Juniper Radius And Tacacs Server 認證測試

1. 簡述

 

Juniper產品支持Radius、Tacacs及本地Password認證。根據不一樣的用戶需求，3A服務器認證可能會結合域用戶、LDAP、RSA-Token等認證服務器進行綜合認證。此測試報告使用Juniper VSRX和Cisco ACS5.2驗證3A相關認證選項。

 

2. 測試拓撲

 

使用Vmware workstation 9 安裝Cisco ACS 5.2，分別加載兩臺Cisco ACS，一臺做爲Radius服務器，一臺做爲Tacplus-Server服務器，分別在不一樣的認證服務器上配置不一樣的賬號進行相關認證測試。

3. 測試配置

 3.1. VSRX 配置

 

a. 配置3A服務器認證順序：

set system authentication-order radius

set system authentication-order password

set system authentication-order tacplus

 

b. 配置Radius和Tacplus-Server：

 

set system radius-server 10.0.29.100 port 1812

set system radius-server 10.0.29.100 secret "$9$BHgRcl8X-24ZX7i."

set system radius-server 10.0.29.100 timeout 3

set system radius-server 10.0.29.100 source-address 10.0.29.12

set system radius-server 10.0.29.101 secret "$9$AwJmuBElK8db2KMJD"

set system radius-server 10.0.29.101 source-address 10.0.29.12

set system tacplus-server 10.0.29.101 secret "$9$ahGjqTz6uORz3yK"

set system tacplus-server 10.0.29.101 source-address 10.0.29.12

 

c. 配置遠程認證用戶：

 

set system login user op uid 2003

set system login user op class super-user

set system login user remote uid 2000

set system login user remote class super-user

3.2. Radius Server配置

 

a. 定義網絡設備描述及AAA客戶端，能夠根據需求明確指定客戶認證端的IP地址或範圍，配置Radius認證密鑰及端口號

b. 定義Group組，新建」VSRX」 Group組，新建一個」junos」用戶並關聯到Group組中。

 

 

c. 定義認證和權限操做，根據如下圖示，對於經過Radius Server認證的用戶進行權限及本地用戶名的限制。

 

d. 定義訪問文件，新建一個服務選擇角色，匹配Radius認證並開啓網絡訪問

 

 

e. 「網絡服務訪問」塊區對訪問的用戶進行受權關聯

 

f. 基本的Radius認證服務配置已完成。

3.3 Tacplus-Server配置

 

a. 配置網絡設備做爲3A客戶端，並配置對應的IP地址和認證密鑰

 

 

 

b. 定義認證Group組及建立認證用戶

 

 

c. 定義tacplus的Policy參數屬性，關聯Juniper對應的Local-user-name及Deny-commands和configuration

 

 

 

d. 建立服務角色應用，匹配Tacacs協議

 

 

e. 建立默認的」設備管理」Shell文件，並關聯到對應的Policy參數中定義的Shell文件

 

f. 至此Tacacs服務器基本配置參數完成。

Note: 關於Radius及Tacacs中對命令受權控制的具體參數，需參考相關的文檔對不一樣的用戶權限進行調整控制。

4. 測試內容

 4.1 Radius認證登陸

 

從第三章節」測試配置中」，用戶junos可用來驗證Radius認證登陸測試-VSRX-10.0.29.12。

 

1. 使用Junos用戶登陸VSRX-10.0.29.12

 

 

2. 登陸Radius查看用戶junos登陸信息

 

3. 查看用戶junos的受權命令

 

 

4. 登陸ACS查看Radius用戶junos受權記錄

5. 根據不一樣的用戶需求，配置不一樣的受權命令。

4.2 Tacacs認證登陸

 

從第三章節」測試配置」中，用戶lab、test,經過PC端登陸防火牆VSRX-10.0.29.12，使用lab和test賬號對Tacacs進行認證測試。

1. 使用Lab登陸VSRX-10.0.29.12

 

2.登陸ACS，查看Tacacs登陸認證記錄

單擊」 Launch Monitoring & Report Viewer「

 

3. 查看用戶受權命令，用戶Lab使用」op」進行登陸，登陸用戶爲lab，對用戶權限進行控制以後，沒法正常查看Hardware信息及使用Set或Edit命令去配置Interfaces接口內容。

 

 

 

4. 登陸ACS查看受權信息

 

5. 測試結果

經過測試Junos配置Radius或Tacacs認證服務器時，可根據不一樣的用戶受權不一樣的操做命令，當Junos配置二個認證服務器（Radius和Tacacs）時，用戶將根據認證順序進行認證，若配置兩個Radius或Tacacs服務器時，將依據Junos中關於Radius或Tacacs的配置順序進行認證。 若須要對不一樣的用戶進行明細的命令受權操做或增長審計則須要再細化操做配置。