Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Orden de autenticación para RADIUS TACACS+ y contraseña local

Junos OS admite diferentes métodos de autenticación, incluida la autenticación de contraseña local, RADIUS y TACACS+, para controlar el acceso a la red.

Cuando configure un dispositivo para que admita varios métodos de autenticación, puede priorizar el orden en que el dispositivo prueba los distintos métodos. En este tema se explica cómo funciona el orden de autenticación y cómo configurarlo en un dispositivo.

Descripción general del orden de autenticación

Usted (el administrador de red) puede configurar la instrucción para priorizar el orden en que Junos OS se prueban distintos métodos de autenticación para comprobar el authentication-order acceso de los usuarios a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, Junos OS verifica a los usuarios en función de sus contraseñas locales configuradas.

Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores no responden a una solicitud, Junos OS siempre se intenta de forma predeterminada la autenticación de contraseña local como último recurso.

Si el orden de autenticación incluye servidores RADIUS o TACACS+, pero los servidores rechazan la solicitud, el manejo de la solicitud es más complicado.

  • Si passwordse incluye (autenticación de contraseña local) al final del orden de autenticación y los servidores de autenticación remota rechazan la solicitud de autenticación, el dispositivo intenta la autenticación de contraseña local.

  • Si password (autenticación de contraseña local) no se incluye en el orden de autenticación y los servidores de autenticación remotos rechazan la solicitud de autenticación, la solicitud finaliza con el rechazo.

Por lo tanto, el dispositivo debe incluir password como opción de orden de autenticación final para que el dispositivo intente la autenticación de contraseña local en caso de que los servidores de autenticación remotos rechacen la solicitud.

Si el orden de autenticación se establece en authentication-order password, el dispositivo solo utiliza la autenticación de contraseña local.

Uso de la autenticación remota

Puede configurar Junos OS para que sea un cliente de autenticación RADIUS o TACACS+ (o una combinación).

Si un método de autenticación incluido en la authentication-order instrucción no está disponible, o si el método de autenticación está disponible pero el servidor de autenticación correspondiente devuelve una respuesta de rechazo, Junos OS pruebe el siguiente método de autenticación incluido en la authentication-order instrucción.

La autenticación del servidor RADIUS o TACACS+ puede fallar por uno o varios de los siguientes motivos:

  • El método de autenticación está configurado, pero no se configuran los servidores de autenticación correspondientes. Por ejemplo, los métodos de autenticación RADIUS y TACACS+ se incluyen en la authentication-order instrucción, pero los servidores RADIUS o TACACS+ correspondientes no están configurados en los niveles respectivos [edit system radius-server] y [edit system tacplus-server] jerárquicos.

  • El servidor de autenticación no responde antes del valor de tiempo de espera configurado para ese servidor, o antes del tiempo de espera predeterminado, si no se ha configurado ningún tiempo de espera.

  • No se puede acceder al servidor de autenticación debido a un problema de red.

El servidor de autenticación puede devolver una respuesta de rechazo por uno o ambos de los siguientes motivos:

  • El perfil de usuario de un usuario que accede a un enrutador o conmutador no está configurado en el servidor de autenticación.

  • El usuario escribe credenciales de inicio de sesión incorrectas.

Cómo usar la autenticación de contraseña local

Puede configurar explícitamente el método de password autenticación en la authentication-order instrucción o utilizar este método como mecanismo de reserva cuando se produce un error en los servidores de autenticación remotos. El password método de autenticación consulta los perfiles de usuario locales configurados en el nivel de [edit system login] jerarquía. Los usuarios pueden iniciar sesión en un enrutador o conmutador con su nombre de usuario y contraseña locales en los siguientes escenarios:

  • El método de autenticación de contraseña (password) se configura explícitamente como uno de los métodos de autenticación de la authentication-order instrucción.

    En este caso, el dispositivo intenta la autenticación de contraseña local si ningún método de autenticación anterior acepta las credenciales de inicio de sesión. Esto es cierto si los métodos de autenticación anteriores no responden o si devuelven una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.

  • El método de autenticación de contraseña no está configurado explícitamente como uno de los métodos de autenticación de la authentication-order instrucción.

    En este caso, el sistema operativo sólo intenta la autenticación de contraseña local si todos los métodos de autenticación configurados no responden. El sistema operativo no utiliza la autenticación de contraseña local si algún método de autenticación configurado devuelve una respuesta de rechazo debido a un nombre de usuario o contraseña incorrectos.

Orden de los intentos de autenticación

Tabla 1 describe cómo la authentication-order instrucción en el nivel jerárquico [edit system] determina el procedimiento que Junos OS utiliza para autenticar a los usuarios para el acceso a un dispositivo.

Tabla 1: Orden de los intentos de autenticación

Sintaxis

Orden de los intentos de autenticación

authentication-order radius;

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso.

  3. Si hay un servidor RADIUS disponible pero se rechaza la autenticación, deniegue el acceso.

  4. Si no hay servidores RADIUS disponibles, pruebe la autenticación de contraseña local.

authentication-order [ radius password ];

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.

authentication-order [ radius tacplus ];

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe con los servidores TACACS+ configurados.

  4. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso.

  5. Si hay un servidor TACACS+ disponible pero se rechaza la autenticación, deniegue el acceso.

authentication-order [ radius tacplus password ];

  1. Pruebe los servidores de autenticación RADIUS configurados.

  2. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores RADIUS no responden o los servidores devuelven una respuesta de rechazo, pruebe con los servidores TACACS+ configurados.

  4. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso.

  5. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.

authentication-order tacplus;

  1. Pruebe los servidores de autenticación TACACS+ configurados.

  2. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso.

  3. Si hay un servidor TACACS+ disponible pero se rechaza la autenticación, deniegue el acceso.

  4. Si no hay servidores TACACS+ disponibles, pruebe la autenticación de contraseña local.

authentication-order [ tacplus password ];

  1. Pruebe los servidores de autenticación TACACS+ configurados.

  2. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe la autenticación de contraseña local, ya que está configurada explícitamente en el orden de autenticación.

authentication-order [ tacplus radius ];

  1. Pruebe los servidores de autenticación TACACS+ configurados.

  2. Si hay un servidor TACACS+ disponible y se acepta la autenticación, conceda acceso.

  3. Si los servidores TACACS+ no responden o los servidores devuelven una respuesta de rechazo, pruebe los servidores RADIUS configurados.

  4. Si hay un servidor RADIUS disponible y se acepta la autenticación, conceda acceso.

  5. Si hay un servidor RADIUS disponible pero se rechaza la autenticación, deniegue el acceso.

  6. Si no hay servidores TACACS+ o RADIUS disponibles, pruebe la autenticación con contraseña local.

authentication-order password;

  1. Intente autenticar al usuario utilizando la contraseña configurada en el nivel de [edit system login] jerarquía.

  2. Si se acepta la autenticación, conceda acceso.

  3. Si se rechaza la autenticación, deniegue el acceso.
Nota:

Si se configuran claves públicas SSH, la autenticación de usuario SSH primero intenta realizar la autenticación de clave pública antes de utilizar los métodos de autenticación configurados en la authentication-order instrucción. Si desea que los inicios de sesión SSH usen los métodos de autenticación configurados en la instrucción sin intentar primero realizar la authentication-order autenticación de clave pública, no configure las claves públicas SSH.

Configurar el orden de autenticación para RADIUS, TACACS+ y autenticación de contraseña local

Con la authentication-order instrucción, puede priorizar el orden en el que Junos OS se prueban los distintos métodos de autenticación al verificar el acceso de los usuarios a un enrutador o conmutador. Si no establece un orden de autenticación, de forma predeterminada, los usuarios se verifican en función de sus contraseñas configuradas localmente.

Al configurar una contraseña con texto sin formato y confiar en Junos OS ella para cifrarla, sigue enviando la contraseña a través de Internet en texto sin formato. El uso de contraseñas precifradas es más seguro porque significa que el texto sin formato de la contraseña nunca tiene que enviarse a través de Internet. Además, con las contraseñas, solo se puede asignar una contraseña a un usuario a la vez.

Por otro lado, RADIUS y TACACS+ cifran contraseñas. Estos métodos de autenticación le permiten asignar un conjunto de usuarios a la vez en lugar de asignar usuarios uno por uno. Pero así es como difieren estos sistemas de autenticación:

  • RADIUS utiliza UDP; TACACS+ utiliza TCP.

  • RADIUS cifra solo la contraseña durante la transmisión, mientras que TACACS+ cifra toda la sesión.

  • RADIUS combina autenticación (dispositivo) y autorización (usuario), mientras que TACACS+ separa autenticación, autorización y responsabilidad.

En resumen, TACACS+ es más seguro que RADIUS. Sin embargo, RADIUS tiene un mejor rendimiento y es más interoperable. RADIUS es ampliamente compatible, mientras que TACACS+ es un producto propietario de Cisco y no es ampliamente compatible fuera de Cisco.

Puede configurar el orden de autenticación en función del sistema, sus restricciones, su política de TI y sus preferencias operativas.

Para configurar el orden de autenticación, incluya la authentication-order instrucción en el nivel de [edit system] jerarquía.

Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.

Las siguientes son las posibles opciones de entrada de órdenes de autenticación:

  • radius: verifique el usuario mediante servidores de autenticación RADIUS.

  • tacplus: verifique el usuario mediante los servidores de autenticación TACACS+.

  • password: verifique el usuario utilizando el nombre de usuario y la contraseña configurados localmente en la instrucción de autenticación en el nivel de [edit system login user] jerarquía.

La secuencia de autenticación del Protocolo de autenticación por desafío mutuo (CHAP) no puede durar más de 30 segundos. Si se tarda más de 30 segundos en autenticar un cliente, la autenticación se abandona y se inicia una nueva secuencia.

Por ejemplo, suponga que configura tres servidores RADIUS para que el enrutador o conmutador intente ponerse en contacto con cada servidor tres veces. Suponga además que, con cada reintento, el servidor agota el tiempo de espera después de 3 segundos. En este escenario, el tiempo máximo asignado al método de autenticación RADIUS antes de que CHAP lo considere un error es de 27 segundos. Si agrega más servidores RADIUS a esta configuración, es posible que no se contacte con ellos porque es posible que se abandone el proceso de autenticación antes de probar estos servidores.

Junos OS impone un límite en el número de solicitudes de servidor de autenticación permanente que la autenticación CHAP puede tener a la vez. Por lo tanto, un método de servidor de autenticación (RADIUS, por ejemplo) podría no autenticar a un cliente cuando se supera este límite. Si se produce un error en la autenticación, el enrutador o conmutador vuelve a iniciar la secuencia de autenticación hasta que la autenticación se realice correctamente y se establezca el vínculo. Sin embargo, si los servidores RADIUS no están disponibles y se configuran métodos de autenticación adicionales, como tacplus o password también están configurados, se prueba el siguiente método de autenticación.

En el ejemplo siguiente se muestra cómo configurar radius y password autenticar:

En el ejemplo siguiente se muestra cómo insertar la instrucción después de tacplus la radius instrucción:

En el ejemplo siguiente se muestra cómo eliminar la radius instrucción del orden de autenticación:

Ejemplo: Configurar orden de autenticación

En este ejemplo se muestra cómo configurar el orden de autenticación para el inicio de sesión del usuario.

Requisitos

Antes de comenzar, realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.

Descripción general

Puede configurar el orden de los métodos de autenticación que utiliza un dispositivo para comprobar el acceso de los usuarios al dispositivo. Para cada intento de inicio de sesión, el dispositivo prueba los métodos de autenticación en el orden configurado, hasta que la contraseña coincida o se hayan probado todos los métodos de autenticación. Si no configura la autenticación remota, los usuarios se verifican en función de sus contraseñas locales configuradas.

En este ejemplo se configura el dispositivo para intentar la autenticación de usuario primero con los servicios de autenticación RADIUS, luego con los servicios de autenticación TACACS+ y, por último, con la autenticación de contraseña local.

Cuando utilice la autenticación de contraseña local, debe crear una cuenta de usuario local para cada usuario que desee tener acceso al sistema. Sin embargo, cuando utiliza servidores de autenticación remota, puede crear cuentas de plantilla (con fines de autorización) que comparta un conjunto de usuarios. Cuando se asigna un usuario a una cuenta de plantilla, el nombre de usuario de la interfaz de línea de comandos (CLI) es el nombre de inicio de sesión; sin embargo, el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de plantilla.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Configuración rápida de la GUI
Procedimiento paso a paso

Para configurar el orden de autenticación:

  1. En la interfaz de usuario de J-Web, seleccione Configure>System Properties>User Management.

  2. Haga clic en Edit. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Authentication Method and Order pestaña.

  4. En Métodos disponibles, seleccione el método de autenticación que el dispositivo debe usar para autenticar a los usuarios. Utilice el botón de flecha para mover el elemento a la lista Métodos seleccionados. Los métodos disponibles incluyen:

    • RADIO

    • TACACS+

    • Contraseña local

    Si desea utilizar varios métodos para autenticar usuarios, repita este paso para agregar los demás métodos a la lista Métodos seleccionados.

  5. En Métodos seleccionados, utilice la flecha arriba y la flecha abajo para especificar el orden en que el dispositivo debe ejecutar los métodos de autenticación.

  6. Haga clic OK para comprobar su configuración y guardarla como configuración candidata.

  7. Después de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para configurar el orden de autenticación:

  1. Elimine cualquier instrucción existente authentication-order .

  2. Agregue autenticación RADIUS al orden de autenticación.

  3. Agregue autenticación TACACS+ al orden de autenticación.

  4. Agregue autenticación de contraseña local al orden de autenticación.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system authentication-order comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Nota:

Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y crear cuentas de usuario o cuentas de plantilla de usuario.

Verificación

Confirme que la configuración funcione correctamente.

Comprobar la configuración del orden de autenticación

Propósito

Compruebe que el dispositivo utiliza los métodos de autenticación en el orden configurado.

Acción

Cree un usuario de prueba que tenga una contraseña diferente para cada método de autenticación. Inicie sesión en el dispositivo con las diferentes contraseñas. Compruebe que el dispositivo consulta los métodos de autenticación posteriores cuando los métodos anteriores rechazan la contraseña o no responden.

Como alternativa, en un entorno de prueba, puede desactivar la configuración del servidor de autenticación o la configuración de la cuenta de usuario local (o ambas) para probar cada método de autenticación. Por ejemplo, para probar el servidor TACACS+, puede desactivar la configuración del servidor RADIUS y la cuenta local del usuario. Sin embargo, si desactiva la cuenta local del usuario, debe asegurarse de que el usuario sigue asignando a una cuenta de plantilla de usuario local, como la plantilla de remote usuario.

Ejemplo: Configurar la autenticación del sistema para RADIUS, TACACS+ y autenticación de contraseña

En el siguiente ejemplo, se muestra cómo configurar la autenticación del sistema para RADIUS, TACACS+ y la autenticación de contraseña en un dispositivo que ejecuta Junos OS.

En este ejemplo, solo el usuario Philip y los usuarios autenticados por un servidor RADIUS pueden iniciar sesión. Si un usuario inicia sesión y el servidor RADIUS no lo autentica , se le deniega el acceso al enrutador o conmutador. Si el servidor RADIUS no está disponible, el usuario se autentica utilizando el método de password autenticación y se le permite el acceso al enrutador o conmutador. Para obtener más información acerca del método de autenticación de contraseña, consulte Descripción general del orden de autenticación.

Cuando Philip intenta iniciar sesión en el sistema, si el servidor RADIUS lo autentica, se le da acceso y privilegios para la super-user clase. Las cuentas locales no están configuradas para otros usuarios. Cuando inician sesión en el sistema y el servidor RADIUS los autentica, se les concede acceso utilizando el mismo ID de usuario (UID) 9999 y los privilegios asociados con la operator clase.

Nota:

Para fines de autorización, puede usar una cuenta de plantilla para crear una sola cuenta que un conjunto de usuarios pueda compartir al mismo tiempo. Por ejemplo, al crear una cuenta de plantilla remota, un conjunto de usuarios remotos puede compartir simultáneamente un único UID. Para obtener más información acerca de las cuentas de plantilla, consulte Ejemplo: Configurar orden de autenticación.

Cuando un usuario inicia sesión en un dispositivo, el servidor RADIUS o TACACS+ utiliza el nombre de inicio de sesión del usuario para la autenticación. Si el servidor de autenticación autentica al usuario correctamente y el usuario no está configurado en el nivel de [edit system login user] jerarquía, este es el resultado: El dispositivo utiliza la cuenta de usuario de plantilla remota predeterminada para el usuario, siempre que se configure una cuenta de plantilla remota en el nivel de edit system login user remote jerarquía. La cuenta de plantilla remota sirve como cuenta de usuario de plantilla predeterminada para todos los usuarios autenticados por el servidor de autenticación pero que carecen de una cuenta de usuario configurada localmente en el dispositivo. Estos usuarios comparten la misma clase de inicio de sesión y UID.

Para configurar un usuario de plantilla alternativo, especifique el user-name parámetro devuelto en el paquete de respuesta de autenticación RADIUS. No todos los servidores RADIUS permiten cambiar este parámetro. A continuación se muestra un ejemplo de configuración de Junos OS:

Suponga que el servidor RADIUS está configurado con la siguiente información:

  • Usuario Philip con contraseña "olympia"

  • Usuario Alexander con contraseña "bucephalus" y nombre de usuario "operator"

  • Usuario Darius con contraseña "pelirroja" y nombre de usuario "operador"

  • Usuario Roxane con contraseña "athena"

A Philip se le daría acceso como superusuario (super-user) debido a que tiene una cuenta de usuario local única. Alexander y Darius comparten UID 9990 y tienen acceso como operadores. Roxane no tiene anulación de usuario de plantilla y, por lo tanto, comparte el acceso con todos los demás usuarios remotos, obteniendo acceso de solo lectura.