Можете ли вы разрешить только локальный вход, если TACACS недоступен на Juniper?

Я уверен, что вы можете сделать это в мире Cisco, но не нашли способ сделать это на устройстве Juniper. Есть ли способ ограничить доступ к локальным учетным записям, если маршрутизатор имеет доступ к TACACS?

В частности, есть ли способ настроить маршрутизатор так, чтобы он работал следующим образом:

  1. Если маршрутизатор может аутентифицировать пользователя через TACACS, имя пользователя /пароль, хранящиеся на устройстве, недоступны.
  2. Если TACACS недоступен, локальная учетная запись затем доступна.

Возможно ли это?

3 голоса | спросил Wild Bill 30 MarpmMon, 30 Mar 2015 15:36:13 +03002015-03-30T15:36:13+03:0003 2015, 15:36:13

1 ответ


5

Это поведение по умолчанию.

Единственный способ, с помощью которого можно попытаться выполнить локальный логин, - это выполнить all другие типы аутентификации (TACACS и /или RADIUS).

Таким образом, в вашем случае единственный раз, когда будет запрашиваться ваша база данных с локальным паролем, - если сервер TACACS не отвечает на любые запросы. Если вы попытаетесь войти в систему, но TACACS отклонит ваш пароль, локальная база данных будет NOT .

От: Методы порядка аутентификации Juniper

  

Метод аутентификации пароля явно не настроен как один из методов проверки подлинности в операторе проверки подлинности аутентификации. В этом случае метод проверки пароля проверяется только в том случае, если все настроенные методы проверки подлинности не отвечают. Не разрешается, если какой-либо настроенный метод проверки подлинности возвращает ответ отклонения из-за неправильного имени пользователя или пароля.

Если вы видите другое поведение, проверьте следующий оператор конфигурации (знайте, что у него есть подпараметры, для получения дополнительной информации см. Настройка порядка аутентификации ):

R1> show configuration system authentication-order

Если это правильно настроено, обратитесь к базе данных аутентификации WILL , если сервер TACACS не отвечает ИЛИ отклоняет попытку пароля.

  

Метод аутентификации пароля (пароль) явно настроен как один из методов проверки подлинности в [аутентификации-порядке аутентификации]. В этом случае метод проверки пароля проверяется, если никакая предыдущая аутентификация не принимает учетные данные для входа в систему. Это верно, если предыдущий метод проверки подлинности не отвечает или возвращает ответ отклонения из-за неправильного имени пользователя или пароля.

Поэтому, чтобы быть более ясным, вы не хотите, чтобы authentication-order вообще настраивался для достижения поведения по умолчанию.

ответил Jordan Head 30 MarpmMon, 30 Mar 2015 16:10:56 +03002015-03-30T16:10:56+03:0004 2015, 16:10:56

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132