启用远程身份验证时的 Junos Space 登录行为

本主题介绍仅启用远程身份验证或启用远程本地身份验证的 Junos Space 网络管理平台登录行为。

警告：

为避免 BEAST TLS 1.0 攻击，每当您在浏览器选项卡或窗口中登录 Junos Space 网络管理平台时，请确保该选项卡或窗口以前未用于浏览非 HTTPS 网站。最佳做法是关闭浏览器并重新启动，然后再登录 Junos Space 平台。

系统行为会有所不同，具体取决于您选择“仅远程身份验证”还是“远程本地身份验证”作为 Junos Space 平台的身份验证模式。当远程身份验证服务器不对用户进行身份验证时，会出现差异。根据远程服务器返回的答案，授权来源也存在差异。

图 1 显示了选择“仅远程认证”或“远程本地认证”且远程认证服务器接受用户时的决策树底层系统行为。

图 2 显示了远程身份验证服务器拒绝用户或根本不响应时的决策树。

以下部分介绍启用仅远程身份验证或远程本地身份验证模式时的登录行为。

注意：

当远程用户使用包含 @ 符号或反斜杠（\）字符的用户名登录时，Junos Space Platform 会忽略用户名中 @ 符号后面的部分或反斜杠字符前面的部分，并使用用户名的其余部分进行身份验证。例如，如果远程用户使用 abc@domain、 abc@domain.com 或 domain\abc 作为用户名，则 Junos Space Platform 仅使用 abc 对用户进行身份验证。如果数据库中有 abc 条目，则相应的远程配置文件将应用于用户。如果数据库中没有与给定示例中的用户名 abc 对应的条目，则 Junos Space 平台将创建一个名为 abc 的只读用户帐户并分配远程配置文件。

表 1 列出了启用仅远程身份验证模式时的各种方案以及每个方案的身份验证和授权行为。

表 1：仅启用远程身份验证的登录行为
场景	登录行为
用户使用正确的凭据登录	如果用户的密码位于远程服务器上，并且 Junos Space Platform 中有相应的远程配置文件，则用户将使用远程配置文件分配的角色登录。如果用户的密码在远程服务器上，但在 Junos Space 平台中没有等效的远程配置文件，则用户将使用从 Junos Space 数据库用户信息中分配的角色登录（如果 Junos Space 数据库中存在相应的用户帐户）。如果 Junos Space 平台中没有等效的远程配置文件或用户帐户，则用户将被拒绝访问。如果存在第一个远程身份验证服务器，则仅会联系该服务器，登录成功或失败完全取决于存储在那里的密码。如果无法访问第一个身份验证服务器，则按指定顺序联系其他服务器。如果无法访问认证服务器，将检查 Junos Space Platform 数据库中的本地密码。如果在 Junos Space 中配置了紧急密码且凭据匹配，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，用户将被拒绝访问。注意：对于远程身份验证和授权，大多数用户不需要本地密码。在这种情况下，本地密码仅用于无法访问远程身份验证服务器的紧急情况。
用户使用不正确的凭据登录或远程身份验证服务器上不存在用户	对 Junos Space 平台的访问被拒绝。注意：出于安全考虑，身份验证服务器不会区分这两种情况（即，用户使用不正确的凭据登录，或者远程身份验证服务器上不存在用户）。因此，Junos Space 平台必须始终将此类登录视为身份验证失败。如果无法访问身份验证服务器，Junos Space 平台将尝试使用本地密码。如果在 Junos Space 中配置了紧急密码且凭据匹配，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，用户将被拒绝访问。
当远程身份验证服务器配置为质询/响应时，用户尝试登录	如果远程认证服务器指示需要质询，则提供质询问题。Junos Space 平台会在 Junos Space 登录页面上向用户显示质询问题，并等待用户的回复。如果质询问题的答案正确，则身份验证服务器可能会提出其他质询问题。如果质询问题的答案不正确，则身份验证服务器可能会使用相同的质询问题重新质询用户，使用不同的质询问题或完全失败登录尝试。远程身份验证服务器配置决定了行为。如果正确回答了最后一个质询问题，则用户将成功登录。

Login Behavior with Remote-Local Authentication Enabled

表 2 列出了启用远程-本地身份验证模式时的各种方案以及每个方案的身份验证和授权行为。

表 2：启用远程本地身份验证的登录行为
场景	登录行为
用户使用正确的凭据登录	如果用户的密码位于远程服务器上，并且 Junos Space Platform 中有相应的远程配置文件，则用户将使用远程配置文件分配的角色登录。如果用户的密码在远程服务器上，但 Junos Space 数据库中没有等效的远程配置文件，则 Junos Space 平台将检查 Junos Space 数据库中是否存在用户帐户。如果用户帐户存在，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，用户将被拒绝访问。如果无法访问远程服务器，Junos Space 平台会尝试在本地对用户进行身份验证。如果 Junos Space 平台用户帐户和本地密码存在且凭据匹配，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，用户将被拒绝访问。
用户使用不正确的凭据登录或远程身份验证服务器上不存在用户	Junos Space 平台首先检查远程身份验证服务器。如果身份验证失败或无法访问服务器，Junos Space 平台将尝试在本地对用户进行身份验证。如果 Junos Space 平台用户帐户和本地密码存在且凭据匹配，则用户将使用从 Junos Space 数据库用户信息中分配的角色成功登录。否则，用户将被拒绝访问。
当远程身份验证服务器配置为质询/响应时，用户尝试登录	如果远程认证服务器指示需要质询，则提供质询问题。Junos Space 平台会在 Junos Space 登录页面上向用户显示质询问题，并等待用户的回复。如果质询问题的答案正确，则身份验证服务器可能会提出其他质询问题。如果质询问题的答案不正确，则身份验证服务器可能会使用相同的质询问题重新质询用户，使用不同的质询问题或完全失败登录尝试。远程身份验证服务器配置决定了行为。如果正确回答了最后一个质询问题，则用户将成功登录。

启用远程身份验证时的 Junos Space 登录行为

相关主题