EN ESTA PÁGINA
Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema
Atributos RADIUS específicos del proveedor de Juniper Networks
Usar expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos
Directrices de VSA de filtro de conmutación de Juniper, condiciones de coincidencia y acciones
Autenticación RADIUS
Junos OS admite RADIUS para la autenticación centralizada de usuarios en dispositivos de red. Para utilizar la autenticación RADIUS en el dispositivo, usted (el administrador de red) debe configurar la información acerca de uno o más servidores RADIUS en la red. También puede configurar la contabilidad RADIUS en el dispositivo para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar los datos a un servidor de contabilidad RADIUS.
Configurar la autenticación del servidor RADIUS
La autenticación RADIUS es un método para autenticar a los usuarios que intentan acceder a un dispositivo de red. En las secciones siguientes se describe por qué usaría RADIUS y cómo configurarlo.
- Por qué usar RADIUS
- Configurar los detalles del servidor RADIUS
- Configurar RADIUS para utilizar la instancia de administración
Por qué usar RADIUS
Usted (el administrador de red) puede utilizar diferentes protocolos para la autenticación central de usuarios en dispositivos de red, incluidos RADIUS y TACACS+. Recomendamos RADIUS porque es un estándar IETF de múltiples proveedores y sus características son más ampliamente aceptadas que las de TACACS+ u otros sistemas propietarios. Además, recomendamos usar un sistema de contraseña de un solo uso para mayor seguridad, y todos los proveedores de estos sistemas admiten RADIUS.
Debe usar RADIUS cuando sus prioridades sean la interoperabilidad y el rendimiento:
-
Interoperabilidad: RADIUS es más interoperable que TACACS+, principalmente debido a la naturaleza propietaria de TACACS+. Mientras que TACACS+ admite más protocolos, RADIUS es universalmente compatible.
-
Rendimiento: RADIUS es mucho más ligero en sus enrutadores y conmutadores. Por esta razón, los ingenieros de redes generalmente prefieren RADIUS sobre TACACS+.
Configurar los detalles del servidor RADIUS
Para utilizar la autenticación RADIUS en el dispositivo, configure la información acerca de uno o más servidores RADIUS en la red incluyendo una radius-server
instrucción en el nivel de [edit system]
jerarquía para cada servidor RADIUS. El dispositivo consulta los servidores RADIUS en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que recibe una respuesta.
El dispositivo de red puede asignar usuarios autenticados por RADIUS a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que determina la autorización. De forma predeterminada, Junos OS asigna usuarios autenticados con RADIUS a la cuenta remote
de plantilla de usuario, si está configurada, cuando:
-
El usuario autenticado no tiene una cuenta de usuario configurada en el dispositivo local.
-
El servidor RADIUS no asigna al usuario a una plantilla de usuario local o la plantilla que asigna el servidor no está configurada en el dispositivo local.
El servidor RADIUS puede asignar un usuario autenticado a una plantilla de usuario diferente para concederle diferentes permisos administrativos. El usuario conserva el mismo nombre de inicio de sesión en la CLI, pero hereda la clase de inicio de sesión, los privilegios de acceso y el ID de usuario efectivo de la plantilla asignada. Si el usuario autenticado por RADIUS no se asigna a ninguna cuenta de usuario definida localmente o plantilla de usuario, y la plantilla no está configurada, se produce un error en la remote
autenticación.
El remote
nombre de usuario es un caso especial y siempre debe estar en Junos OS minúsculas. Actúa como una plantilla para los usuarios autenticados por un servidor remoto pero que no tienen una cuenta de usuario configurada localmente en el dispositivo. Junos OS Aplica los permisos de la remote
plantilla a los usuarios autenticados sin una cuenta definida localmente. Todos los usuarios asignados a la remote
plantilla están en la misma clase de inicio de sesión.
Dado que se configura la autenticación remota en varios dispositivos, es común configurarla dentro de un grupo de configuración. Los pasos que se muestran aquí se encuentran en un grupo de configuración denominado global
. El uso de un grupo de configuración es opcional.
Para configurar la autenticación por un servidor RADIUS:
Configurar RADIUS para utilizar la instancia de administración
De forma predeterminada, Junos OS enruta paquetes de autenticación, autorización y contabilidad para RADIUS a través de la instancia de enrutamiento predeterminada. También puede enrutar paquetes RADIUS a través de una interfaz de administración en una instancia de VRF no predeterminada.
Para enrutar paquetes RADIUS a través de la mgmt_junos
instancia de administración:
-
Habilite la instancia de
mgmt_junos
administración.[edit system] user@host# set management-instance
-
Configure la
routing-instance mgmt_junos
instrucción para el servidor de autenticación RADIUS y el servidor de contabilidad RADIUS, si está configurado.[edit system] user@host# set radius-server server-address routing-instance mgmt_junos user@host# set accounting destination radius server server-address routing-instance mgmt_junos
Ejemplo: Configurar un servidor RADIUS para la autenticación del sistema
En este ejemplo se configura la autenticación del sistema mediante un servidor RADIUS.
Requisitos
Antes de empezar:
-
Realice la configuración inicial del dispositivo. Consulte la Guía de introducción para su dispositivo.
-
Configure al menos un servidor RADIUS en la red.
Descripción general
En este ejemplo, se agrega un nuevo servidor RADIUS con una dirección IP de 172.16.98.1. Especifique la contraseña secreta compartida del servidor RADIUS como Radiussecret1. El dispositivo almacena el secreto en la base de datos de configuración como un valor cifrado. Por último, especifique la dirección de origen que utiliza el dispositivo en las solicitudes del servidor RADIUS. En la mayoría de los casos, puede utilizar la dirección de circuito cerrado del dispositivo, que en este ejemplo es 10.0.0.1.
Puede configurar la compatibilidad con varios métodos de autenticación de usuario, como la autenticación de contraseña local, RADIUS y TACACS+, en el dispositivo de red, Al configurar varios métodos de autenticación, puede priorizar el orden en que el dispositivo prueba los distintos métodos. En este ejemplo, configure el dispositivo para que use primero los servicios de autenticación RADIUS y, luego, si esto falla, intente la autenticación de contraseña local.
Un usuario autenticado por RADIUS debe asignarse a una cuenta de usuario local o a una cuenta de plantilla de usuario local en el dispositivo de red, lo que determina la autorización. De forma predeterminada, si un usuario autenticado por RADIUS no se asigna a una cuenta de usuario local o a una plantilla de usuario específica, el usuario se asigna a la plantilla de remote
usuario, si está configurada. En este ejemplo se configura la plantilla de remote
usuario.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set system radius-server 172.16.98.1 set system radius-server 172.16.98.1 secret Radiussecret1 set system radius-server 172.16.98.1 source-address 10.0.0.1 set system authentication-order [radius password] set system login user remote class operator
Procedimiento paso a paso
Para configurar un servidor RADIUS para la autenticación del sistema:
-
Agregue un nuevo servidor RADIUS y establezca su dirección IP.
[edit system] user@host# set radius-server 172.16.98.1
-
Especifique el secreto compartido (contraseña) del servidor RADIUS.
[edit system] user@host# set radius-server 172.16.98.1 secret Radiussecret1
-
Especifique la dirección de circuito cerrado del dispositivo como dirección de origen.
[edit system] user@host# set radius-server 172.16.98.1 source-address 10.0.0.1
-
Especifique el orden de autenticación del dispositivo e incluya la
radius
opción.[edit system] user@host# set authentication-order [radius password]
- Configure la plantilla de
remote
usuario y su clase de inicio de sesión.[edit system] user@host# set login user remote class operator
Resultados
En el modo de configuración, confirme la configuración introduciendo el show system
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
El siguiente resultado incluye solo las partes de la jerarquía de configuración que son relevantes para este ejemplo.
[edit] user@host# show system login { user remote { class operator; } } authentication-order [ radius password ]; radius-server { 172.16.98.1 { secret "$9$ABC123"; ## SECRET-DATA source-address 10.0.0.1; } }
Después de configurar el dispositivo, ingrese commit
al modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Verificar la configuración del servidor RADIUS
Propósito
Compruebe que el servidor RADIUS autentica a los usuarios.
Acción
Inicie sesión en el dispositivo de red y compruebe que el inicio de sesión se ha realizado correctamente. Para comprobar que el dispositivo utiliza el servidor RADIUS para la autenticación, puede intentar iniciar sesión con una cuenta que no defina una contraseña de autenticación local en la configuración.
Configurar la autenticación RADIUS (serie QFX o serie OCX)
La autenticación RADIUS es un método para autenticar a los usuarios que intentan acceder al enrutador o conmutador. Las tareas para configurar la autenticación RADIUS son:
La source-address
instrucción no se admite en [edit system-radius-server name]
el nivel de jerarquía en el sistema QFabric.
- Configurar los detalles del servidor RADIUS
- Configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña
- Especifique una dirección de origen para que Junos OS acceda a servidores RADIUS externos
Configurar los detalles del servidor RADIUS
Para utilizar la autenticación RADIUS en el enrutador o conmutador, configure la información acerca de uno o más servidores RADIUS en la red incluyendo una radius-server
instrucción en el nivel de [edit system]
jerarquía para cada servidor RADIUS:
[edit system] radius-server server-address { accounting-port port-number; accounting-retry number; accounting-timeout seconds; dynamic-request-port number; max-outstanding-requests value; port number; preauthentication-port number; preauthentication-secret secret; retry number; routing-instance routing-instance-name; secret password; source-addresssource-address; timeout seconds; }
server-address es la dirección del servidor RADIUS.
Puede especificar un puerto en el que ponerse en contacto con el servidor RADIUS. De forma predeterminada, se utiliza el número de puerto 1812 (como se especifica en RFC 2865). También puede especificar un puerto de contabilidad para enviar paquetes de contabilidad. El valor predeterminado es 1813 (como se especifica en RFC 2866).
Debe especificar una contraseña en la secret password
instrucción. Si la contraseña contiene espacios, escríbala entre comillas. El secreto utilizado por el enrutador o conmutador local debe coincidir con el utilizado por el servidor.
Opcionalmente, puede especificar la cantidad de tiempo que el enrutador o conmutador local espera para recibir una respuesta de un servidor RADIUS (en la timeout
instrucción) y el número de veces que el enrutador o conmutador intenta ponerse en contacto con un servidor de autenticación RADIUS (en la retry
instrucción). De forma predeterminada, el enrutador o conmutador espera 3 segundos. Puede configurarlo para que sea un valor de 1 a 90 segundos. De forma predeterminada, el enrutador o conmutador vuelve a intentar conectarse al servidor tres veces. Puede configurarlo para que sea un valor del 1 al 10 veces.
Puede utilizar la source-address
instrucción para especificar una dirección lógica para servidores individuales o varios servidores RADIUS.
Para configurar varios servidores RADIUS, incluya varias radius-server
instrucciones.
Para configurar un conjunto de usuarios que comparten una sola cuenta con fines de autorización, cree un usuario de plantilla. Para ello, incluya la user
instrucción en el nivel jerárquico [edit system login]
, como se describe en Ejemplo: Configurar orden de autenticación.
También puede configurar la autenticación RADIUS en los niveles jerárquico [edit access]
y [edit access profile]
. Junos OS utiliza el siguiente orden de búsqueda para determinar qué conjunto de servidores se utiliza para la autenticación:
[edit access profile profile-name radius-server server-address]
[edit access radius-server server-address]
[edit system radius-server server-address]
Configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña
Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de que:
Configure los parámetros de autenticación del servidor RADIUS.
Establezca el authentication-order para utilizar el servidor RADIUS para el intento inicial de contraseña.
Puede configurar la implementación de Microsoft del Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAPv2) en el enrutador o conmutador para admitir el cambio de contraseñas. Esta función ofrece a los usuarios que acceden a un enrutador o conmutador la opción de cambiar la contraseña cuando la contraseña caduque, se restablezca o esté configurada para cambiarse en el próximo inicio de sesión.
Para configurar MS-CHAP-v2, incluya las instrucciones siguientes en el nivel de [edit system radius-options]
jerarquía:
[edit system radius-options] password-protocol mschap-v2;
En el ejemplo siguiente se muestran instrucciones para configurar el protocolo de contraseña MS-CHAPv2, el orden de autenticación de contraseña y las cuentas de usuario:
[edit] system { authentication-order [ radius password ]; radius-server { 192.168.69.149 secret "$ABC123"; ## SECRET-DATA } radius-options { password-protocol mschap-v2; } login { user bob { class operator; } } }
Especifique una dirección de origen para que Junos OS acceda a servidores RADIUS externos
Puede especificar qué dirección de origen utiliza Junos OS al acceder a la red para ponerse en contacto con un servidor RADIUS externo para la autenticación. También puede especificar qué dirección de origen utiliza Junos OS cuando se pone en contacto con un servidor RADIUS para enviar información contable.
Para especificar una dirección de origen para un servidor RADIUS, incluya la source-address
instrucción en el nivel de [edit system radius-server server-address]
jerarquía:
[edit system radius-server server-address] source-address source-address;
source-address es una dirección IP válida configurada en una de las interfaces de enrutador o interfaces de conmutador.
Atributos RADIUS específicos del proveedor de Juniper Networks
Junos OS admite la configuración de atributos específicos del proveedor (VSA) de RADIUS de Juniper Networks en el servidor de autenticación. Estos VSA se encapsulan en un atributo específico del proveedor RADIUS con el ID de proveedor establecido en el número de ID de Juniper Networks, 2636.
Tabla 1 enumera los VSA de Juniper Networks que puede configurar.
Algunos de los atributos aceptan expresiones regulares extendidas, tal como se definen en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, escríbala entre comillas. Para obtener más información, consulte:
Nombre |
Description |
Tipo |
Largura |
Cuerda |
---|---|---|---|---|
nombre de usuario local de juniper |
Indica el nombre de la plantilla de usuario asignada a este usuario cuando el usuario inicia sesión en un dispositivo. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
1 |
≥3 |
Uno o más octetos que contengan caracteres ASCII imprimibles. |
Juniper-Allow-Commands |
Contiene una expresión regular extendida que permite al usuario ejecutar comandos además de los comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
2 |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
Juniper-Deny-Commands |
Contiene una expresión regular extendida que deniega al usuario el permiso para ejecutar comandos autorizados por los bits de permiso de clase de inicio de sesión del usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
3 |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
Juniper-Allow-Configuration |
Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de las instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
4 |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
Juniper-Deny-Configuration |
Contiene una expresión regular extendida que deniega al usuario el permiso para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
5 |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
Juniper-Interactive-Command |
Indica el comando interactivo introducido por el usuario. Este atributo sólo se utiliza en paquetes Accounting-Request. |
8 |
≥3 |
Uno o más octetos que contengan caracteres ASCII imprimibles. |
juniper-configuration-change |
Indica el comando interactivo que produce un cambio de configuración (base de datos). Este atributo sólo se utiliza en paquetes Accounting-Request. |
9 |
≥3 |
Uno o más octetos que contengan caracteres ASCII imprimibles. |
Permisos de usuario de Juniper |
Contiene información que el servidor utiliza para especificar permisos de usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. Nota:
Cuando el servidor RADIUS define el |
10 |
≥3 |
Uno o más octetos que contengan caracteres ASCII imprimibles. La cadena es una lista de indicadores de permisos separados por un espacio. El nombre exacto de cada bandera debe especificarse en su totalidad. Consulte Descripción general de los niveles de privilegios de acceso. |
Tipo de autenticación de Juniper |
Indica el método de autenticación (base de datos local o servidor RADIUS) utilizado para autenticar a un usuario. Si el usuario se autentica mediante una base de datos local, el valor del atributo muestra 'local'. Si el usuario se autentica mediante un servidor RADIUS o LDAP, el valor del atributo muestra 'remoto'. |
11 |
≥5 |
Uno o más octetos que contengan caracteres ASCII imprimibles. |
puerto de sesión de Juniper |
Indica el número de puerto de origen de la sesión establecida. |
12 |
Tamaño del entero |
Entero |
Juniper-Allow-Configuration-Regexps (solo RADIUS) |
Contiene una expresión regular extendida que permite al usuario ver y modificar instrucciones de configuración, además de las instrucciones autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
13 |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
Juniper-Deny-Configuration-Regexps (solo RADIUS) |
Contiene una expresión regular extendida que deniega al usuario el permiso para ver o modificar instrucciones de configuración autorizadas por los bits de permiso de clase de inicio de sesión del usuario. Este atributo sólo se utiliza en paquetes de acceso-aceptación. |
14 |
≥3 |
Uno o más octetos que contienen caracteres ASCII imprimibles en forma de una expresión regular extendida. |
Para obtener más información acerca de los VSA, consulte RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS).
Usar expresiones regulares en un servidor RADIUS o TACACS+ para permitir o denegar comandos
Junos OS puede asignar usuarios autenticados por RADIUS y TACACS+ a una cuenta de usuario definida localmente o a una cuenta de plantilla de usuario, que define los privilegios de acceso del usuario. Opcionalmente, también puede configurar los privilegios de acceso de un usuario definiendo los atributos específicos del proveedor (VSA) RADIUS y TACACS+ de Juniper Networks en el servidor de autenticación correspondiente.
La clase de inicio de sesión de un usuario define el conjunto de permisos que determina qué comandos de modo operativo y modo de configuración está autorizado a ejecutar un usuario y qué áreas de la configuración puede ver y modificar. Una clase de inicio de sesión también puede definir expresiones regulares que permiten o niegan a un usuario la capacidad de ejecutar determinados comandos o ver y modificar ciertas áreas de la configuración, además de lo que autorizan los indicadores de permiso. Una clase de inicio de sesión puede incluir las siguientes instrucciones para definir la autorización del usuario:
-
permissions
-
allow-commands
-
allow-commands-regexps
-
allow-configuration
-
allow-configuration-regexps
-
deny-commands
-
deny-commands-regexps
-
deny-configuration
-
deny-configuration-regexps
De manera similar, una configuración de servidor RADIUS o TACACS+ puede usar VSA de Juniper Networks para definir permisos específicos o expresiones regulares que determinan los privilegios de acceso de un usuario. Para obtener la lista de RADIUS y TACACS+ VSA compatibles, consulte lo siguiente:
- Atributos RADIUS específicos del proveedor de Juniper Networks
- Atributos TACACS+ específicos del proveedor de Juniper Networks
Puede definir permisos de usuario en el servidor RADIUS o TACACS+ como una lista de valores separados por espacios.
-
Un servidor RADIUS usa el atributo y la sintaxis siguientes:
Juniper-User-Permissions += "flag1 flag2 flag3",
Por ejemplo:
Juniper-User-Permissions += "interface interface-control configure",
-
Un servidor TACACS+ usa el siguiente atributo y sintaxis:
user-permissions = "flag1 flag2 flag3"
Por ejemplo:
user-permissions = "interface interface-control configure"
Un servidor RADIUS o TACACS+ también puede definir VSA de Juniper Networks que utilizan una única expresión regular extendida (como se define en POSIX 1003.2) para permitir o denegar a un usuario la capacidad de ejecutar determinados comandos o ver y modificar áreas de la configuración. Puede incluir varios comandos o jerarquías de configuración entre paréntesis y separarlos mediante un símbolo de barra vertical. Si la expresión regular contiene espacios, operadores o caracteres comodín, escríbala entre comillas. Cuando se configuran los parámetros de autorización tanto local como remotamente, el dispositivo combina las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular definida en el dispositivo local.
-
Un servidor RADIUS usa los siguientes atributos y sintaxis:
Juniper-Allow-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Deny-Commands += "(cmd1)|(cmd2)|(cmdn)", Juniper-Allow-Configuration += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration += "(config1)|(config2)|(confign)",
Por ejemplo:
Juniper-Allow-Commands += "(test)|(ping)|(quit)", Juniper-Deny-Commands += "(request)|(restart)", Juniper-Allow-Configuration += "(groups re0)|(system radius-server)", Juniper-Deny-Configuration += "(system radius-options)|(system accounting)",
-
Un servidor TACACS+ usa los siguientes atributos y sintaxis:
allow-commands = "(cmd1)|(cmd2)|(cmdn)" deny-commands = "(cmd1)|(cmd2)|(cmdn)" allow-configuration = "(config1)|(config2)|(confign)" deny-configuration = "(config1)|(config2)|(confign)"
Por ejemplo:
allow-commands = "(test)|(ping)|(quit)" deny-commands = "(request)|(restart)" allow-configuration = "(groups re0)|(system tacplus-server)" deny-configuration = "(system tacplus-options)|(system accounting)"
Los servidores RADIUS y TACACS+ también admiten la configuración de atributos que corresponden a las mismas *-regexps
instrucciones que puede configurar en el dispositivo local. Los *-regexps
atributos TACACS+ y RADIUS *-Regexps
usan la misma sintaxis de expresión regular que los atributos anteriores, pero permiten configurar expresiones regulares con variables.
-
Un servidor RADIUS usa los siguientes atributos y sintaxis:
Juniper-Allow-Configuration-Regexps += "(config1)|(config2)|(confign)", Juniper-Deny-Configuration-Regexps += "(config1)|(config2)|(confign)",
-
Un servidor TACACS+ usa los siguientes atributos y sintaxis:
allow-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" deny-commands-regexps = "(cmd1)|(cmd2)|(cmdn)" allow-configuration-regexps = "(config1)|(config2)|(confign)" deny-configuration-regexps = "(config1)|(config2)|(confign)"
Por ejemplo, la configuración del servidor TACACS+ podría definir los siguientes atributos:
allow-commands-regexps = "(show cli .*)|(ping 10.1.1..*)" deny-commands-regexps = "(configure .*)|(edit)|(commit)|(rollback .*)"
En un servidor RADIUS o TACACS+, también puede definir los atributos mediante una sintaxis simplificada en la que especifique cada expresión individual en una línea independiente.
Para un servidor RADIUS, especifique las expresiones regulares individuales mediante la sintaxis siguiente:
Juniper-User-Permissions += "permission-flag1", Juniper-User-Permissions += "permission-flag2", Juniper-User-Permissions += "permission-flagn", Juniper-Allow-Commands += "cmd1", Juniper-Allow-Commands += "cmd2", Juniper-Allow-Commands += "cmdn", Juniper-Deny-Commands += "cmd1", Juniper-Deny-Commands += "cmd2", Juniper-Deny-Commands += "cmdn", Juniper-Allow-Configuration += "config1", Juniper-Allow-Configuration += "config2", Juniper-Allow-Configuration += "confign", Juniper-Deny-Configuration += "config1", Juniper-Deny-Configuration += "config2", Juniper-Deny-Configuration += "confign",
Para un servidor TACACS+, especifique las expresiones regulares individuales mediante la sintaxis siguiente:
user-permissions1 = "permission-flag1" user-permissions2 = "permission-flag2" user-permissionsn = "permission-flagn" allow-commands1 = "cmd1" allow-commands2 = "cmd2" allow-commandsn = "cmdn" deny-commands1 = "cmd1" deny-commands2 = "cmd2" deny-commandsn = "cmdn" allow-configuration1 = "config1" allow-configuration2 = "config2" allow-configurationn = "confign" deny-configuration1 = "config1" deny-configuration2 = "config2" deny-configurationn = "confign"
-
En la sintaxis del servidor TACACS+, los valores numéricos del 1 al n deben ser únicos, pero no necesariamente secuenciales. Por ejemplo, la siguiente sintaxis es válida:
allow-commands1="cmd1" allow-commands3="cmd3" allow-commands2="cmd2" deny-commands3="cmd3" deny-commands2="cmd2" deny-commands1="cmd1"
-
El servidor RADIUS o TACACS+ impone un límite en el número de líneas de expresión regular individuales.
-
Al emitir el
show cli authorization
comando, el resultado del comando muestra la expresión regular en una sola línea, incluso si especifica cada expresión individual en una línea independiente.
Los usuarios pueden comprobar su clase, permisos y autorización de comando y configuración emitiendo el comando de show cli authorization
modo operativo.
user@host> show cli authorization
Cuando se configuran los parámetros de autorización localmente en el dispositivo de red y de forma remota en el servidor RADIUS o TACACS+, el dispositivo combina las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular configurada localmente. Si la expresión final contiene un error de sintaxis, el resultado general es una expresión regular no válida.
Directrices de VSA de filtro de conmutación de Juniper, condiciones de coincidencia y acciones
Los dispositivos admiten la configuración de atributos de servidor RADIUS específicos de Juniper Networks. Estos atributos se conocen como atributos específicos del proveedor (VSA) y se describen en RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS). Los atributos específicos del proveedor amplían la funcionalidad del servidor RADIUS más allá de la proporcionada por los atributos estándar públicos, lo que permite la implementación de muchas características útiles necesarias para la administración de suscriptores y el soporte del servicio.
Los VSA de Juniper Networks tienen el ID de proveedor establecido en 2636.
Los atributos son campos de texto sin cifrar que se envían desde el servidor RADIUS al dispositivo como resultado de un éxito o error de autenticación. La autenticación impide el acceso de usuarios no autorizados bloqueando un suplicante en el puerto hasta que el servidor RADIUS autentique el dispositivo. La implementación de atributos de filtrado con autenticación en el servidor RADIUS proporciona una ubicación central para controlar el acceso LAN de los suplicantes.
El atributo Juniper-Switching-Filter funciona junto con la autenticación 802.1X para controlar de forma centralizada el acceso de los suplicantes a la red. Puede utilizar este atributo para configurar filtros en el servidor RADIUS. Estos filtros se envían al conmutador y se aplican a los usuarios que se han autenticado mediante la autenticación 802.1X.
Juniper-Switching-Filter puede contener uno o más términos de filtro. Los términos de filtro se configuran utilizando una o más condiciones de coincidencia con una acción resultante. Las condiciones de coincidencia son los criterios que debe cumplir un paquete para que se le aplique una acción configurada. La acción configurada es la acción que realiza el conmutador si un paquete cumple los criterios especificados en las condiciones de coincidencia. La acción que puede realizar el conmutador es aceptar o denegar un paquete.
Agregar un filtro de firewall de puertos a un servidor RADIUS elimina la necesidad de agregar el filtro a varios puertos y dispositivos. Una forma de hacerlo es aplicar un filtro de firewall de puertos configurado previamente directamente al servidor RADIUS mediante el VSA Juniper-Firewall-filter-name. Al igual que los atributos de filtrado de puertos, este filtro se aplica durante el proceso de autenticación y sus acciones se aplican en el puerto del dispositivo.
Directrices de VSA
Los atributos RADIUS específicos del proveedor tienen un máximo de 247 caracteres por atributo. Si se requiere más longitud, Juniper admite varias instancias del mismo atributo, de hasta 4000 caracteres. Para admitir filtros que superen los 247 caracteres, utilice varios atributos Juniper-Switching-Filter. En el ejemplo siguiente se muestran dos atributos, cada uno de los cuales contiene un nuevo término de filtro que está dentro del límite de 247 caracteres:
Juniper-Switching-Filter = "Match ip-protocol 17 destination-port 67 Destination-ip 192.168.1.0/24 Action deny, match destination-ip 10.1.7.253 destination-port 53 action allow" Juniper-Switching-Filter += "Match ip-protocol 1 destination-port 4000 Destination-ip 192.168.21.0/24 Action deny"
El límite de 4000 caracteres está sujeto a la MTU admitida tanto en el servidor RADIUS como en el dispositivo Juniper, y al número de otros atributos RADIUS utilizados.
Las siguientes directrices se aplican a las condiciones y acciones de coincidencia de VSA:
-
Tanto la declaración como la
match
action
declaración son obligatorias. -
Si no se especifica ninguna condición de coincidencia, cualquier paquete se considera una coincidencia de forma predeterminada.
-
Si no se especifica ninguna acción, la acción predeterminada es denegar el paquete.
-
Cualquiera o todas las opciones se pueden incluir en cada una de
action
lasmatch
instrucciones. -
La operación AND se realiza en campos de otro tipo, separados por comas. Los campos del mismo tipo no se pueden repetir.
-
Para que se aplique la
forwarding-class
opción, la clase de reenvío debe estar configurada en el conmutador. Si la clase de reenvío no está configurada en el conmutador, esta opción se omite.
Condiciones del partido
Tabla 2 describe las condiciones de coincidencia que puede especificar al configurar un atributo VSA como filtro de firewall mediante el match
comando del servidor RADIUS. La cadena que define una condición de coincidencia se denomina instrucción de coincidencia.
La opción |
Description |
---|---|
|
Dirección MAC (control de acceso a medios de destino) del paquete. |
|
Valor de etiqueta en el encabezado 802.1Q, en el intervalo |
|
Dirección del nodo de destino final. |
|
Valor del protocolo IPv4. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto: |
|
Campo de puerto de origen TCP o Protocolo de datagramas de usuario (UDP). Normalmente, esta instrucción de coincidencia se especifica junto con la instrucción de |
|
Campo Puerto de destino TCP o UDP. Normalmente, esta instrucción de coincidencia se especifica junto con la instrucción de |
Acciones
Cuando se definen uno o varios términos que especifican los criterios de filtrado, también se define la acción que se debe realizar si el paquete coincide con todos los criterios. Tabla 3 muestra las acciones que puede especificar en un término.
La opción |
Description |
---|---|
|
Aceptar un paquete o descartarlo silenciosamente sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP). |
|
(Opcional) Clasifique el paquete en una de las siguientes clases de reenvío:
|
|
(Opcional) Establezca la prioridad de pérdida de paquetes (PLP) en |
Consulte también
Descripción de la contabilidad RADIUS
Los dispositivos de red admiten IETF RFC 2866, RADIUS Accounting. Puede configurar la contabilidad RADIUS en un dispositivo para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar los datos a un servidor de contabilidad RADIUS. Los datos estadísticos se pueden utilizar para la supervisión general de la red, el análisis y el seguimiento de los patrones de uso, o la facturación a un usuario en función de la duración de la sesión o el tipo de servicios a los que se accede.
Para configurar la contabilidad RADIUS, especifique:
-
Uno o más servidores de contabilidad RADIUS para recibir los datos estadísticos del dispositivo
-
El tipo de datos contables que se deben recopilar
Puede utilizar el mismo servidor para la contabilidad y autenticación de RADIUS, o puede utilizar servidores independientes. Puede especificar una lista de servidores de contabilidad RADIUS. El dispositivo consulta los servidores en el orden en que están configurados. Si el servidor principal (el primero configurado) no está disponible, el dispositivo intenta ponerse en contacto con cada servidor de la lista hasta que recibe una respuesta.
El proceso de contabilidad RADIUS entre el dispositivo y un servidor RADIUS funciona así:
-
Un servidor de contabilidad RADIUS escucha los paquetes del Protocolo de datagramas de usuario (UDP) en un puerto específico. El puerto predeterminado para la contabilidad RADIUS es 1813.
-
El dispositivo reenvía un paquete Accounting-Request que contiene un registro de eventos al servidor de contabilidad. El registro de sucesos asociado a este suplicante contiene un atributo Acct-Status-Type cuyo valor indica el inicio del servicio de usuario para este suplicante. Cuando finaliza la sesión del suplicante, la solicitud de contabilidad contiene un valor de atributo Acct-Status-Type que indica el final del servicio de usuario. El servidor de contabilidad RADIUS registra esto como un registro de contabilidad de detención que contiene información de sesión y la duración de la sesión.
-
El servidor de contabilidad RADIUS registra estos eventos en un archivo como registros de cuentas de inicio o de contabilidad de detención. En FreeRADIUS, el nombre de archivo es la dirección del servidor, como 192.0.2.0.
-
El servidor de contabilidad envía un paquete Accounting-Response al dispositivo confirmando que ha recibido la solicitud de contabilidad.
-
Si el dispositivo no recibe un paquete Accounting-Response del servidor, continúa enviando solicitudes de auditoría hasta que el servidor devuelve una respuesta.
Puede ver las estadísticas recopiladas a través de este proceso en el servidor RADIUS. Para ver esas estadísticas, acceda al archivo de registro configurado para recibirlas.
Configurar la contabilidad del sistema RADIUS
Cuando habilita la contabilidad RADIUS, los dispositivos de Juniper Networks, que actúan como clientes RADIUS, pueden notificar al servidor RADIUS sobre actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos. El marco para la contabilidad RADIUS se describe en RFC 2866, Contabilidad RADIUS.
Configurar la auditoría de eventos de usuario en un servidor RADIUS
Para configurar la contabilidad RADIUS:
En el ejemplo siguiente se configuran tres servidores (10.5.5.5, 10.6.6.6 y 10.7.7.7) para la contabilidad RADIUS:
system { accounting { events [ login change-log interactive-commands ]; destination { radius { server { 10.5.5.5 { accounting-port 3333; secret $ABC123; source-address 10.1.1.1; retry 3; timeout 3; } 10.6.6.6 secret $ABC123; 10.7.7.7 secret $ABC123; } } } } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.