Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Autenticação RADIUS

Junos OS oferece suporte ao RADIUS para autenticação central dos usuários em dispositivos de rede. Para usar a autenticação RADIUS no dispositivo, você (o administrador de rede) deve configurar informações sobre um ou mais servidores RADIUS na rede. Você também pode configurar a contabilidade RADIUS no dispositivo para coletar dados estatísticos sobre os usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade RADIUS.

Configure a autenticação do servidor RADIUS

A autenticação RADIUS é um método de autenticação de usuários que tentam acessar um dispositivo de rede. As seções a seguir descrevem por que você usaria o RADIUS e como configurá-lo.

Por que usar o RADIUS

Você (o administrador de rede) pode usar diferentes protocolos para a autenticação central dos usuários em dispositivos de rede, incluindo RADIUS e TACACS+. Recomendamos o RADIUS porque é um padrão IETF de vários fornecedores e seus recursos são mais amplamente aceitos do que os do TACACS+ ou outros sistemas proprietários. Além disso, recomendamos usar um sistema de senha única para aumentar a segurança, e todos os fornecedores desses sistemas oferecem suporte ao RADIUS.

Você deve usar o RADIUS quando suas prioridades são a interoperabilidade e o desempenho:

  • Interoperabilidade — o RADIUS é mais interoperável do que o TACACS+, principalmente devido à natureza proprietária do TACACS+. Embora o TACACS+ ofereça mais protocolos, o RADIUS tem suporte universal.

  • Desempenho — O RADIUS é muito mais leve em seus roteadores e switches. Por esse motivo, os engenheiros de rede geralmente preferem o RADIUS em vez do TACACS+.

Configure os detalhes do servidor RADIUS

Para usar a autenticação RADIUS no dispositivo, configure informações sobre um ou mais servidores RADIUS na rede, incluindo uma radius-server declaração no nível de [edit system] hierarquia para cada servidor RADIUS. O dispositivo consulta os servidores RADIUS na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O dispositivo de rede pode mapear usuários autenticados pelo RADIUS para uma conta de usuário ou conta modelo de usuário definida localmente, que determina a autorização. Por padrão, Junos OS atribui usuários autenticados por RADIUS à conta remotemodelo do usuário, se configurado, quando:

  • O usuário autenticado não tem uma conta de usuário configurada no dispositivo local.

  • O servidor RADIUS não atribui o usuário a um modelo de usuário local ou o modelo que o servidor atribui não está configurado no dispositivo local.

O servidor RADIUS pode atribuir um usuário autenticado a um modelo de usuário diferente para conceder diferentes permissões administrativas a esse usuário. O usuário mantém o mesmo nome de login na CLI, mas herda a classe de login, privilégios de acesso e ID de usuário eficaz do modelo atribuído. Se o usuário autenticado pelo RADIUS não mapear para nenhuma conta de usuário ou modelo de usuário definido localmente, e o remote modelo não estiver configurado, a autenticação falhará.

Nota:

O remote nome de usuário é um caso Junos OS especial e deve ser sempre minúscula. Ele atua como um modelo para usuários que são autenticados por um servidor remoto, mas não têm uma conta de usuário configurada localmente no dispositivo. Junos OS aplica as permissões do modelo a remote esses usuários autenticados sem uma conta definida localmente. Todos os usuários mapeados para o remote modelo estão na mesma classe de login.

Como você configura a autenticação remota em vários dispositivos, é comum configurá-la dentro de um grupo de configuração. As etapas mostradas aqui estão em um grupo de configuração chamado global. Usar um grupo de configuração é opcional.

Para configurar a autenticação por um servidor RADIUS:

  1. Configure o endereço IPv4 ou o endereço IPv6 do servidor de autenticação RADIUS.

    Por exemplo:

  2. (Opcional) Configure o endereço fonte do pacote para solicitações enviadas ao servidor RADIUS.

    Por exemplo:

    O endereço de origem é um endereço IPv4 válido ou endereço IPv6 configurado em uma das interfaces de roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor RADIUS, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor RADIUS. Fazer isso define um endereço fixo como o endereço fonte para pacotes de IP gerados localmente.

  3. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor RADIUS.

    A senha configurada deve combinar com a senha configurada no servidor RADIUS. Se a senha contém espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  4. (Opcional) Especifique a porta em que entrar em contato com o servidor RADIUS, se diferente do padrão.

    A porta padrão é 1812 (conforme especificado na RFC 2865).

    Por exemplo:

    Nota:

    Você também pode configurar a accounting-port declaração para especificar em qual porta de servidor RADIUS enviar pacotes de contabilidade. O padrão é 1813 (conforme especificado no RFC 2866).
  5. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com o servidor RADIUS e o tempo que o dispositivo espera para receber uma resposta do servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e espera três segundos. Você pode configurar o retry valor de 1 a 100 vezes e o timeout valor de 1 a 1000 segundos.

    Por exemplo, entre em contato com um servidor RADIUS 2 vezes e aguarde 10 segundos por uma resposta:

  6. Especifique a ordem de autenticação e inclua a opção radius .

    No exemplo a seguir, sempre que um usuário tenta fazer login, Junos OS primeiro consulta o servidor RADIUS para autenticação. Se isso falhar, ele consulta o servidor TACACS+. Se isso falhar, ele tenta autenticação com contas de usuário configuradas localmente.

  7. Atribua uma aula de login a usuários autenticados pelo RADIUS que não têm uma conta de usuário definida localmente.

    Você configura uma conta modelo de usuário da mesma forma que uma conta de usuário local, exceto que você não configura uma senha de autenticação local porque o servidor RADIUS autentica o usuário.

    • Para usar as mesmas permissões para todos os usuários autenticados pelo RADIUS, configure o modelo do remote usuário.

      Por exemplo:

    • Para usar diferentes aulas de login para diferentes usuários autenticados por RADIUS, concedendo-lhes diferentes permissões:

      1. Crie vários modelos de usuário na Junos OS configuração. Por exemplo:

      2. Configure o servidor RADIUS para mapear o usuário autenticado para o modelo de usuário apropriado.

        Defina o nome do usuário local juniper Juniper VSA (atributo específico do fornecedor) (Fornecedor 2636, tipo 1, string) para o nome de um modelo de usuário configurado no dispositivo, que no exemplo anterior é RO, OP ou SU. O servidor RADIUS inclui o atributo na mensagem RADIUS Access-Accept. A autenticação falha se o dispositivo não puder atribuir um usuário a uma conta de usuário local ou modelo de usuário, e o remote modelo de usuário não estiver configurado.

Configure o RADIUS para usar a instância de gerenciamento

Por padrão, Junos OS roteia pacotes de autenticação, autorização e contabilidade para RADIUS por meio da instância de roteamento padrão. Você também pode rotear pacotes RADIUS por uma interface de gerenciamento em uma instância VRF não padrão.

Para rotear pacotes RADIUS pela mgmt_junos instância de gerenciamento:

  1. Habilite a instância de mgmt_junos gerenciamento.

  2. Configure a routing-instance mgmt_junos declaração para o servidor de autenticação RADIUS e o servidor de contabilidade RADIUS, se configurado.

Exemplo: Configure um servidor RADIUS para autenticação do sistema

Este exemplo configura a autenticação do sistema por meio de um servidor RADIUS.

Requisitos

Antes de começar:

  • Execute a configuração inicial do dispositivo. Veja o guia de início do seu dispositivo.

  • Configure pelo menos um servidor RADIUS em sua rede.

Visão geral

Neste exemplo, você adiciona um novo servidor RADIUS com um endereço IP de 172.16.98.1. Você especifica a senha secreta compartilhada do servidor RADIUS como Radiussecret1. O dispositivo armazena o segredo no banco de dados de configuração como um valor criptografado. Por fim, você especifica o endereço fonte que o dispositivo usa em solicitações de servidor RADIUS. Na maioria dos casos, você pode usar o endereço de loopback do dispositivo, que neste exemplo é 10.0.0.1.

Você pode configurar o suporte para vários métodos de autenticação de usuários, como a autenticação local de senhas, RADIUS e TACACS+, no dispositivo de rede, Quando você configura vários métodos de autenticação, você pode priorizar a ordem em que o dispositivo tenta os diferentes métodos. Neste exemplo, você configura o dispositivo para usar os serviços de autenticação RADIUS primeiro e, em seguida, se isso falhar, para tentar a autenticação de senha local.

Um usuário autenticado pelo RADIUS deve mapear para uma conta de usuário local ou uma conta de modelo de usuário local no dispositivo de rede, que determina a autorização. Por padrão, se um usuário autenticado por RADIUS não mapear para uma conta de usuário local ou um modelo de usuário específico, o usuário será atribuído ao modelo do remote usuário, se configurado. Este exemplo configura o modelo do remote usuário.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

Para configurar um servidor RADIUS para autenticação do sistema:

  1. Adicione um novo servidor RADIUS e defina seu endereço IP.

  2. Especifique o segredo compartilhado (senha) do servidor RADIUS.

  3. Especifique o endereço de loopback do dispositivo como endereço fonte.

  4. Especifique a ordem de autenticação do dispositivo e inclua a opção radius .

  5. Configure o modelo de remote usuário e sua classe de login.
Resultados

No modo de configuração, confirme sua configuração inserindo o show system comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

A saída a seguir inclui apenas aquelas partes da hierarquia de configuração que são relevantes para este exemplo.

Após a configuração do dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração do servidor RADIUS

Propósito

Verifique se o servidor RADIUS autentica os usuários.

Ação

Faça login no dispositivo de rede e verifique se o login é bem-sucedido. Para verificar se o dispositivo usa o servidor RADIUS para autenticação, você pode tentar fazer login com uma conta que não define uma senha de autenticação local na configuração.

Configure a autenticação RADIUS (Série QFX ou Série OCX)

A autenticação RADIUS é um método de autenticação de usuários que tentam acessar o roteador ou switch. As tarefas para configurar a autenticação RADIUS são:

Nota:

A source-address declaração não é suportada no [edit system-radius-server name] nível hierárquico do sistema QFabric.

Configure os detalhes do servidor RADIUS

Para usar a autenticação RADIUS no roteador ou switch, configure informações sobre um ou mais servidores RADIUS na rede, incluindo uma radius-server declaração no nível de [edit system] hierarquia para cada servidor RADIUS:

server-address é o endereço do servidor RADIUS.

Você pode especificar uma porta na qual entrar em contato com o servidor RADIUS. Por padrão, a porta número 1812 é usada (conforme especificado na RFC 2865). Você também pode especificar uma porta de contabilidade para enviar pacotes de contabilidade. O padrão é 1813 (conforme especificado no RFC 2866).

Você deve especificar uma senha na secret password declaração. Se a senha contém espaços, coloque-a entre aspas. O segredo usado pelo roteador ou switch local deve combinar com o usado pelo servidor.

Opcionalmente, você pode especificar o tempo que o roteador ou switch local espera para receber uma resposta de um servidor RADIUS (na timeout declaração) e o número de vezes que o roteador ou switch tenta entrar em contato com um servidor de autenticação RADIUS (na retry declaração). Por padrão, o roteador ou switch espera 3 segundos. Você pode configurar isso como um valor de 1 a 90 segundos. Por padrão, o roteador ou switch tenta novamente a conexão ao servidor três vezes. Você pode configurar isso como um valor de 1 a 10 vezes.

Você pode usar a source-address declaração para especificar um endereço lógico para servidores individuais ou vários servidores RADIUS.

Para configurar vários servidores RADIUS, inclua várias radius-server declarações.

Para configurar um conjunto de usuários que compartilham uma única conta para fins de autorização, você cria um usuário modelo. Para fazer isso, inclua a user declaração no nível de [edit system login] hierarquia, conforme descrito em Exemplo: Configure a ordem de autenticação.

Você também pode configurar a autenticação RADIUS nos níveis de [edit access][edit access profile] hierarquia. O Junos OS usa a seguinte ordem de pesquisa para determinar qual conjunto de servidores é usado para autenticação:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

Configure o MS-CHAPv2 para suporte a alterações de senha

Antes de configurar o MS-CHAPv2 para suporte a alterações de senha, certifique-se de:

  • Configure os parâmetros de autenticação do servidor RADIUS.

  • Definir para authentication-order usar o servidor RADIUS para a tentativa inicial de senha.

Você pode configurar a implementação da Microsoft do Challenge Authentication Protocol versão 2 (MS-CHAPv2) no roteador ou switch para oferecer suporte à mudança de senhas. Esse recurso oferece aos usuários que acessam um roteador ou switch a opção de alterar a senha quando a senha expirar, é redefinida ou está configurada para ser alterada no próximo login.

Para configurar o MS-CHAP-v2, inclua as seguintes declarações no nível de [edit system radius-options] hierarquia:

O exemplo a seguir mostra declarações para configurar o protocolo de senha MS-CHAPv2, ordem de autenticação de senha e contas de usuário:

Especifique um endereço fonte para o Junos OS acessar servidores RADIUS externos

Você pode especificar qual endereço de origem o Junos OS usa ao acessar sua rede para entrar em contato com um servidor RADIUS externo para autenticação. Você também pode especificar qual endereço de origem o Junos OS usa ao entrar em contato com um servidor RADIUS para o envio de informações contábeis.

Para especificar um endereço fonte para um servidor RADIUS, inclua a source-address declaração no nível de [edit system radius-server server-address] hierarquia:

source-address é um endereço IP válido configurado em uma das interfaces de roteador ou interfaces de switch.

Consulte também

Atributos RADIUS específicos do fornecedor da Juniper Networks

O Junos OS oferece suporte à configuração de atributos específicos (VSAs) do fornecedor RADIUS da Juniper Networks no servidor de autenticação. Esses VSAs são encapsulados em um atributo específico do fornecedor RADIUS com o conjunto de ID do fornecedor para o número de ID da Juniper Networks, 2636.

Tabela 1 lista os VSAs da Juniper Networks que você pode configurar.

Alguns dos atributos aceitam expressões regulares estendidas, conforme definido no POSIX 1003.2. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Para obter mais informações, veja:

Tabela 1: Atributos RADIUS específicos do fornecedor da Juniper Networks

Nome

Descrição

Tipo

Comprimento

Corda

Nome do usuário local da Juniper

Indica o nome do modelo de usuário atribuído a este usuário quando o usuário faz login em um dispositivo. Este atributo é usado apenas em pacotes de aceitação de acesso.

1

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Juniper-Allow-Commands

Contém uma expressão regular estendida que permite ao usuário executar comandos, além desses comandos autorizados pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

2

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Comandos Juniper-Deny

Contém uma expressão regular estendida que nega a permissão do usuário para executar comandos autorizados pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

3

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Configuração de permitir a Juniper

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

4

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Configuração da Juniper-Deny

Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

5

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Comando interativo da Juniper

Indica o comando interativo inserido pelo usuário. Este atributo é usado apenas em pacotes de solicitação de contabilidade.

8

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Mudança de configuração da Juniper

Indica o comando interativo que resulta em uma mudança de configuração (banco de dados). Este atributo é usado apenas em pacotes de solicitação de contabilidade.

9

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

Permissões do usuário da Juniper

Contém informações que o servidor usa para especificar permissões do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

Nota:

Quando o servidor RADIUS define o Juniper-User-Permissions atributo para conceder a maintenance permissão ou all permissão a um usuário, a lista de membros do grupo do usuário não inclui automaticamente o grupo de rodas UNIX. Algumas operações, como executar o su root comando de uma concha local, exigem permissões de associação de grupos de rodas. No entanto, quando o dispositivo de rede define uma conta de usuário local com as permissões maintenance ou all, o usuário é automaticamente concedido a associação ao grupo de rodas UNIX. Por isso, recomendamos que você crie uma conta modelo de usuário com as permissões necessárias e associe contas de usuário individuais com a conta modelo do usuário.

10

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis.

A corda é uma lista de bandeiras de permissão separadas por um espaço. O nome exato de cada bandeira deve ser especificado em sua totalidade.

Veja Visão geral dos níveis de privilégio de acesso.

Tipo de autenticação da Juniper

Indica o método de autenticação (banco de dados local ou servidor RADIUS) usado para autenticar um usuário. Se o usuário for autenticado usando um banco de dados local, o valor do atributo mostra "local". Se o usuário for autenticado usando um radius ou servidor LDAP, o valor do atributo mostra "remoto".

11

≥5

Um ou mais octets contendo caracteres ASCII imprimíveis.

Juniper-Session-Port

Indica o número de porta de origem da sessão estabelecida.

12

tamanho de inteiro

Inteiro

Juniper-Allow-Configuration-Regexps (somente RADIUS)

Contém uma expressão regular estendida que permite ao usuário visualizar e modificar declarações de configuração, além dessas declarações autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

13

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Juniper-Deny-Configuration-Regexps (somente RADIUS)

Contém uma expressão regular estendida que nega a permissão do usuário de visualizar ou modificar declarações de configuração autorizadas pelos bits de permissão de classe de login do usuário. Este atributo é usado apenas em pacotes de aceitação de acesso.

14

≥3

Um ou mais octets contendo caracteres ASCII imprimíveis, na forma de uma expressão regular estendida.

Para obter mais informações sobre os VSAs, consulte RFC 2138, Remote Authentication Dial In User Service (RADIUS).

Use expressões regulares em um servidor RADIUS ou TACACS+ para permitir ou negar comandos

Junos OS pode mapear usuários autenticados por RADIUS e TACACS+em uma conta de usuário ou conta de modelo de usuário definida localmente, que define os privilégios de acesso do usuário. Você também pode configurar opcionalmente os privilégios de acesso de um usuário definindo os atributos específicos de fornecedor (VSAs) da Juniper Networks RADIUS e TACACS+ no respectivo servidor de autenticação.

A classe de login de um usuário define o conjunto de permissões que determina quais comandos de modo operacional e de configuração um usuário está autorizado a executar e quais áreas da configuração um usuário pode visualizar e modificar. Uma aula de login também pode definir expressões regulares que permitem ou negam a um usuário a capacidade de executar determinados comandos ou visualizar e modificar determinadas áreas da configuração, além do que as bandeiras de permissão autorizam. Uma aula de login pode incluir as seguintes declarações para definir a autorização do usuário:

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

Da mesma forma, uma configuração de servidor RADIUS ou TACACS+ pode usar os VSAs da Juniper Networks para definir permissões específicas ou expressões regulares que determinam os privilégios de acesso de um usuário. Para a lista de VSAs RADIUS e TACACS+ suportados, veja o seguinte:

Você pode definir permissões de usuário no servidor RADIUS ou TACACS+ como uma lista de valores separados por espaço.

  • Um servidor RADIUS usa o seguinte atributo e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa o seguinte atributo e sintaxe:

    Por exemplo:

Um servidor RADIUS ou TACACS+ também pode definir VSAs da Juniper Networks que usam uma única expressão regular estendida (conforme definido no POSIX 1003.2) para permitir ou negar a um usuário a capacidade de executar determinados comandos ou visualizar e modificar áreas da configuração. Você inclui vários comandos ou hierarquias de configuração em parênteses e os separa usando um símbolo de pipe. Se a expressão regular contém quaisquer espaços, operadores ou caracteres curingas, coloque-a entre aspas. Quando você configura parâmetros de autorização local e remotamente, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares definidas no dispositivo local.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

    Por exemplo:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo:

Os servidores RADIUS e TACACS+ também oferecem suporte à configuração de atributos que correspondem às mesmas *-regexps declarações que você pode configurar no dispositivo local. Os *-regexps atributos TACACS+ e os *-Regexps atributos RADIUS usam a mesma sintaxe de expressão regular que os atributos anteriores, mas permitem que você configure expressões regulares com variáveis.

  • Um servidor RADIUS usa os seguintes atributos e sintaxe:

  • Um servidor TACACS+ usa os seguintes atributos e sintaxe:

    Por exemplo, a configuração do servidor TACACS+ pode definir os seguintes atributos:

Em um servidor RADIUS ou TACACS+, você também pode definir os atributos usando uma sintaxe simplificada onde você especifica cada expressão individual em uma linha separada.

Para um servidor RADIUS, especifique as expressões regulares individuais usando a seguinte sintaxe:

Para um servidor TACACS+, especifique as expressões regulares individuais usando a seguinte sintaxe:

Nota:

  • Na sintaxe do servidor TACACS+, os valores numéricos de 1 a n 0 devem ser únicos, mas não precisam ser sequenciais. Por exemplo, a seguinte sintaxe é válida:

  • O servidor RADIUS ou TACACS+ impõe um limite ao número de linhas de expressão regulares individuais.

  • Quando você emite o show cli authorization comando, a saída de comando exibe a expressão regular em uma única linha, mesmo se você especificar cada expressão individual em uma linha separada.

Os usuários podem verificar sua classe, permissões e autorização de comando e configuração emitindo o comando do show cli authorization modo operacional.

Nota:

Quando você configura os parâmetros de autorização localmente no dispositivo de rede e remotamente no servidor RADIUS ou TACACS+, o dispositivo mescla as expressões regulares recebidas durante a autorização TACACS+ ou RADIUS com quaisquer expressões regulares configuradas localmente. Se a expressão final contém um erro de sintaxe, o resultado geral é uma expressão regular inválida.

Diretrizes vsa de filtro de comutação da Juniper, condições e ações de correspondência

Os dispositivos oferecem suporte à configuração de atributos de servidor RADIUS específicos para a Juniper Networks. Esses atributos são conhecidos como atributos específicos do fornecedor (VSAs) e são descritos no RFC 2138, Remote Authentication Dial In User Service (RADIUS). Atributos específicos do fornecedor estendem a funcionalidade do servidor RADIUS para além da fornecida pelos atributos padrão públicos, permitindo a implementação de muitos recursos úteis necessários para o gerenciamento de assinantes e suporte de serviços.

Os VSAs da Juniper Networks têm o ID do fornecedor definido para 2636.

Os atributos são campos de texto claros enviados do servidor RADIUS para o dispositivo como resultado do sucesso ou falha da autenticação. A autenticação impede o acesso não autorizado do usuário bloqueando um suplicante na porta até que o dispositivo seja autenticado pelo servidor RADIUS. A implementação de atributos de filtragem com autenticação no servidor RADIUS fornece uma localização central para o controle do acesso lan para suplicantes.

O atributo Juniper-Switching-Filter funciona em conjunto com a autenticação 802.1X para controlar centralmente o acesso de suplicantes à rede. Você pode usar este atributo para configurar filtros no servidor RADIUS. Esses filtros são enviados ao switch e aplicados a usuários que foram autenticados usando autenticação 802.1X.

O filtro de comutação da Juniper pode conter um ou mais termos de filtro. Os termos do filtro são configurados usando uma ou mais condições de correspondência com uma ação resultante. As condições de correspondência são os critérios que um pacote deve atender para que uma ação configurada seja aplicada nele. A ação configurada é a ação que o switch toma se um pacote atender aos critérios especificados nas condições de correspondência. A ação que o switch pode tomar é aceitar ou negar um pacote.

Adicionar um filtro de firewall de porta a um servidor RADIUS elimina a necessidade de adicionar o filtro a várias portas e dispositivos. Uma maneira de fazer isso é aplicar um filtro de firewall de porta previamente configurado diretamente ao servidor RADIUS usando o VSA de nome do filtro de firewall da Juniper. Como atributos de filtragem de porta, este filtro é aplicado durante o processo de autenticação e suas ações são aplicadas na porta do dispositivo.

Diretrizes do VSA

Os atributos RADIUS específicos do fornecedor têm um máximo de 247 caracteres por atributo. Se for necessário mais comprimento, a Juniper oferece suporte a várias instâncias do mesmo atributo, até 4000 caracteres. Para oferecer suporte a filtros que excedem 247 caracteres, use vários atributos de filtro de comutação da Juniper. O exemplo abaixo mostra dois atributos, cada um contendo um novo termo de filtro que está dentro do limite de 247 caracteres:

Nota:

O limite de caracteres 4000 está sujeito ao MTU suportado tanto no servidor RADIUS quanto no dispositivo Juniper, e ao número de outros atributos RADIUS usados.

As seguintes diretrizes aplicam-se às condições e ações de correspondência VSA:

  • Tanto a match declaração quanto a action declaração são obrigatórias.

  • Se nenhuma condição de correspondência for especificada, qualquer pacote é considerado compatível por padrão.

  • Se nenhuma ação for especificada, a ação padrão é negar o pacote.

  • Qualquer ou todas as opções podem ser incluídas em cada match declaração action .

  • A operação AND é realizada em campos de um tipo diferente, separados por vírgulas. Campos do mesmo tipo não podem ser repetidos.

  • Para que a opção forwarding-class seja aplicada, a classe de encaminhamento deve ser configurada no switch. Se a classe de encaminhamento não estiver configurada no switch, essa opção será ignorada.

Condições de correspondência

Tabela 2 descreve as condições de correspondência que você pode especificar ao configurar um atributo VSA como um filtro de firewall usando o match comando no servidor RADIUS. A corda que define uma condição de correspondência é chamada de declaração de correspondência.

Tabela 2: Condições de correspondência

Opção

Descrição

destination-mac mac-address

Endereço de controle de acesso de mídia de destino (MAC) do pacote.

source-dot1q-tag tag

Valor de tag no cabeçalho 802.1Q, no intervalo 0 até 4095.

destination-ip ip-address

Endereço do nó de destino final.

ip-protocol protocol-id

Valor do protocolo IPv4. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto:

ah, egp (8), esp (50, gre (47), , icmp (1), igmp (2), ipip (4), ipv6 (41), , ospf (89), pim (103), rsvp (46)tcp (6)ouudp (17)

source-port port

Campo de porta de origem do TCP ou do protocolo de datagrama do usuário (UDP). Normalmente, você especifica esta declaração de correspondência em conjunto com a declaração de ip-protocol correspondência para determinar qual protocolo está sendo usado na porta. No lugar do campo numérico, você pode especificar uma das opções de texto listadas em destination-port.

destination-port port

Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta declaração de correspondência em conjunto com a declaração de ip-protocol correspondência para determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67)ntp (123)xdmcp (177)ntalk (518)talk (517)who (513)nfsd (2049)telnet (23)timed (525)netbios-ssn (139)sunrpc (111)tftp (69)netbios-dgm (138)socks (1080)tacacs-ds (65)msdp (639)snmptrap (162)syslog (514)mobileip-agent (434)smtp (25)ssh (22)login (513)rip (520)snpp (444)kshell (544)radacct (1813)snmp (161)rkinit (2108)radius (1812)pptp (1723)printer (515)pop3 (110)netbios-ns (137)nntp (119)mobilip-mn (435)krbupdate (760)ldap (389)krb-prop (754)klogin (543)kpasswd (761)kerberos-sec (88)ident (113)imap (143)https (443)http (80)cvspserver (2401)ftp-data (20)ftp (21)cmd (514)finger (79)exec (512)domain (53)dhcp (67)eklogin (2105)ekshell (2106), zephyr-clt (2103)zephyr-hm (2104)

Ações

Quando você define um ou mais termos que especificam os critérios de filtragem, você também define a ação a ser tomada se o pacote corresponde a todos os critérios. Tabela 3 mostra as ações que você pode especificar em um termo.

Tabela 3: Ações para VSAs

Opção

Descrição

(allow | deny)

Aceite um pacote ou descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).

forwarding-class class-of-service

(Opcional) Classifique o pacote em uma das seguintes aulas de encaminhamento:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-prioritymedium |low | high)

(Opcional) Definir a prioridade de perda de pacotes (PLP) para low, mediumou high. Especifique a classe de encaminhamento e a prioridade de perda.

Consulte também

Entendendo a contabilidade RADIUS

Os dispositivos de rede oferecem suporte a IETF RFC 2866, Contabilidade RADIUS. Você pode configurar a contabilidade RADIUS em um dispositivo para coletar dados estatísticos sobre usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade RADIUS. Os dados estatísticos podem ser usados para monitoramento geral da rede, análise e rastreamento de padrões de uso, ou cobrança de um usuário com base na duração da sessão ou tipo de serviços acessados.

Para configurar a contabilidade RADIUS, especifique:

  • Um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do dispositivo

  • O tipo de dados contábeis a serem coletados

Você pode usar o mesmo servidor para contabilidade e autenticação RADIUS, ou pode usar servidores separados. Você pode especificar uma lista de servidores de contabilidade RADIUS. O dispositivo consulta os servidores na ordem em que eles estão configurados. Se o servidor primário (o primeiro configurado) estiver indisponível, o dispositivo tenta entrar em contato com cada servidor da lista até receber uma resposta.

O processo de contabilidade RADIUS entre o dispositivo e um servidor RADIUS funciona assim:

  1. Um servidor de contabilidade RADIUS ouve pacotes de protocolo de datagrama de usuário (UDP) em uma porta específica. A porta padrão para contabilidade RADIUS é de 1813.

  2. O dispositivo encaminha um pacote de solicitação de contabilidade contendo um registro de evento para o servidor de contabilidade. O registro de eventos associado a este suplicante contém um atributo do tipo Acct-Status cujo valor indica o início do serviço do usuário para este suplicante. Quando a sessão do suplicante termina, a solicitação de contabilidade contém um valor de atributo tipo Acct-Status indicando o fim do serviço do usuário. O servidor de contabilidade RADIUS registra isso como um registro de stop-accounting contendo informações da sessão e a duração da sessão.

  3. O servidor de contabilidade RADIUS registra esses eventos em um arquivo como registros de contabilidade inicial ou stop-accounting. No FreeRADIUS, o nome do arquivo é o endereço do servidor, como 192.0.2.0.

  4. O servidor de contabilidade envia um pacote de resposta a contabilidade para o dispositivo confirmando que recebeu a solicitação de contabilidade.

  5. Se o dispositivo não receber um pacote de resposta contabilidade do servidor, ele continua a enviar solicitações de contabilidade até que o servidor devolva uma resposta.

Você pode ver as estatísticas coletadas por esse processo no servidor RADIUS. Para ver essas estatísticas, acesse o arquivo de log configurado para recebê-las.

Configure a contabilidade do sistema RADIUS

Quando você habilita a contabilidade RADIUS, os dispositivos da Juniper Networks, atuando como clientes RADIUS, podem notificar o servidor RADIUS sobre atividades do usuário, como logins de software, mudanças de configuração e comandos interativos. A estrutura para a contabilidade RADIUS é descrita em RFC 2866, Radius Accounting.

Configure a auditoria dos eventos do usuário em um servidor RADIUS

Para configurar a contabilidade RADIUS:

  1. Configure os eventos para auditoria.

    Por exemplo:

    events pode incluir um ou mais dos seguintes:

    • login— Logins de auditoria

    • change-log— Mudanças na configuração da auditoria

    • interactive-commands— Audite comandos interativos (qualquer entrada de linha de comando)

  2. Habilite a contabilidade RADIUS.
  3. Configure o endereço para um ou mais servidores de contabilidade RADIUS.

    Por exemplo:

    Nota:

    Se você não configurar nenhum servidor RADIUS no nível de [edit system accounting destination radius] hierarquia, o dispositivo usará os servidores RADIUS configurados no nível de [edit system radius-server] hierarquia.
  4. (Opcional) Configure o endereço fonte para solicitações de contabilidade RADIUS.

    Por exemplo:

    O endereço de origem é um endereço IPv4 válido ou endereço IPv6 configurado em uma das interfaces de roteador ou interfaces de switch. Se o dispositivo de rede tiver várias interfaces que podem chegar ao servidor RADIUS, atribua um endereço IP que o dispositivo possa usar para toda a sua comunicação com o servidor RADIUS. Fazer isso define um endereço fixo como o endereço fonte para pacotes de IP gerados localmente.

  5. Configure a senha secreta compartilhada que o dispositivo de rede usa para autenticar com o servidor de contabilidade RADIUS.

    A senha configurada deve combinar com a senha configurada no servidor RADIUS. Se a senha contém espaços, coloque-a entre aspas. O dispositivo armazena a senha como um valor criptografado no banco de dados de configuração.

    Por exemplo:

  6. (Opcional) Se necessário, especifique a porta do servidor de contabilidade RADIUS para enviar pacotes de contabilidade, se diferente do padrão (1813).
    Nota:

    Se você habilitar a contabilidade RADIUS no nível de [edit access profile profile-name accounting-order] hierarquia, a contabilidade é acionada na porta padrão de 1813, mesmo que você não especifique um valor para a accounting-port declaração.
  7. (Opcional) Configure o número de vezes que o dispositivo tenta entrar em contato com um servidor de contabilidade RADIUS e o tempo que o dispositivo espera para receber uma resposta de um servidor.

    Por padrão, o dispositivo tenta entrar em contato com o servidor três vezes e espera três segundos. Você pode configurar o retry valor de 1 a 100 vezes e o timeout valor de 1 a 1000 segundos.

    Por exemplo, entrar em contato com um servidor 2 vezes e esperar 10 segundos por uma resposta:

  8. (Opcional) Para rotear pacotes de contabilidade RADIUS pela instância de gerenciamento não padrão em vez da instância de roteamento padrão, configure a routing-instance mgmt_junos declaração.
  9. (Opcional) Configure a enhanced-accounting declaração no nível de [edit system radius-options] hierarquia para incluir atributos de contabilidade adicionais, incluindo método de acesso, porta remota e privilégios de acesso para eventos de login do usuário.
    Nota:

    Para limitar o número de valores de atributo para auditoria, configure a enhanced-avs-max <number> declaração no nível hierárquica [edit system accounting] .

O exemplo a seguir configura três servidores (10.5.5.5, 10.6.6.6 e 10.7.7.7) para contabilidade RADIUS:

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
18.1R1
A partir do Junos OS Release 18.1R1, o comportamento RADIUS existente é aprimorado para oferecer suporte a uma interface de gerenciamento em uma instância VRF não padrão.