Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

TACACS+ 인증

Junos OS은(는) 네트워크 디바이스에서 사용자의 중앙 인증을 위한 TACACS+를 지원합니다. 디바이스에서 TACACS+ 인증을 사용하기 위해 네트워크 관리자는 네트워크에 있는 하나 이상의 TACACS+ 서버에 대한 정보를 구성해야 합니다. 또한 LAN에 로그인 및 로그아웃을 하는 사용자에 대한 통계 데이터를 수집하여 TACACS+ 계정 서버로 전송하도록 디바이스에 TACACS+ 계정을 구성할 수도 있습니다.

TACACS+ 인증 구성

TACACS+ 인증은 네트워크 디바이스에 액세스하려는 사용자를 인증하는 방법입니다.

TACACS+를 구성하려면 다음 작업을 수행합니다.

TACACS+ 서버 상세 정보 구성

디바이스에서 TACACS+ 인증을 사용하려면 각 TACACS+ 서버의 [edit system] 계층 수준에서 하나의 tacplus-server문을 포함하여 네트워크에 있는 하나 이상의 TACACS+ 서버에 대한 정보를 구성합니다. 디바이스는 TACACS+ 서버를 구성된 순서대로 쿼리합니다. 주 서버(구성된 첫 번째 서버)를 사용할 수 없는 경우 디바이스는 응답을 수신할 때까지 목록의 각 서버에 연결을 시도합니다.

네트워크 디바이스는 TACACS+ 인증된 사용자를 로컬로 정의된 사용자 계정 또는 사용자 템플릿 계정에 매핑하여 권한 부여를 결정할 수 있습니다. 기본적으로 Junos OS은(는) 다음과 같은 경우 TACACS+ 인증된 사용자를 사용자 템플릿 계정 remote(구성된 경우)에 할당합니다.

  • 인증 사용자는 로컬 디바이스에 구성된 사용자 계정이 없습니다.

  • TACACS+ 서버가 사용자를 로컬 사용자 템플릿에 할당하지 않거나 서버가 할당하는 템플릿이 로컬 디바이스에 구성되어 있지 않습니다.

TACACS+ 서버는 인증된 사용자를 다른 사용자 템플릿에 할당하여 해당 사용자에게 다른 관리 권한을 부여할 수 있습니다. 사용자는 CLI에서 동일한 로그인 이름을 보유하지만 할당된 템플릿에서 로그인 클래스, 액세스 권한 및 효과적인 사용자 ID를 상속합니다. TACACS+ 인증된 사용자가 로컬로 정의된 사용자 계정 또는 사용자 템플릿에 매핑되지 않고 remote 템플릿이 구성되지 않은 경우 인증이 실패합니다.

주:

remote 사용자 이름은 Junos OS에서 특별한 사례로, 반드시 소문자여야 합니다. 원격 서버가 인증하지만 디바이스에 로컬 구성된 사용자 계정이 없는 사용자의 템플릿으로 사용됩니다. Junos OS은(는) 로컬 정의 계정 없이 이러한 인증 사용자에게 remote 템플릿 권한을 적용합니다. remote 템플릿에 매핑된 모든 사용자는 동일한 로그인 클래스에 있습니다.

원격 인증은 여러 디바이스에 구성되므로 일반적으로 구성 그룹 내에서 구성됩니다. 여기에 제시된 단계는 소위 global(이)라는 구성 그룹에 있습니다. 구성 그룹을 사용하는 것은 선택 사항입니다.

TACACS+ 서버에 의한 인증을 구성하려면,

  1. TACACS+ 인증 서버의 IPv4 주소 또는 IPv6 주소를 구성합니다.

    예:

  2. (선택 사항)TACACS+ 서버로 전송된 요청에 대한 패킷 원본 주소를 구성합니다.

    예:

    소스 주소는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 또는 IPv6 주소입니다. 네트워크 디바이스에 TACACS+ 서버에 연결할 수 있는 여러 인터페이스가 있는 경우 디바이스가 TACACS+ 서버와의 모든 통신에 사용할 수 있는 IP 주소를 할당합니다. 이렇게 하면 고정 주소가 로컬로 생성된 IP 패킷의 소스 주소로 설정됩니다.

  3. 네트워크 디바이스가 TACACS+ 서버 인증에 사용하는 공유 암호를 구성합니다.

    구성된 암호는 TACACS+ 서버에 구성된 암호와 일치해야 합니다. 암호에 공백이 포함되어 있는 경우 따옴표로 묶습니다. 디바이스는 구성 데이터베이스에 암호화된 값으로 암호를 저장합니다.

    예:

  4. (선택 사항)기본 포트(49)와 다른 경우, TACACS+ 서버에 연결할 포트를 지정합니다.

    예:

  5. (선택 사항)디바이스가 TACACS+ 서버로부터 응답을 수신하기 위해 대기하는 시간을 구성합니다.

    기본적으로 디바이스는 3초간 기다립니다. timeout 값은 1~90초 범위에서 구성할 수 있습니다.

    예를 들어, 서버의 응답을 15초간 기다리려면 다음과 같습니다.

  6. (선택 사항) 각 연결 시도에 대한 별도의 연결을 개방하지 않고 여러 요청에 대한 서버에 하나의 열린 TCP 연결을 유지할 디바이스 구성합니다.
    주:

    TACACS+ 서버의 초기 버전은 single-connection 옵션을 지원하지 않습니다. 이 옵션을 지정했는데 서버가 이 옵션을 지원하지 않는 경우 디바이스가 해당 TACACS+ 서버와 통신할 수 없습니다.

  7. (선택 사항)TACACS+ 패킷을 특정 라우팅 인스턴스를 통해 라우팅하려면 routing-instance문을 구성하고 유효한 라우팅 인스턴스를 지정합니다.

    기본적으로 Junos OS은(는) 기본 라우팅 인스턴스를 통해 TACACS+에 대한 인증, 권한 부여 및 계정 패킷을 라우팅합니다.

  8. 인증 순서를 지정하고 tacplus 옵션을 포함합니다.

    다음 예에서는 사용자가 로그인을 시도할 때마다 Junos OS이(가) 먼저 TACACS+ 서버에 인증을 쿼리합니다. 실패하면 RADIUS 서버를 쿼리합니다. 실패하면 로컬 구성 사용자 계정으로 인증을 시도합니다.

  9. 로컬로 정의된 사용자 계정이 없는 TACACS+ 인증된 사용자에게 로그인 클래스를 할당합니다.

    TACACS+ 서버가 사용자를 인증하므로 로컬 인증 암호를 구성하지 않는 것을 제외하고는 로컬 사용자 계정과 동일한 방법으로 사용자 템플릿 계정을 구성합니다.

    • 모든 TACACS+ 인증된 사용자에게 동일한 권한을 사용하려면 remote 사용자 템플릿을 구성합니다.

      예:

    • 서로 다른 TACACS+ 인증된 사용자에게 서로 다른 권한을 부여하여 서로 다른 로그인 클래스를 사용하려면,

      1. Junos OS 구성에서 여러 사용자 템플릿을 생성합니다. 예:

      2. 인증된 사용자를 적절한 사용자 템플릿에 매핑하도록 TACACS+ 서버를 구성합니다.

        예를 들어 local-user-name 주니퍼 VSA(Vendor-Specific Attribute)를 디바이스에 구성된 사용자 템플릿의 이름(이전 예에서는 RO, OP 또는 SU)으로 설정합니다. 디바이스가 로컬 사용자 계정 또는 사용자 템플릿에 사용자를 할당할 수 없고 remote 사용자 템플릿이 구성되지 않은 경우 인증이 실패합니다.

관리 인스턴스를 사용하도록 TACACS+ 구성

기본적으로 Junos OS은(는) 기본 라우팅 인스턴스를 통해 TACACS+에 대한 인증, 권한 부여 및 계정 패킷을 라우팅합니다. 기본이 아닌 VRF 인스턴스의 관리 인터페이스를 통해 TACACS+ 패킷을 라우팅할 수도 있습니다.

TACACS+ 패킷을 mgmt_junos 관리 인스턴스를 통해 라우팅하려면,

  1. mgmt_junos 관리 인스턴스를 활성화합니다.

  2. TACACS+ 인증 서버 및 TACACS+ 계정 서버(구성된 경우)에 대해 routing-instance mgmt_junos문을 구성합니다.

여러 TACACS+ 서버에 대해 동일한 인증 서비스 구성

[edit system tacplus-server][edit system tacplus-options] 계층 수준의 문을 포함하여 여러 TACACS+ 서버에 대해 동일한 인증 서비스를 구성할 수 있습니다.

여러 TACACS+ 서버에 동일한 인증 서비스를 할당하려면,

  1. TACACS+ 인증 구성의 설명에 따라 TACACS+ 서버를 구성합니다.
  2. [edit system tacplus-options] 계층 수준에서 service-name 문을 구성합니다.
    service-name은(는) 인증 서비스의 이름이며, 기본값은 junos-exec입니다.

    예:

다음은 여러 TACACS+ 서버에 대해 동일한 인증 서비스를 구성하는 예를 보여 줍니다.

주니퍼 네트웍스 벤더별 TACACS+ 속성 구성

Junos OS은(는) TACACS+ 인증된 사용자를 로컬로 정의된 사용자 계정 또는 사용자 템플릿 계정에 매핑하여 권한 부여를 결정할 수 있습니다. 또한 TACACS+ 서버에서 주니퍼 네트웍스 벤더별 TACACS+ 속성을 정의하여 사용자의 액세스 권한을 선택적으로 구성할 수도 있습니다. TACACS+ 서버 구성 파일에서 사용자별로 속성을 정의합니다. 네트워크 디바이스는 사용자를 인증한 후 TACACS+ 서버의 인증 요청을 통해 이러한 속성을 검색합니다.

이러한 속성을 지정하려면 TACACS+ 서버 구성 파일에 다음 형식의 service문을 포함하십시오.

user문이나 group문에서 service문을 정의할 수 있습니다.

TACACS+ 권한 부여 프로파일의 주기적 새로 고침 구성

인증을 위한 TACACS+ 서버를 사용하기 위해 Junos OS을(를) 실행하는 디바이스를 구성할 때, 디바이스는 사용자에게 TACACS+ 서버로 확인되는 로그인 정보를 요구합니다. 사용자가 성공적으로 인증된 후, 네트워크 디바이스는 TACACS+ 서버에 권한 요청을 전송하여 사용자에 대한 권한 부여 프로파일을 획득합니다. 권한 부여 프로파일은 인증 사용자 또는 디바이스의 액세스 권한을 지정합니다.

TACACS+ 서버는 인증 응답 메시지의 일부로 권한 부여 프로파일을 보냅니다. TACACS+ 서버에 구성된 원격 사용자는 Junos OS을(를) 실행하는 디바이스에 구성된 로컬 사용자 또는 사용자 템플릿에 매핑됩니다. Junos OS은(는) 사용자의 원격 권한 부여 프로파일과 로컬에서 구성된 권한 부여 프로파일을 결합하고, 후자는 [edit system login class] 계층 수준에서 구성됩니다.

기본적으로 권한 부여 요청 및 응답 메시지의 교환은 인증 성공 후 한 번만 발생합니다. 디바이스를 구성하여 이(가) TACACS+ 서버에서 원격 권한 부여 프로파일을 Junos OS주기적으로 가져오고 로컬에 저장된 인증 프로파일을 새로 고칠 수 있습니다. 이 주기적 새로 고침은 사용자가 인증 프로세스를 재시작하지 않아도 로컬 디바이스가 권한 부여 매개 변수의 변경 내용을 반영하도록 보장합니다.

권한 부여 프로파일의 주기적인 새로 고침을 사용하려면, 로컬 디바이스가 TACACS+ 서버에 원격으로 구성된 권한 부여 프로파일을 확인하는 시간 간격을 설정해야 합니다. 원격 권한 부여 프로파일이 변경되면, 디바이스는 TACACS+ 서버의 권한 부여 프로파일과 로그인 클래스 계층에서 구성된 권한 부여 프로파일을 가져옵니다. 디바이스는 원격 및 로컬로 구성된 권한 부여 프로파일을 결합하여 로컬에 저장된 권한 부여 프로파일을 새로 고칩니다.

Junos OS을(를) 실행하는 디바이스에서 로컬로 새로 고침 시간 간격을 구성하거나 TACACS+ 서버에서 직접 구성할 수 있습니다. 시간 간격은 15분부터 1440분까지 가능합니다.

  • 로컬 디바이스에서 권한 부여 프로파일의 주기적인 새로 고침을 구성하려면, 다음과 같이 [edit system tacplus-options] 계층 수준에서 authorization-time-interval 문을 포함합니다.
  • TACACS+ 서버에 주기적인 새로 고침을 구성하려면, 다음 구문을 사용하여 권한 부여 프로파일에서 refresh-time-interval 매개 변수를 추가합니다.

다음 지침을 사용하여 어떤 시간 간격 구성을 우선할지 결정합니다.

  • 새로 고침 시간 간격이 TACACS+ 서버에만 구성되거나 Junos OS을(를) 실행하는 디바이스에서만 구성되면, 구성된 값은 효력을 발생합니다.
  • TACACS+ 서버 및 Junos OS을(를) 실행하는 디바이스 모두에서 새로 고침 시간 간격이 구성되면, TACACS+ 서버에 구성된 값이 우선합니다.

  • TACACS+ 서버 및 Junos OS을(를) 실행하는 디바이스 모두에서 새로 고침 시간 간격이 구성되지 않으면, 주기적 새로 고침이 발생하지 않습니다.

  • TACACS+ 서버에 구성된 새로 고침 시간 간격이 범위를 벗어나거나 유효하지 않으면, 로컬에 구성된 새로 고침 시간 간격이 효력을 발생합니다. 로컬에 구성된 새로 고침 시간 간격이 없으면, 주기적 새로 고침이 발생하지 않습니다.

주기적 새로 고침 시간 간격을 설정한 후 로컬 디바이스로부터 권한 부여 요청이 전송되기 전에 사용자가 새로 고침 간격을 변경하면, 업데이트된 새로 고침 간격은 바로 다음 주기적 새로 고침 이후 효력을 발생합니다.

예: 시스템 인증을 위한 TACACS+ 서버 구성

이 예는 TACACS+ 서버를 통해 시스템 인증을 구성합니다.

요구 사항

시작하기 전에:

  • 최초 디바이스 구성을 수행합니다. 해당 디바이스용 시작하기 가이드를 참조합니다.

  • 네트워크에 하나 이상의 TACACS+ 서버를 구성합니다.

개요

이 예에서 IP 주소 172.16.98.1의 새로운 TACACS+ 서버를 추가합니다. TACACS+ 서버의 공유 암호를 Tacacssecret1로 지정합니다. 디바이스는 암호화된 값으로 구성 데이터베이스에 암호를 저장합니다. 마지막으로, TACACS+ 서버 요청에서 디바이스가 사용하는 소스 주소를 지정합니다. 대부분의 경우 디바이스의 루프백 주소를 사용할 수 있으며, 이 예에서는 10.0.0.1입니다.

네트워크 디바이스의 로컬 비밀번호 인증, TACACS+ 및 RADIUS와 같은 여러 사용자 인증 방법에 대한 지원을 구성할 수 있습니다. 여러 인증 방법을 구성할 때 디바이스가 시도할 방법의 순서를 정할 수 있습니다. 이 예에서는 먼저 TACACS+ 인증 서비스를 사용할 디바이스를 구성하고, 실패하면 로컬 비밀번호 인증을 시도합니다.

TACACS+ 인증 사용자는 권한 부여를 결정하는 네트워크 디바이스에서 로컬 사용자 계정 또는 로컬 사용자 템플릿 계정에 매핑해야 합니다. 기본적으로 TACACS+ 인증 사용자가 로컬 사용자 계정 또는 특정 사용자 템플릿에 매핑하지 않으면, 사용자는 remote 사용자 템플릿에 할당됩니다(구성된 경우). 이 예는 remote 사용자 템플릿을 구성합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

시스템 인증을 위한 TACACS+ 서버 구성:

  1. 새로운 TACACS+ 서버를 추가하고 IP 주소를 설정합니다.

  2. TACACS+ 서버의 공유 암호(비밀번호)를 지정합니다.

  3. 디바이스의 루프백 주소를 소스 주소로 지정합니다.

  4. 디바이스의 인증 순서를 지정하고 tacplus 옵션을 포함합니다.

  5. remote 사용자 템플릿 및 해당 로그인 클래스를 구성합니다.
결과

구성 모드에서 show system 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

다음 출력에는 이 예와 관련된 구성 계층의 일부만 포함됩니다.

디바이스를 구성한 후 구성 모드에서 commit을(를) 입력하십시오.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

TACACS+ 서버 구성 확인

목적

TACACS+ 서버가 사용자를 인증하는지 확인합니다.

작업

네트워크 디바이스에 로그인하고 로그인이 성공하는지 확인합니다. 디바이스가 인증에 TACACS+ 서버를 사용하는지 확인하기 위해, 구성에서 로컬 인증 비밀번호를 정의하지 않는 계정으로 로그인해볼 수 있습니다.

주니퍼 네트웍스 공급 업체 특정 TACACS+ 속성

Junos OS은(는) TACACS+ 서버에서 주니퍼 네트웍스 TACACS+ 공급 업체 특정 속성(VSA) 구성 작업을 지원합니다. 표 1에는 지원되는 주니퍼 네트웍스 VSA가 나열되어 있습니다.

일부 속성은 POSIX 1003.2에서 정의된 바와 같이 확장 정규 표현을 허용합니다. 정규 표현에 공백, 연산자 또는 와일드카드 문자가 포함되어 있는 따옴표로 표시합니다. 보다 자세한 정보는 아래를 참조하십시오.

표 1: 주니퍼 네트웍스 공급 업체 특정 TACACS+ 속성

이름

설명

길이

문자열

local-user-name

사용자가 디바이스에 로그인할 때 이 사용자에게 할당된 사용자 템플릿의 이름을 나타냅니다.

≥3

인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

allow-commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령 외에 사용자가 명령을 실행할 수 있는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

allow-commands-regexps

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령 외에 사용자가 명령을 실행할 수 있는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

allow-configuration

사용자의 로그인 클래스 권한 비트에 의해 승인된 문 외에 사용자가 구성 문을 보고 수정할 수 있는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

allow-configuration-regexps

사용자의 로그인 클래스 권한 비트에 의해 승인된 문 외에 사용자가 구성 문을 보고 수정할 수 있는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

deny-commands

사용자 권한을 거부하여 사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행하는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

deny-commands-regexps

사용자 권한을 거부하여 사용자의 로그인 클래스 권한 비트에 의해 승인된 명령을 실행하는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

deny-configuration

사용자 권한을 거부하여 사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 문을 보거나 수정할 수 있는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

deny-configuration-regexps

사용자 권한을 거부하여 사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 문을 보거나 수정할 수 있는 확장 정규 표현을 포함합니다.

≥3

확장 정규 표현식의 형태로 인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

user-permissions

사용자 권한을 지정하기 위해 서버가 사용하는 정보를 포함합니다.

주:

TACACS+ 서버가 user-permissions 속성을 정의하여 maintenance 권한 또는 all 권한을 사용자에게 부여할 경우, 그룹 회원의 사용자 목록이 자동으로 UNIX 휠 그룹을 포함하지 않습니다. 로컬 쉘에서 su root 명령을 실행하는 것과 같은 일부 작업은 휠 그룹 회원 권한이 필요합니다. 하지만 네트워크 디바이스가 권한 maintenance 또는 all을(를) 가지고 로컬 사용자 계정을 정의할 경우, 이 사용자는 자동으로 UNIX 휠 그룹 회원이 됩니다. 따라서 필요한 권한이 있는 사용자 템플릿 계정을 생성하고 개별 사용자 계정을 사용자 템플릿 계정과 연관시키는 것이 좋습니다.

≥3

인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

액세스 권한 수준 개요을(를) 참조하세요.

authentication-type

사용자를 인증하는 데 사용하는 인증 방법(로컬 데이터베이스 또는 TACACS+ 서버)을 나타냅니다. 로컬 데이터베이스를 사용하여 사용자가 인증되면, 속성 값은 '로컬'을 표시합니다. TACACS+ 서버를 사용하여 사용자가 인증되면, 속성 값은 '원격'을 표시합니다.

≥5

인쇄 가능한 ASCII 문자를 포함하는 하나 이상의 옥텟.

session-port

수립된 세션의 소스 포트 번호를 나타냅니다.

정수 크기

정수

RADIUS 또는 TACACS+ 서버에서 정규식을 사용하여 명령 허용 또는 거부

Junos OS은(는) RADIUS 및 TACACS+ 인증된 사용자를 사용자의 액세스 권한을 정의하는 로컬 정의 사용자 계정 또는 사용자 템플릿 계정에 매핑할 수 있습니다. 선택적으로 각 인증 서버에서 주니퍼 네트웍스 RADIUS 및 TACACS+ VSA(벤더별 속성)를 정의하여 사용자의 액세스 권한을 구성할 수도 있습니다.

사용자의 로그인 클래스는 사용자에게 실행 권한이 부여된 작동 모드 및 구성 모드 명령과 사용자가 보고 수정할 수 있는 구성 영역을 결정하는 권한 집합을 정의합니다. 또한 로그인 클래스는 사용자가 특정 명령을 실행하거나 구성의 특정 영역을 보거나 수정하는 기능을 허용하거나 거부하는 정규식을 정의할 수 있습니다. 로그인 클래스에는 사용자 권한을 정의하는 다음 문이 포함될 수 있습니다.

  • permissions

  • allow-commands

  • allow-commands-regexps

  • allow-configuration

  • allow-configuration-regexps

  • deny-commands

  • deny-commands-regexps

  • deny-configuration

  • deny-configuration-regexps

마찬가지로 RADIUS 또는 TACACS+ 서버 구성은 주니퍼 네트워크 VSA를 사용하여 사용자의 액세스 권한을 결정하는 특정 사용 권한 또는 정규식을 정의할 수 있습니다. 지원되는 RADIUS 및 TACACS+ VSA 목록은 다음을 참조하십시오.

RADIUS 또는 TACACS+ 서버에 대한 사용자 권한을 공백으로 구분된 값 목록으로 정의할 수 있습니다.

  • RADIUS 서버는 다음 속성과 구문을 사용합니다.

    예:

  • TACACS+ 서버는 다음 속성과 구문을 사용합니다.

    예:

또한 RADIUS 또는 TACACS+ 서버는 단일 확장 정규식(POSIX 1003.2에 정의됨)을 사용하여 사용자가 특정 명령을 실행하거나 구성 영역을 보고 수정하는 기능을 허용하거나 거부하는 주니퍼 네트웍스 VSA를 정의할 수 있습니다. 여러 명령 또는 구성 계층을 괄호 안에 묶고 파이프 기호를 사용하여 구분합니다. 정규 표현에 공백, 연산자 또는 와일드카드 문자가 포함되어 있는 따옴표로 표시합니다. 로컬 및 원격으로 권한 부여 매개 변수를 구성하면 TACACS+ 또는 RADIUS 권한 부여 중에 수신된 정규식이 로컬 디바이스에 정의된 정규식과 병합됩니다.

  • RADIUS 서버는 다음 속성과 구문을 사용합니다.

    예:

  • TACACS+ 서버는 다음 속성과 구문을 사용합니다.

    예:

또한 RADIUS 및 TACACS+ 서버는 로컬 디바이스에서 구성할 수 있는 동일한 *-regexps문에 해당하는 속성 구성을 지원합니다. *-regexps TACACS+ 특성 및 *-Regexps RADIUS 속성은 이전 속성과 동일한 정규식 구문을 사용하지만 변수를 사용하여 정규식을 구성할 수 있습니다.

  • RADIUS 서버는 다음 속성과 구문을 사용합니다.

  • TACACS+ 서버는 다음 속성과 구문을 사용합니다.

    예를 들어 TACACS+ 서버 구성은 다음 속성을 정의할 수 있습니다.

RADIUS 또는 TACACS+ 서버에서 각 개별 식을 별도의 줄에 지정하는 단순화된 구문을 사용하여 속성을 정의할 수도 있습니다.

RADIUS 서버의 경우 다음 구문을 사용하여 개별 정규식을 지정합니다.

TACACS+ 서버의 경우 다음 구문을 사용하여 개별 정규식을 지정합니다.

주:
  • TACACS+ 서버 구문에서 숫자 값 n은(는) 고유해야 하지만 순차적일 필요는 없습니다. 예를 들어 다음 구문이 유효합니다.

  • RADIUS 또는 TACACS+ 서버는 개별 정규식 줄 수에 제한을 가합니다.

  • show cli authorization 명령을 실행하면 개별 식을 별도의 행에 지정한 경우에도 명령 출력에 정규식이 한 줄로 표시됩니다.

사용자는 show cli authorization 작동 모드 명령을 실행하여 클래스, 권한, 명령 및 구성 권한을 확인할 수 있습니다.

주:

네트워크 디바이스에서 로컬로 권한 부여 매개 변수를 구성하고 RADIUS 또는 TACACS+ 서버에서 원격으로 권한 부여 매개 변수를 구성하면 디바이스는 TACACS+ 또는 RADIUS 권한 부여 중에 수신된 정규 표현식을 로컬로 구성된 정규 표현식과 병합합니다. 최종 표현식에 구문 오류가 포함된 경우 전체 결과는 잘못된 정규 표현식입니다.

TACACS+ 시스템 계정 구성

디바이스에 TACACS+ 계정을 구성하여 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수집하여 TACACS+ 계정 서버로 전송할 수 있습니다. 통계 데이터는 일반 네트워크 모니터링, 사용 패턴 분석 및 추적, 세션 기간 또는 액세스한 서비스 유형에 따라 사용자에게 요금을 청구하는 데 사용할 수 있습니다.

TACACS+ 계정을 구성하기 위해 다음을 지정합니다.

  • 디바이스에서 통계 데이터를 수신할 하나 이상의 TACACS+ 계정 서버

  • 수집할 계정 데이터 유형

TACACS+ 계정 및 인증에 동일한 서버를 사용하거나 별도의 서버를 사용할 수 있습니다. TACACS+ 계정 서버의 목록을 지정할 수 있습니다. 디바이스는 서버를 구성된 순서대로 쿼리합니다. 주 서버(구성된 첫 번째 서버)를 사용할 수 없는 경우 디바이스는 응답을 수신할 때까지 목록의 각 서버에 연결을 시도합니다.

TACACS+ 계정을 활성화하면 TACACS+ 클라이언트 역할을 하는 주니퍼 네트웍스 디바이스가 소프트웨어 로그인, 구성 변경 및 대화형 명령과 같은 사용자 활동에 대해 TACACS+ 서버에 알릴 수 있습니다.

TACACS+ 서버 계정 구성

TACACS+ 서버 계정을 구성하려면 다음을 수행합니다.

  1. 검사할 이벤트를 구성합니다.

    예:

    events은(는) 다음 중 하나 이상을 포함할 수 있습니다.

    • login - 로그인 검사

    • change-log - 구성 변경 검사

    • interactive-commands - 대화형 명령어(모든 명령 라인 입력) 검사

  2. TACACS+ 계정을 활성화합니다.
  3. 하나 이상의 TACACS+ 계정 서버에 대한 주소를 구성합니다.

    예:

    주:

    [edit system accounting destination tacplus] 계층 수준에서 TACACS+ 서버를 구성하지 않은 경우 디바이스는 [edit system tacplus-server] 계층 수준에서 구성된 TACACS+ 서버를 사용합니다.

  4. (선택 사항) TACACS+ 계정 요청에 대한 소스 주소를 구성합니다.

    예:

    소스 주소는 라우터 인터페이스 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 또는 IPv6 주소입니다. 네트워크 디바이스에 TACACS+ 서버에 연결할 수 있는 여러 인터페이스가 있는 경우 디바이스가 TACACS+ 서버와의 모든 통신에 사용할 수 있는 IP 주소를 할당합니다. 이렇게 하면 고정 주소가 로컬로 생성된 IP 패킷의 소스 주소로 설정됩니다.

  5. 네트워크 디바이스가 TACACS+ 계정 서버를 인증하는 데 사용하는 공유 암호를 구성합니다.

    구성된 암호는 TACACS+ 서버에 구성된 암호와 일치해야 합니다. 암호에 공백이 포함되어 있는 경우 따옴표로 묶습니다. 디바이스는 구성 데이터베이스에 암호화된 값으로 암호를 저장합니다.

    예:

  6. (선택 사항) 필요한 경우 계정 패킷을 보낼 TACACS+ 계정 서버 포트를 지정합니다(기본값(49)와 다른 경우).
  7. (선택 사항) 디바이스가 TACACS+ 계정 서버로부터 응답을 받기 위한 대기 시간을 구성합니다.

    기본적으로 디바이스는 3초간 기다립니다. timeout 값은 1~90초 범위에서 구성할 수 있습니다.

    예를 들어, 서버의 응답을 15초간 기다리려면 다음과 같습니다.

  8. (선택 사항) 각 연결 시도에 대한 별도의 연결을 개방하지 않고 여러 요청에 대한 서버에 하나의 열린 TCP 연결을 유지할 디바이스 구성합니다.
    주:

    TACACS+ 서버의 초기 버전은 single-connection 옵션을 지원하지 않습니다. 이 옵션을 지정했는데 서버가 이 옵션을 지원하지 않는 경우 디바이스가 해당 TACACS+ 서버와 통신할 수 없습니다.

  9. (선택 사항) 기본 라우팅 인스턴스 대신 비기본 관리 인스턴스 또는 라우팅 인스턴스를 통해 TACACS+ 계정 패킷을 라우팅을 하려면 routing-instance 문을 구성하고 라우팅 인스턴스를 지정합니다.
    예:
  10. 로그인 이벤트에 대한 시작 및 중지 요청이 Administration 로그 파일 대신 TACACS+ 서버 Accounting 로그 파일에 올바르게 기록되도록 하려면 no-cmd-attribute-value 문 또는 exclude-cmd-attribute 문을 [edit system tacplus-options] 계층 수준에 포함합니다.
    주:

    두 문 모두 Administration 파일 대신 Accounting 파일에 계정 요청을 올바르게 기록할 수 있습니다. no-cmd-attribute-value 문을 구성하는 경우 cmd 속성의 값은 시작 및 중지 요청에서 빈 문자열로 설정됩니다. exclude-cmd-attribute 문을 구성하는 경우 cmd 속성은 시작 및 중지 요청에서 완전히 제외됩니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
18.2R1
Junos OS 릴리스 18.2R1부터는 인증에서 구성한 모든 라우팅 인스턴스를 통해 TACACS+ 트래픽을 라우팅할 수 있습니다.
17.4R1
Junos OS 릴리스 17.4R1부터 기존 TACACS+ 동작은 mgmt_junos라는 이름의 비기본 VRF 인스턴스에서 관리 인터페이스를 통해 TACACS+ 패킷을 라우팅하도록 향상되었습니다.