporte universal.
-
Desempenho — O RADIUS é muito mais leve em seus roteadores e switches do que o TACACS+. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS em vez do TACACS+.
-
-
TACACS+— Você deve usar o TACACS+ quando suas prioridades são segurança e flexibilidade.
-
Segurança — O TACACS+ é mais seguro que o RADIUS. Não só a sessão completa é criptografada, mas a autorização e a autenticação são feitas separadamente para impedir que qualquer pessoa tente forçar sua entrada em sua rede.
-
Flexibilidade — O protocolo de controle de transmissão (TCP) é um protocolo de transporte mais flexível do que o UDP. Você pode fazer mais com o TCP em redes mais avançadas. Além disso, o TACACS+ oferece suporte a mais protocolos empresariais, como o NetBIOS.
-