Juniper Radius And Tacacs Server 认证测试
1. 简述服务器
Juniper产品支持Radius、Tacacs及本地Password认证。根据不一样的用户需求,3A服务器认证可能会结合域用户、LDAP、RSA-Token等认证服务器进行综合认证。此测试报告使用Juniper VSRX和Cisco ACS5.2验证3A相关认证选项。 网络
2. 测试拓扑
使用Vmware workstation 9 安装Cisco ACS 5.2,分别加载两台Cisco ACS,一台做为Radius服务器,一台做为Tacplus-Server服务器,分别在不一样的认证服务器上配置不一样的账号进行相关认证测试。 ide
3. 测试配置
3.1. VSRX 配置测试
a. 配置3A服务器认证顺序: ui
set system authentication-order radiusspa
set system authentication-order password3d
set system authentication-order tacplusserver
b. 配置Radius和Tacplus-Server: blog
set system radius-server 10.0.29.100 port 1812接口
set system radius-server 10.0.29.100 secret "$9$BHgRcl8X-24ZX7i."
set system radius-server 10.0.29.100 timeout 3
set system radius-server 10.0.29.100 source-address 10.0.29.12
set system radius-server 10.0.29.101 secret "$9$AwJmuBElK8db2KMJD"
set system radius-server 10.0.29.101 source-address 10.0.29.12
set system tacplus-server 10.0.29.101 secret "$9$ahGjqTz6uORz3yK"
set system tacplus-server 10.0.29.101 source-address 10.0.29.12
c. 配置远程认证用户:
set system login user op uid 2003
set system login user op class super-user
set system login user remote uid 2000
set system login user remote class super-user
3.2. Radius Server配置
a. 定义网络设备描述及AAA客户端,能够根据需求明确指定客户认证端的IP地址或范围,配置Radius认证密钥及端口号
b. 定义Group组,新建”VSRX” Group组,新建一个”junos”用户并关联到Group组中。
c. 定义认证和权限操做,根据如下图示,对于经过Radius Server认证的用户进行权限及本地用户名的限制。
d. 定义访问文件,新建一个服务选择角色,匹配Radius认证并开启网络访问
e. “网络服务访问”块区对访问的用户进行受权关联
f. 基本的Radius认证服务配置已完成。
3.3 Tacplus-Server配置
a. 配置网络设备做为3A客户端,并配置对应的IP地址和认证密钥
b. 定义认证Group组及建立认证用户
c. 定义tacplus的Policy参数属性,关联Juniper对应的Local-user-name及Deny-commands和configuration
d. 建立服务角色应用,匹配Tacacs协议
e. 建立默认的”设备管理”Shell文件,并关联到对应的Policy参数中定义的Shell文件
f. 至此Tacacs服务器基本配置参数完成。
Note: 关于Radius及Tacacs中对命令受权控制的具体参数,需参考相关的文档对不一样的用户权限进行调整控制。
4. 测试内容
4.1 Radius认证登陆
从第三章节”测试配置中”,用户junos可用来验证Radius认证登陆测试-VSRX-10.0.29.12。
1. 使用Junos用户登陆VSRX-10.0.29.12
2. 登陆Radius查看用户junos登陆信息
3. 查看用户junos的受权命令
4. 登陆ACS查看Radius用户junos受权记录
5. 根据不一样的用户需求,配置不一样的受权命令。
4.2 Tacacs认证登陆
从第三章节”测试配置”中,用户lab、test,经过PC端登陆防火墙VSRX-10.0.29.12,使用lab和test账号对Tacacs进行认证测试。
1. 使用Lab登陆VSRX-10.0.29.12
2.登陆ACS,查看Tacacs登陆认证记录
单击” Launch Monitoring & Report Viewer“
3. 查看用户受权命令,用户Lab使用”op”进行登陆,登陆用户为lab,对用户权限进行控制以后,没法正常查看Hardware信息及使用Set或Edit命令去配置Interfaces接口内容。
4. 登陆ACS查看受权信息
5. 测试结果
经过测试Junos配置Radius或Tacacs认证服务器时,可根据不一样的用户受权不一样的操做命令,当Junos配置二个认证服务器(Radius和Tacacs)时,用户将根据认证顺序进行认证,若配置两个Radius或Tacacs服务器时,将依据Junos中关于Radius或Tacacs的配置顺序进行认证。 若须要对不一样的用户进行明细的命令受权操做或增长审计则须要再细化操做配置。
- 1. 【Juniper SRX学习】TACACS+和RADUI
- 2. TACACS +和RADIUS比较
- 3. Radware Alteon Radius认证+Windows Radius server
- 4. H3CSE园区-AAA、RADIUS和TACACS+
- 5. TACACS+/RADIUS服务器搭建记录
- 6. AAA认证及RADIUS配置
- 7. Windows Server 搭建企业无线认证(Radius认证方案)
- 8. 使用ISE为IOS和ASA作tacacs+认证
- 9. AAA认证
- 10. WindowsServer搭建radius认证服务器
- 更多相关文章...
- • Maven 构建 & 项目测试 - Maven教程
- • 测试SSH框架分层整合及验证事务是否有效 - Spring教程
- • RxJava操作符(七)Conditional and Boolean
- • Docker容器实战(一) - 封神Server端技术
-
每一个你不满意的现在,都有一个你没有努力的曾经。