Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la autenticación de usuario

Junos OS admite diferentes métodos de autenticación que usted (el administrador de red) utiliza para controlar el acceso de los usuarios a la red. Estos métodos incluyen autenticación de contraseña local, RADIUS y TACACS+. Utilice uno de estos métodos de autenticación para validar a los usuarios y dispositivos que intentan tener acceso al enrutador o conmutador mediante SSH y Telnet. La autenticación evita que dispositivos y usuarios no autorizados obtengan acceso a su LAN.

Métodos de autenticación de usuario

Junos OS admite tres métodos de autenticación de usuario: autenticación de contraseña local, RADIUS y TACACS+.

Con la autenticación de contraseña local, se configura una contraseña para cada usuario con permiso para iniciar sesión en el enrutador o conmutador.

RADIUS y TACACS+ son métodos de autenticación para validar a los usuarios que intentan acceder al enrutador o conmutador utilizando cualquiera de los métodos de inicio de sesión. Son sistemas cliente/servidor distribuidos: los clientes RADIUS y TACACS+ se ejecutan en el enrutador o conmutador, y el servidor se ejecuta en un sistema de red remoto.

Puede configurar el enrutador o conmutador para que sea un cliente RADIUS, TACACS+ o una combinación. También puede configurar contraseñas de autenticación en el archivo de configuración de Junos OS. Puede priorizar los métodos para configurar el orden en que el software prueba los diferentes métodos de autenticación al verificar el acceso de los usuarios.

Configurar cuentas de plantillas de usuario locales para la autenticación de usuarios

Utilice cuentas de plantilla de usuario local para asignar diferentes clases de inicio de sesión y, por lo tanto, conceder permisos diferentes a los usuarios que se autentican a través de un servidor de autenticación remoto. Cada plantilla puede definir un conjunto diferente de permisos adecuados para los usuarios asignados a esa plantilla. Las plantillas se definen localmente en el enrutador o conmutador, y los servidores de autenticación TACACS+ y RADIUS hacen referencia a las plantillas. Cuando se asigna un usuario autenticado a una cuenta de plantilla, el nombre de usuario de la CLI es el nombre de inicio de sesión, pero el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de plantilla.

Cuando se configuran plantillas de usuario local y un usuario inicia sesión, Junos OS emite una solicitud al servidor de autenticación para autenticar el nombre de inicio de sesión del usuario. Si el usuario está autenticado, el servidor devuelve el nombre de usuario local a Junos OS ( local-user-name para TACACS+ y Juniper-Local-User-Name para RADIUS ). A continuación, Junos OS determina si se ha especificado un nombre de usuario local para ese nombre de inicio de sesión y, de ser así, Junos OS asigna al usuario a esa plantilla de usuario local. Si no existe una plantilla de usuario local para el usuario autenticado, el enrutador o conmutador utiliza la remote plantilla de forma predeterminada, si está configurada.

Para configurar una plantilla de usuario local, defina el nombre de usuario de la plantilla en el nivel jerárquico [edit system login] . Asigne una clase para especificar los privilegios que desea conceder a los usuarios locales a los que se aplica la plantilla:

Para asignar un usuario a la plantilla de usuario local, configure el servidor de autenticación remota con el parámetro adecuado ( local-user-name para TACACS+ y Juniper-Local-User-Name para RADIUS) y especifique el nombre de usuario definido para la plantilla de usuario local. Para configurar diferentes privilegios de acceso para los usuarios que comparten la cuenta de plantilla de usuario local, puede utilizar atributos específicos del proveedor en el archivo de configuración del servidor de autenticación para permitir o denegar comandos y jerarquías de configuración específicos para un usuario.

En este ejemplo se configuran las sales plantillas y engineering de usuario en el dispositivo local. A continuación, el archivo de configuración del servidor TACACS+ asigna a los usuarios plantillas específicas.

Cuando se autentican los usuarios Simon y Rob, el enrutador o conmutador aplica la plantilla de sales usuario local. Cuando se autentican los usuarios de inicio de sesión Harold y Jim, el enrutador o conmutador aplica la plantilla de engineering usuario local.

Configurar cuentas de plantillas de usuario remoto para la autenticación de usuarios

El dispositivo de red puede asignar usuarios autenticados de forma remota a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que determina la autorización. La remote cuenta de plantilla es una plantilla de usuario especial. De forma predeterminada, Junos OS asigna usuarios autenticados de forma remota a la cuenta de remote plantilla, si está configurada, cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de autenticación remota no asigna al usuario a una plantilla de usuario local o la plantilla que asigna el servidor no está configurada en el dispositivo local.

Para configurar la cuenta de remote plantilla, incluya la user remote instrucción en el nivel de [edit system login] jerarquía y especifique la clase de inicio de sesión para los usuarios asignados a la remote plantilla:

Para configurar diferentes privilegios de acceso para los usuarios que comparten la cuenta de remote plantilla, puede usar atributos específicos del proveedor en el archivo de configuración del servidor de autenticación para permitir o denegar comandos y jerarquías de configuración específicos para un usuario.

Ejemplo: Crear cuentas de plantilla

En este ejemplo se muestra cómo crear cuentas de plantilla.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

Puede crear cuentas de plantilla compartidas por un conjunto de usuarios cuando utilice la autenticación RADIUS o TACACS+. Cuando se asigna un usuario autenticado a una cuenta de plantilla, el nombre de usuario de la CLI es el nombre de inicio de sesión, pero el usuario hereda los privilegios, la propiedad del archivo y el ID de usuario efectivo de la cuenta de plantilla.

De forma predeterminada, Junos OS asigna usuarios autenticados de forma remota a la cuenta de remote plantilla cuando:

  • El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.

  • El servidor de autenticación remota no asigna al usuario a una plantilla de usuario local o la plantilla que asigna el servidor no está configurada en el dispositivo local.

En este ejemplo, se crea la cuenta de remote plantilla y se establecen el nombre de usuario y remote la clase de inicio de sesión del usuario como operator. El dispositivo asigna la remote plantilla a usuarios autenticados por RADIUS o TACACS+ pero que no tienen una cuenta de usuario local o pertenecen a una cuenta de plantilla local diferente.

A continuación, cree una cuenta de plantilla local y establezca el nombre de usuario como admin y la clase de inicio de sesión como superusuario. Utilice cuentas de plantilla locales cuando necesite asignar usuarios autenticados de forma remota a diferentes clases de inicio de sesión. Por lo tanto, cada plantilla puede otorgar un conjunto diferente de permisos apropiados para los usuarios asignados a esa plantilla de usuario.

Configuración

Crear una cuenta de plantilla remota

Procedimiento paso a paso

Para crear la cuenta de remote plantilla:

  • Establezca el nombre de usuario y la clase de inicio de sesión para el remote usuario.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system login comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Crear una cuenta de plantilla local

Procedimiento paso a paso

Para crear una cuenta de plantilla local:

  1. Establezca el nombre de usuario y la clase de inicio de sesión para la plantilla de usuario.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system login comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Nota:

Para configurar completamente la autenticación RADIUS o TACACS+, debe configurar al menos un servidor RADIUS o TACACS+ y especificar un orden de autenticación del sistema. Para obtener más información, vea las siguientes tareas:

Verificación

Confirme que la configuración funcione correctamente.

Comprobar la creación de cuentas de plantilla

Propósito

Compruebe que se han creado las cuentas de plantilla.

Acción

En el modo operativo, ingrese el show system login comando.

¿Qué son los servidores de autenticación remota?

Probablemente ya use un servidor (o servidores) de autenticación remota en su red. El uso de estos servidores es una práctica recomendada, ya que le permiten crear un conjunto coherente de cuentas de usuario de forma centralizada para todos los dispositivos de la red. La administración de cuentas de usuario es mucho más sencilla cuando se utilizan servidores de autenticación remota para implementar una solución de autenticación, autorización y responsabilidad (AAA) en la red.

La mayoría de las empresas utilizan uno o más de tres métodos básicos de autenticación remota: RADIUS y TACACS+. Junos OS admite los tres métodos y puede configurar Junos OS para consultar cualquier tipo de servidor de autenticación remota. La idea detrás de un servidor RADIUS o TACACS+ es simple: Cada uno actúa como un servidor de autenticación central que los enrutadores, conmutadores, dispositivos de seguridad y servidores pueden utilizar para autenticar a los usuarios cuando intentan acceder a estos sistemas. Piense en las ventajas que ofrece un directorio central de usuarios para la auditoría de autenticación y el control de acceso en un modelo cliente/servidor. Los métodos de autenticación RADIUS y TACACS+ ofrecen ventajas comparables para su infraestructura de red.

El uso de un servidor central tiene múltiples ventajas sobre la alternativa de crear usuarios locales en cada dispositivo, una tarea que consume mucho tiempo y es propensa a errores. Un sistema de autenticación central también simplifica el uso de sistemas de contraseñas de un solo uso, como SecureID, que ofrecen protección contra ataques de detección y reproducción de contraseñas. En tales ataques, alguien puede usar una contraseña capturada para hacerse pasar por un administrador del sistema.

  • RADIUS: debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento.

    • Interoperabilidad: RADIUS es más interoperable que TACACS+, principalmente debido a la naturaleza propietaria de TACACS+. Mientras que TACACS+ admite más protocolos, RADIUS es universalmente compatible.

    • Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores que TACACS+. Por esta razón, los ingenieros de redes generalmente prefieren RADIUS sobre TACACS+.

  • TACACS+: debe usar TACACS+ cuando sus prioridades sean la seguridad y la flexibilidad.

    • Seguridad: TACACS+ es más seguro que RADIUS. No solo se cifra la sesión completa, sino que la autorización y la autenticación se realizan por separado para evitar que alguien intente ingresar a su red.

    • Flexibilidad: el Protocolo de control de transmisión (TCP) es un protocolo de transporte más flexible que UDP. Puede hacer más con TCP en redes más avanzadas. Además, TACACS+ admite más protocolos empresariales, como NetBIOS.