Implementação do AAA

A autenticação, a autorização e a contabilidade (AAA) fornecem uma estrutura uniforme para a implementação do gerenciamento de acesso à rede. Esse recurso especifica as seguintes funções de segurança:

• Autenticação - identifica os usuários e verifica sua validade.
• Autorização - Concede direitos diferentes a usuários diferentes e controla o acesso dos usuários a recursos e serviços. Por exemplo, você pode permitir que os usuários do escritório leiam e imprimam arquivos e impedir que os convidados acessem arquivos no dispositivo.
• Accounting (Contabilidade) - Registra os detalhes de uso da rede dos usuários, incluindo o tipo de serviço, a hora de início e o tráfego. Essa função permite a cobrança com base no tempo e no tráfego e a auditoria do comportamento do usuário.

Diagrama de rede AAA

O AAA usa um modelo cliente/servidor. O cliente é executado no dispositivo de acesso ou no servidor de acesso à rede (NAS), que autentica as identidades do usuário e controla o acesso do usuário. O servidor mantém as informações do usuário de forma centralizada. Veja a Figura 1.

Figura 1 Diagrama de rede AAA

Para acessar redes ou recursos além do NAS, um usuário envia suas informações de identidade para o NAS. O NAS passa de forma transparente as informações do usuário para os servidores AAA e aguarda o resultado da autenticação, autorização e contabilidade. Com base no resultado, o NAS determina se deve permitir ou negar a solicitação de acesso.

O AAA tem várias implementações, incluindo HWTACACS, LDAP e RADIUS. O RADIUS é usado com mais frequência.

Você pode usar servidores diferentes para implementar funções de segurança diferentes. Por exemplo, você pode usar um servidor HWTACACS para autenticação e autorização e usar um servidor RADIUS para contabilidade.

Você pode escolher as funções de segurança fornecidas pelo AAA conforme necessário. Por exemplo, se a sua empresa quiser que os funcionários sejam autenticados antes de acessarem recursos específicos, você implantará um servidor de autenticação. Se forem necessárias informações sobre o uso da rede, você também configurará um servidor de contabilidade.

O dispositivo executa a autenticação dinâmica de senha.

RADIUS

O Remote Authentication Dial-In User Service (RADIUS) é um protocolo de interação de informações distribuídas que usa um modelo cliente/servidor. O protocolo pode proteger as redes contra acesso não autorizado e é frequentemente usado em ambientes de rede que exigem alta segurança e acesso remoto do usuário.

O processo de autorização do RADIUS é combinado com o processo de autenticação do RADIUS, e as informações de autorização do usuário são incluídas nas respostas de autenticação. O RADIUS usa a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilidade.

O RADIUS foi originalmente projetado para acesso discado de usuários e foi estendido para suportar métodos de acesso adicionais, como Ethernet e ADSL.

Modelo cliente/servidor

O cliente RADIUS é executado nos NASs localizados em toda a rede. Ele passa informações do usuário para os servidores RADIUS e age de acordo com as respostas para, por exemplo, rejeitar ou aceitar solicitações de acesso do usuário.

O servidor RADIUS é executado no computador ou na estação de trabalho no centro da rede e mantém informações relacionadas à autenticação do usuário e ao acesso ao serviço de rede.

O servidor RADIUS opera usando o seguinte processo:

• Recebe solicitações de autenticação, autorização e contabilidade de clientes RADIUS.
• Realiza a autenticação, a autorização ou a contabilidade do usuário.
• Retorna informações de controle de acesso do usuário (por exemplo, rejeitando ou aceitando a solicitação de acesso do usuário) para os clientes.

O servidor RADIUS também pode atuar como cliente de outro servidor RADIUS para fornecer serviços de proxy de autenticação.

O servidor RADIUS mantém os seguintes bancos de dados:

• Usuários - Armazena informações do usuário, como nomes de usuário, senhas, protocolos aplicados e endereços IP.
• Clients - Armazena informações sobre clientes RADIUS, como chaves compartilhadas e endereços IP.
• Dictionary - Armazena atributos do protocolo RADIUS e seus valores.

Figura 2 Bancos de dados do servidor RADIUS

Mecanismo de segurança de troca de informações

O cliente e o servidor RADIUS trocam informações entre si com a ajuda de chaves compartilhadas, que são pré-configuradas no cliente e no servidor. Um pacote RADIUS tem um campo de 16 bytes chamado Authenticator. Esse campo inclui uma assinatura gerada pelo uso do algoritmo MD5, a chave compartilhada e algumas outras informações. O receptor do pacote verifica a assinatura e aceita o pacote somente se a assinatura estiver correta. Esse mecanismo garante a segurança das informações trocadas entre o cliente e o servidor RADIUS.

As chaves compartilhadas também são usadas para criptografar as senhas de usuário incluídas nos pacotes RADIUS.

Métodos de autenticação do usuário

O servidor RADIUS oferece suporte a vários métodos de autenticação de usuário, como PAP, CHAP e EAP.

Processo básico de troca de pacotes RADIUS

A Figura 3 ilustra as interações entre um host de usuário, o cliente RADIUS e o servidor RADIUS.

Figura 3 Processo básico de troca de pacotes RADIUS

O RADIUS é usado no fluxo de trabalho a seguir:

• O host envia uma solicitação de conexão que inclui o nome de usuário e a senha do usuário para o cliente RADIUS .
• O cliente RADIUS envia uma solicitação de autenticação (Access-Request) para o servidor RADIUS. A solicitação inclui a senha do usuário, que foi processada pelo algoritmo MD5 e pela chave compartilhada.
• O servidor RADIUS autentica o nome de usuário e a senha. Se a autenticação for bem-sucedida, o servidor enviará de volta um pacote Access-Accept que contém as informações de autorização do usuário . Se a autenticação falhar, o servidor retornará um pacote Access-Reject.
• O cliente RADIUS permite ou nega o usuário de acordo com o resultado da autenticação. Se o resultado permitir o usuário, o cliente RADIUS enviará um pacote de solicitação de início de contabilização (Accounting-Request) para o servidor RADIUS.
• O servidor RADIUS retorna um pacote de confirmação (Accounting-Response) e inicia a contabilidade.
• O usuário acessa os recursos da rede.
• O host solicita que o cliente RADIUS encerre a conexão.
• O cliente RADIUS envia um pacote de solicitação de interrupção de contabilização (Accounting-Request) para o servidor RADIUS.
• O servidor RADIUS retorna uma confirmação (Accounting-Response) e interrompe a contabilização do usuário.
• O cliente RADIUS notifica o usuário sobre o encerramento.

Formato do pacote RADIUS

O RADIUS usa UDP para transmitir pacotes. O protocolo também usa uma série de mecanismos para garantir a troca suave de pacotes entre o servidor RADIUS e o cliente. Esses mecanismos incluem o mecanismo de cronômetro, o mecanismo de retransmissão e o mecanismo de servidor de backup.

Figura 4 Formato do pacote RADIUS

As descrições dos campos são as seguintes:

• O campo Code (1 byte de comprimento) indica o tipo do pacote RADIUS. A Tabela 1 apresenta os principais valores de e seus significados.

Tabela 1 Principais valores do campo Código

• O campo Identifier (1 byte de comprimento) é usado para combinar pacotes de resposta com pacotes de solicitação e para detectar pacotes de solicitação duplicados. Os pacotes de solicitação e resposta do mesmo processo de troca para a mesma finalidade (como autenticação ou contabilidade) têm o mesmo identificador.
• O campo Length (comprimento de 2 bytes) indica o comprimento de todo o pacote (em bytes), incluindo os campos Code (Código), Identifier (Identificador), Length (Comprimento), Authenticator (Autenticador) e Attributes (Atributos). Os bytes além desse comprimento são considerados preenchimento e são ignorados pelo receptor. Se o comprimento de um pacote recebido for menor que esse comprimento, o pacote será descartado.
• O campo Authenticator (16 bytes de comprimento) é usado para autenticar as respostas do servidor RADIUS e para criptografar as senhas dos usuários. Há dois tipos de autenticadores: autenticador de solicitação e autenticador de resposta.

• O campo Attributes (variável em comprimento) inclui informações de autenticação, autorização e contabilidade. Esse campo pode conter vários atributos, cada um com os seguintes subcampos:
• Tipo - Tipo do atributo.
• Comprimento - Comprimento do atributo em bytes, incluindo os subcampos Tipo, Comprimento e Valor.
• Value-Valor do atributo. Seu formato e conteúdo dependem do subcampo Type.

Atributos RADIUS estendidos

O protocolo RADIUS apresenta excelente extensibilidade. O atributo Vendor-Specific (atributo 26) permite que um fornecedor defina atributos estendidos. Os atributos estendidos podem implementar funções que o protocolo RADIUS padrão não oferece.

Um fornecedor pode encapsular vários subatributos no formato TLV no atributo 26 para fornecer funções estendidas. Conforme mostrado na Figura 5, um subatributo encapsulado no atributo 26 consiste nas seguintes partes:

• Vendor-ID-ID do fornecedor. O byte mais significativo é 0. Os outros três bytes contêm um código em conformidade com a RFC 1700.
• Vendor-Type-Tipo do subatributo.
• Vendor-Length-Comprimento do subatributo.
• Dados do fornecedor - Conteúdo do subatributo.

O dispositivo oferece suporte a subatributos RADIUS com ID de fornecedor 25506. Para obter mais informações, consulte "Apêndice C Subatributos RADIUS (ID de fornecedor 25506)".

Figura 5 Formato do atributo 26

HWTACACS

O HWTACACS (HW Terminal Access Controller Access Control System) é um protocolo de segurança aprimorado baseado no TACACS (RFC 1492). O HWTACACS é semelhante ao RADIUS e usa um modelo cliente/servidor para a troca de informações entre o NAS e o servidor HWTACACS.

O HWTACACS normalmente fornece serviços AAA para PPP, VPDN e usuários de terminal. Em um cenário típico de HWTACACS, os usuários de terminal precisam fazer login no NAS. Trabalhando como o cliente HWTACACS, o NAS envia os nomes de usuário e as senhas dos usuários ao servidor HWTACACS para autenticação. Depois de passar pela autenticação e obter direitos autorizados, um usuário faz login no dispositivo e executa as operações do . O servidor HWTACACS registra as operações que cada usuário realiza.

Diferenças entre HWTACACS e RADIUS

O HWTACACS e o RADIUS têm muitos recursos em comum, como o uso de um modelo cliente/servidor, o uso de chaves compartilhadas para criptografia de dados e o fornecimento de flexibilidade e escalabilidade. A Tabela 2 lista as principais diferenças entre o HWTACACS e o RADIUS.

Tabela 2 Principais diferenças entre o HWTACACS e o RADIUS

Processo básico de troca de pacotes HWTACACS

A Figura 6 descreve como o HWTACACS executa a autenticação, a autorização e a contabilidade do usuário para um usuário Telnet.

Figura 6 Processo básico de troca de pacotes HWTACACS para um usuário Telnet

O HWTACACS opera usando o seguinte fluxo de trabalho:

• Um usuário de Telnet envia uma solicitação de acesso ao cliente HWTACACS.
• O cliente HWTACACS envia um pacote de autenticação inicial para o servidor HWTACACS quando recebe a solicitação.
• O servidor HWTACACS envia de volta uma resposta de autenticação para solicitar o nome de usuário.
• Ao receber a resposta, o cliente HWTACACS pergunta ao usuário o nome de usuário.
• O usuário digita o nome de usuário.
• Depois de receber o nome de usuário do usuário, o cliente HWTACACS envia ao servidor um pacote de autenticação contínua que inclui o nome de usuário.
• O servidor HWTACACS envia de volta uma resposta de autenticação para solicitar a senha de login.
• Após o recebimento da resposta, o cliente HWTACACS solicita ao usuário a senha de login.
• O usuário digita a senha.
• Depois de receber a senha de login, o cliente HWTACACS envia ao servidor HWTACACS um pacote de autenticação contínua que inclui a senha de login.
• Se a autenticação for bem-sucedida, o servidor HWTACACS enviará de volta uma resposta de autenticação para indicar que o usuário foi aprovado na autenticação.
• O cliente HWTACACS envia um pacote de solicitação de autorização de usuário para o servidor HWTACACS.
• Se a autorização for bem-sucedida, o servidor HWTACACS enviará de volta uma resposta de autorização, indicando que o usuário agora está autorizado.
• Sabendo que o usuário agora está autorizado, o cliente HWTACACS envia sua CLI para o usuário e permite que ele faça login.
• O cliente HWTACACS envia uma solicitação de início de contabilização para o servidor HWTACACS.
• O servidor HWTACACS envia de volta uma resposta de contabilização, indicando que recebeu a solicitação start-accounting.
• O usuário faz logoff.
• O cliente HWTACACS envia uma solicitação de interrupção de contabilização para o servidor HWTACACS.
• O servidor HWTACACS envia de volta uma resposta stop-accounting, indicando que a solicitação stop-accounting foi recebida.

LDAP

O LDAP (Lightweight Directory Access Protocol) fornece um serviço de diretório padrão multiplataforma. O LDAP foi desenvolvido com base no protocolo X.500. Ele aprimora as seguintes funções do X.500:

• Acesso interativo de leitura/gravação.
• Navegue.
• Pesquisar.

O LDAP é adequado para armazenar dados que não mudam com frequência. O protocolo é usado para armazenar informações do usuário. Por exemplo, o software de servidor LDAP Active Directory Server é usado nos sistemas operacionais Microsoft Windows. O software armazena as informações do usuário e as informações do grupo de usuários para autenticação e autorização de login do usuário.

Serviço de diretório LDAP

O LDAP usa diretórios para manter as informações da organização, as informações de pessoal e as informações de recursos. Os diretórios são organizados em uma estrutura de árvore e incluem entradas. Uma entrada é um conjunto de atributos com nomes distintos (DNs). Os atributos são usados para armazenar informações como nomes de usuário, senhas, e-mails, nomes de computadores e números de telefone.

O LDAP usa um modelo cliente/servidor, e todas as informações de diretório são armazenadas no servidor LDAP. Os produtos de servidor LDAP comumente usados incluem o Microsoft Active Directory Server, o IBM Tivoli Directory Server e o Sun ONE Directory Server.

Autenticação e autorização LDAP

O AAA pode usar o LDAP para fornecer serviços de autenticação e autorização para os usuários. O LDAP define um conjunto de operações para implementar suas funções. As principais operações de autenticação e autorização são a operação de associação e a operação de pesquisa.

• A operação bind permite que um cliente LDAP execute as seguintes operações:
• Estabeleça uma conexão com o servidor LDAP.
• Obter os direitos de acesso ao servidor LDAP.
• Verifique a validade das informações do usuário.
• A operação de pesquisa cria condições de pesquisa e obtém as informações de recursos de diretório do servidor LDAP.

Na autenticação LDAP, o cliente executa as seguintes tarefas:

• Usa o DN do administrador do servidor LDAP para vincular-se ao servidor LDAP. Depois que a associação é criada, o cliente estabelece uma conexão com o servidor e obtém o direito de pesquisar.

Na autorização LDAP, o cliente executa as mesmas tarefas que na autenticação LDAP. Quando o cliente constrói condições de pesquisa, ele obtém informações de autorização e a lista de DNs do usuário.

Processo básico de autenticação LDAP

O exemplo a seguir ilustra o processo básico de autenticação LDAP para um usuário Telnet.

Figura 7 Processo básico de autenticação LDAP para um usuário Telnet

A seguir, mostramos o processo básico de autenticação LDAP:

• Um usuário Telnet inicia uma solicitação de conexão e envia o nome de usuário e a senha para o cliente LDAP.
• Após receber a solicitação, o cliente LDAP estabelece uma conexão TCP com o servidor LDAP.
• Para obter o direito de pesquisar, o cliente LDAP usa o DN e a senha do administrador para enviar uma solicitação de associação de administrador ao servidor LDAP.
• O servidor LDAP processa a solicitação. Se a operação de associação for bem-sucedida, o servidor LDAP enviará uma confirmação ao cliente LDAP.
• O cliente LDAP envia uma solicitação de pesquisa de DN de usuário com o nome de usuário do usuário Telnet para o servidor LDAP.
• Após receber a solicitação, o servidor LDAP procura o DN do usuário pelo DN de base, escopo de pesquisa e condições de filtragem. Se for encontrada uma correspondência, o servidor LDAP enviará uma resposta para notificar o cliente LDAP sobre a pesquisa bem-sucedida. Pode haver um ou mais DNs de usuário encontrados.
• O cliente LDAP usa o DN de usuário obtido e a senha de usuário inserida como parâmetros para enviar uma solicitação de associação de DN de usuário ao servidor LDAP. O servidor verificará se a senha do usuário está correta.
• O servidor LDAP processa a solicitação e envia uma resposta para notificar o cliente LDAP sobre o resultado da operação de associação. Se a operação de associação falhar, o cliente LDAP usará outro DN de usuário obtido como parâmetro para enviar uma solicitação de associação de DN de usuário ao servidor LDAP. Esse processo continua até que um DN seja vinculado com êxito ou até que todos os DNs não sejam vinculados. Se todos os DNs de usuário não forem vinculados, o cliente LDAP notificará o usuário sobre a falha no login e negará a solicitação de acesso do usuário.
• O cliente LDAP salva o DN do usuário que foi vinculado e troca pacotes de autorização com o servidor de autorização.
• Se a autorização LDAP for usada, consulte o processo de autorização mostrado na Figura 8.
• Se outro método for esperado para autorização, o processo de autorização desse método será aplicado.
• Após a autorização bem-sucedida, o cliente LDAP notifica o usuário sobre o login bem-sucedido.

Processo básico de autorização LDAP

O exemplo a seguir ilustra o processo básico de autorização LDAP para um usuário Telnet.

Figura 8 Processo básico de autorização LDAP para um usuário Telnet

A seguir, mostramos o processo básico de autorização LDAP:

• Um usuário de Telnet inicia uma solicitação de conexão e envia o nome de usuário e a senha para o dispositivo. O dispositivo atuará como cliente LDAP durante a autorização.
• Após receber a solicitação, o dispositivo troca pacotes de autenticação com o servidor de autenticação do usuário:
• Se a autenticação LDAP for usada, veja o processo de autenticação mostrado na Figura 7.
• - Se o dispositivo (o cliente LDAP) usar o mesmo servidor LDAP para autenticação e autorização, pule para a etapa 6.
• - Se o dispositivo (o cliente LDAP) usar servidores LDAP diferentes para autenticação e autorização, pule para a etapa 4.
• Se outro método de autenticação for usado, o processo de autenticação desse método será aplicado. O dispositivo atua como cliente LDAP. Pule para a etapa 3.
• O cliente LDAP estabelece uma conexão TCP com o servidor de autorização LDAP.
• Para obter o direito de pesquisar, o cliente LDAP usa o DN e a senha do administrador para enviar uma solicitação de associação de administrador ao servidor LDAP.
• O servidor LDAP processa a solicitação. Se a operação de associação for bem-sucedida, o servidor LDAP enviará uma confirmação ao cliente LDAP.
• O cliente LDAP envia uma solicitação de pesquisa de autorização com o nome de usuário do usuário Telnet para o servidor LDAP. Se o usuário usar o mesmo servidor LDAP para autenticação e autorização, o cliente enviará a solicitação com o DN de usuário salvo do usuário Telnet para o servidor LDAP.
• Após receber a solicitação, o servidor LDAP procura as informações do usuário pelo DN base, escopo de pesquisa, condições de filtragem e atributos LDAP. Se for encontrada uma correspondência, o servidor LDAP enviará uma resposta para notificar o cliente LDAP sobre a pesquisa bem-sucedida.
• Após a autorização bem-sucedida, o cliente LDAP notifica o usuário sobre o login bem-sucedido.

Gerenciamento de usuários com base em domínios ISP e tipos de acesso de usuário

O AAA gerencia os usuários com base nos domínios ISP e nos tipos de acesso dos usuários.

Em um NAS, cada usuário pertence a um domínio ISP. O NAS determina o domínio ISP ao qual um usuário pertence com base no nome de usuário inserido pelo usuário no login.

Figura 9 Determinação do domínio do ISP para um usuário por nome de usuário

O AAA gerencia os usuários no mesmo domínio ISP com base nos tipos de acesso dos usuários. O dispositivo suporta os seguintes tipos de acesso de usuário:

• LAN - Os usuários da LAN devem passar pela autenticação 802.1X ou MAC para ficar on-line.
• Login - Os usuários de login incluem usuários de SSH, Telnet, FTP e terminal que fazem login no dispositivo. Os usuários de terminal podem acessar por meio de uma porta de console.
• Portal - Os usuários do portal devem passar pela autenticação do portal para acessar a rede.
• HTTP/HTTPS - Os usuários fazem login no dispositivo por meio de HTTP ou HTTPS.

O dispositivo também fornece módulos de autenticação (como o 802.1X) para a implementação de políticas de gerenciamento de autenticação de usuários. Se você configurar esses módulos de autenticação, os domínios ISP para os usuários dos tipos de acesso dependerão da configuração dos módulos de autenticação.

Métodos de autenticação, autorização e contabilidade

O AAA suporta a configuração de diferentes métodos de autenticação, autorização e contabilidade para diferentes tipos de usuários em um domínio ISP. O NAS determina o domínio ISP e o tipo de acesso de um usuário. O NAS também usa os métodos configurados para o tipo de acesso no domínio para controlar o acesso do usuário.

O AAA também suporta a configuração de um conjunto de métodos padrão para um domínio ISP. Esses métodos padrão são aplicados aos usuários para os quais não há métodos AAA configurados.

Métodos de autenticação

O dispositivo é compatível com os seguintes métodos de autenticação:

• Sem autenticação - Esse método confia em todos os usuários e não executa a autenticação. Para fins de segurança, não use esse método.
• Autenticação local - O NAS autentica os usuários por si só, com base nas informações de usuário configuradas localmente, incluindo nomes de usuário, senhas e atributos. A autenticação local permite alta velocidade e baixo custo, mas a quantidade de informações que podem ser armazenadas é limitada pelo tamanho do espaço de armazenamento.
• Autenticação remota - O NAS trabalha com um servidor remoto para autenticar os usuários. O NAS se comunica com o servidor remoto por meio do protocolo RADIUS, LDAP ou HWTACACS. O servidor gerencia as informações do usuário de forma centralizada. A autenticação remota fornece serviços de autenticação de alta capacidade, confiáveis e centralizados para vários NASs. Você pode configurar métodos de backup a serem usados quando o servidor remoto não estiver disponível.

Métodos de autorização

O dispositivo é compatível com os seguintes métodos de autorização:

• Sem autorização - O NAS não realiza nenhuma troca de autorização. As informações de autorização padrão a seguir são aplicadas depois que os usuários passam pela autenticação:
• Os usuários de login obtêm a função de usuário de nível 0. Para obter mais informações sobre a função de usuário de nível 0, consulte Configuração do RBAC no Guia de Configuração dos Fundamentos.
• O diretório de trabalho dos usuários de login FTP, SFTP e SCP é o diretório raiz do NAS. No entanto, os usuários não têm permissão para acessar o diretório raiz.
• Usuários sem login podem acessar a rede.
• Autorização local - O NAS realiza a autorização de acordo com os atributos de usuário configurados localmente para os usuários.
• Autorização remota - O NAS trabalha com um servidor remoto para autorizar os usuários. A autorização RADIUS está vinculada à autenticação RADIUS. A autorização RADIUS pode funcionar somente depois que a autenticação RADIUS for bem-sucedida e as informações de autorização forem incluídas no pacote Access-Accept. A autorização HWTACACS ou LDAP é separada da autenticação, e as informações de autorização são incluídas na resposta de autorização após a autenticação bem-sucedida. Você pode configurar métodos de backup a serem usados quando o servidor remoto não estiver disponível.

Métodos contábeis

O dispositivo suporta os seguintes métodos de contabilidade:

• Sem contabilidade - O NAS não realiza contabilidade para os usuários.
• Contabilidade local - A contabilidade local é implementada no NAS. Ela conta e controla o número de usuários simultâneos que usam a mesma conta de usuário local, mas não fornece estatísticas para cobrança.
• Contabilidade remota - O NAS funciona com um servidor RADIUS ou HWTACACS para contabilidade. Você pode configurar métodos de backup a serem usados quando o servidor remoto não estiver disponível.

Funções estendidas AAA

O dispositivo fornece os seguintes serviços de login para aumentar a segurança do dispositivo:

• Autorização de comando - Permite que o NAS deixe o servidor de autorização determinar se um comando inserido por um usuário de login é permitido. Os usuários de login podem executar somente os comandos permitidos pelo servidor de autorização. Para obter mais informações sobre a autorização de comando, consulte o Guia de configuração de fundamentos.
• Contabilização de comandos - Quando a autorização de comandos está desativada, a contabilização de comandos permite que o servidor de contabilização registre todos os comandos válidos executados no dispositivo. Quando a autorização de comando está ativada, a contabilidade de comando permite que o servidor de contabilidade registre todos os comandos autorizados. Para obter mais informações sobre a contabilidade de comandos, consulte o Fundamentals Configuration Guide.
• Autenticação de função de usuário - Autentica cada usuário que deseja obter outra função de usuário sem fazer logout ou ser desconectado. Para obter mais informações sobre autenticação de função de usuário, consulte o Fundamentals Configuration Guide.

Recurso de servidor RADIUS do dispositivo

Ative o recurso de servidor RADIUS do dispositivo para trabalhar com clientes RADIUS para autenticação e autorização de usuários. O dispositivo pode atuar como um servidor RADIUS dedicado ou como um servidor RADIUS e um cliente RADIUS ao mesmo tempo.

O recurso do servidor RADIUS oferece redes flexíveis com menos custos. Conforme mostrado na Figura 10, o Dispositivo A fornece funções de servidor RADIUS na camada de distribuição; o Dispositivo B e o Dispositivo C são configurados com esquemas RADIUS para implementar a autenticação e a autorização do usuário na camada de acesso.

Figura 10 Diagrama de rede

O recurso de servidor RADIUS oferece suporte às seguintes operações:

• Gerencia os dados do usuário RADIUS, que são gerados a partir de informações do usuário local e incluem nome de usuário, senha, descrição, ACL de autorização, VLAN de autorização e tempo de expiração.
• Gerencia clientes RADIUS. Você pode adicionar, modificar e excluir clientes RADIUS. Um cliente RADIUS é identificado pelo endereço IP e inclui informações de atributo, como a chave compartilhada. O recurso de servidor RADIUS processa as solicitações de autenticação somente dos clientes RADIUS gerenciados e ignora as solicitações de clientes desconhecidos.
• Autentica e autoriza os usuários do tipo de acesso à rede. O servidor não fornece contabilidade.

Quando o servidor RADIUS recebe um pacote RADIUS, ele executa as seguintes ações:

• Verifica se o pacote é enviado de um cliente RADIUS gerenciado.
• Verifica o pacote com a chave compartilhada.
• Verifica se a conta de usuário existe, se a senha está correta e se outros atributos atendem aos requisitos (por exemplo, se a conta está dentro do período de validade).
• Determina o resultado da autenticação e autoriza privilégios específicos para o usuário autenticado.

O recurso de servidor RADIUS do dispositivo tem as seguintes restrições:

• A porta de autenticação é fixada em UDP 1812 e não pode ser modificada.
• O recurso é suportado em redes IPv4, mas não em redes IPv6.
• O servidor fornece apenas os métodos de autenticação PAP e CHAP.
• Os nomes de usuário enviados ao servidor RADIUS não podem incluir um nome de domínio.

Protocolos e padrões

• RFC 2865, Serviço de Discagem de Usuário para Autenticação Remota (RADIUS)
• RFC 2866, Contabilidade RADIUS
• RFC 2867, Modificações de contabilidade RADIUS para suporte ao protocolo de túnel
• RFC 2868, Atributos RADIUS para suporte ao protocolo de túnel
• RFC 2869, Extensões RADIUS
• RFC 3576, Extensões de autorização dinâmica para o RADIUS (Remote Authentication Dial In User Service)
• RFC 4818, Atributo RADIUS Delegated-IPv6-Prefix
• RFC 5176, Extensões de autorização dinâmica para o RADIUS (Remote Authentication Dial In User Service)
• RFC 1492, Um protocolo de controle de acesso, às vezes chamado de TACACS
• RFC 1777, Protocolo de acesso a diretórios leves
• RFC 2251, Lightweight Directory Access Protocol (v3)

Sobre os usuários locais

Para implementar a autenticação, a autorização e a contabilidade locais, crie usuários locais e configure os atributos do usuário no dispositivo. Os usuários e atributos locais são armazenados no banco de dados de usuários locais do dispositivo. Um usuário local é identificado exclusivamente pela combinação de um nome de usuário e um tipo de usuário.

Os usuários locais são classificados nos seguintes tipos:

• Usuário de gerenciamento do dispositivo - Usuário que faz login no dispositivo para gerenciamento do dispositivo.
• Usuário de acesso à rede - Usuário que acessa recursos de rede por meio do dispositivo.

A seguir, são mostrados os atributos configuráveis do usuário local:

• Descrição - Informações descritivas do usuário.
• Tipo de serviço - Serviços que o usuário pode usar. A autenticação local verifica os tipos de serviço de um usuário local. Se nenhum dos tipos de serviço estiver disponível, o usuário não poderá passar na autenticação.
• Estado do usuário - Se um usuário local pode ou não solicitar serviços de rede. Há dois estados de usuário: ativo e bloqueado. Um usuário no estado ativo pode solicitar serviços de rede, mas um usuário no estado bloqueado não pode.
• Limite superior de logins simultâneos usando o mesmo nome de usuário - Número máximo de usuários que podem acessar o dispositivo simultaneamente usando o mesmo nome de usuário. Quando o número atinge o limite superior, nenhum outro usuário local pode acessar o dispositivo usando o nome de usuário.
• Grupo de usuários - Cada usuário local pertence a um grupo de usuários local e tem todos os atributos do grupo. Os atributos incluem os atributos de controle de senha e os atributos de autorização. Para obter mais informações sobre o grupo de usuários locais, consulte "Configuração dos atributos do grupo de usuários".
• Atributos de vinculação - Os atributos de vinculação controlam o escopo dos usuários e são verificados durante a autenticação local de um usuário. Se os atributos de um usuário não corresponderem aos atributos de associação configurados para a conta de usuário local, o usuário não poderá ser aprovado na autenticação.
• Atributos de autorização - Os atributos de autorização indicam os direitos do usuário depois que ele passa pela autenticação local.

Configure os atributos de autorização com base no tipo de serviço dos usuários locais.

É possível configurar um atributo de autorização na visualização de grupo de usuários ou na visualização de usuário local. A configuração de um atributo de autorização na visualização do usuário local tem precedência sobre a configuração do atributo na visualização do grupo de usuários.

O atributo configurado na visualização do grupo de usuários tem efeito sobre todos os usuários locais do grupo de usuários. O atributo configurado na visualização do usuário local tem efeito apenas sobre o usuário local.

• Atributos de controle de senha - Os atributos de controle de senha ajudam a controlar a segurança da senha para usuários locais. Os atributos de controle de senha incluem tempo de envelhecimento da senha, comprimento mínimo da senha, verificação da composição da senha, verificação da complexidade da senha e limite de tentativas de login.

É possível configurar um atributo de controle de senha na visualização do sistema, na visualização do grupo de usuários ou na visualização do usuário local. Um atributo de controle de senha com um intervalo efetivo menor tem uma prioridade mais alta. Para obter mais informações sobre gerenciamento de senhas e configuração de senhas globais, consulte "Configuração do controle de senhas".

• Período de validade - Período de tempo em que um usuário de acesso à rede é considerado válido para autenticação.

Visão geral das tarefas de configuração do usuário local

Para configurar usuários locais, execute as seguintes tarefas:

• Configuração dos atributos do usuário local
• Configuração de atributos para usuários de gerenciamento de dispositivos
• Configuração de atributos para usuários de acesso à rede
• (Opcional.) Configuração dos atributos do grupo de usuários
• (Opcional.) Configuração do recurso de exclusão automática de usuário local

Restrições e diretrizes para a configuração do usuário local

A partir da versão 6348P01, os padrões de fábrica do dispositivo fornecem um usuário local padrão chamado clouduser do tipo HTTP. A senha do usuário é admin e a função do usuário é network-admin. Nas versões do anteriores à 6348P01, nenhum usuário local padrão é fornecido.

Configuração de atributos para usuários de gerenciamento de dispositivos

Restrições e diretrizes

Ao configurar o atributo de vinculação de interface para um usuário de gerenciamento de dispositivo, siga estas restrições e diretrizes para evitar falhas de autenticação:

• Especifique a interface de acesso real do usuário como a interface de vinculação para o usuário.
• Certifique-se de que os pacotes de autenticação do usuário incluam a interface de acesso do usuário.

Se o controle de senhas for ativado globalmente para usuários de gerenciamento de dispositivos usando o comando password-control enable, o dispositivo não exibirá as senhas de usuários locais nem as manterá na configuração em execução. Quando você desativa globalmente o controle de senha para usuários de gerenciamento de dispositivos, as senhas de usuários locais são automaticamente restauradas na configuração em execução. Para exibir a configuração em execução, use o comando display current-configuration.

É possível configurar atributos de autorização e atributos de controle de senha na visualização de usuário local ou de grupo de usuários. A configuração na visualização do usuário local tem precedência sobre a configuração na visualização do grupo de usuários.

Procedimento

• Entre na visualização do sistema.

system view

• Adicione um usuário de gerenciamento de dispositivos e entre na visualização do usuário de gerenciamento de dispositivos.

local-user user-name class manage

• Configure uma senha para o usuário de gerenciamento de dispositivos.

No modo não-FIPS:

password [ { hash | simple } string ]

Um usuário não protegido por senha passa na autenticação se fornecer o nome de usuário correto e passar nas verificações de atributos. Para aumentar a segurança, configure uma senha para cada usuário de gerenciamento de dispositivos.

No modo FIPS:

password

Somente usuários protegidos por senha podem passar pela autenticação. Você deve definir a senha no modo interativo para um usuário de gerenciamento de dispositivos.

• Atribua serviços ao usuário de gerenciamento de dispositivos.

No modo não-FIPS:

service-type { ftp | { http | https | ssh | telnet | terminal } * }

No modo FIPS:

service-type { https | ssh | terminal } *

Por padrão, nenhum serviço é autorizado a um usuário de gerenciamento de dispositivos.

• (Opcional.) Defina o status do usuário de gerenciamento de dispositivos.

state { active | block }

Por padrão, um usuário de gerenciamento de dispositivos está no estado ativo e pode solicitar serviços de rede.

• (Opcional.) Defina o limite superior de logins simultâneos usando o nome de usuário de gerenciamento do dispositivo.

access-limit max-user-number

Por padrão, o número de logins simultâneos não é limitado para um usuário de gerenciamento de dispositivos.

Esse comando entra em vigor somente quando a contabilidade local está configurada para usuários de gerenciamento de dispositivos. Esse comando não se aplica aos usuários de FTP, SFTP ou SCP que não oferecem suporte à contabilidade.

• (Opcional.) Configure o atributo de vinculação de interface para o usuário de gerenciamento de dispositivos.

bind-attribute location interface interface-type interface-number

Por padrão, nenhum atributo de vinculação de interface é configurado para um usuário de gerenciamento de dispositivos.

• (Opcional.) Configure os atributos de autorização para o usuário de gerenciamento de dispositivos.

authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *

As seguintes configurações padrão se aplicam:

• O diretório de trabalho dos usuários de FTP, SFTP e SCP é o diretório raiz do NAS. No entanto, os usuários não têm permissão para acessar o diretório raiz.
• A função de usuário network-operator é atribuída a usuários locais criados por um usuário network-admin ou de nível 15.
• (Opcional.) Configure os atributos de controle de senha para o usuário de gerenciamento de dispositivos. Escolha as seguintes tarefas, conforme necessário:
• Defina o tempo de envelhecimento da senha.

password-control aging aging-time

• Defina o comprimento mínimo da senha.

password-control length length

• Configure a política de composição de senhas.

password-control composition type-number type-number [ type-length type-length ]

• Configure a política de verificação da complexidade da senha.

password-control complexity { same-character | user-name } check

• Configure o máximo de tentativas de login e a ação a ser tomada se houver uma falha de login.

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

Por padrão, um usuário de gerenciamento de dispositivos usa os atributos de controle de senha do grupo de usuários ao qual o usuário pertence.

• (Opcional.) Atribua o usuário de gerenciamento de dispositivos a um grupo de usuários.

group group-name

Por padrão, um usuário de gerenciamento de dispositivos pertence ao grupo de usuários system.

Configuração de atributos para usuários de acesso à rede

Restrições e diretrizes

Se o controle de senha for ativado globalmente para usuários de acesso à rede usando o comando password-control enable network-class, o dispositivo não exibirá as senhas de usuários locais nem as manterá na configuração em execução. Quando você desativa globalmente o controle de senha para usuários de acesso à rede, as senhas de usuários locais são automaticamente restauradas na configuração em execução. Para exibir a configuração em execução, use o comando display current-configuration.

É possível configurar atributos de autorização e atributos de controle de senha na visualização de usuário local ou de grupo de usuários. A configuração na visualização do usuário local tem precedência sobre a configuração na visualização do grupo de usuários.

Configure o atributo de vinculação de local com base nos tipos de serviço dos usuários.

• Para usuários 802.1X, especifique as interfaces Ethernet de camada 2 habilitadas para 802.1X por meio das quais os usuários acessam o dispositivo.
• Para usuários de autenticação MAC, especifique as interfaces Ethernet de camada 2 habilitadas para autenticação MAC por meio das quais os usuários acessam o dispositivo.
• Para usuários de autenticação da Web, especifique as interfaces Ethernet de camada 2 habilitadas para autenticação da Web por meio das quais os usuários acessam o dispositivo.
• Para usuários do portal, especifique as interfaces habilitadas para portal por meio das quais os usuários acessam o dispositivo. Especifique as interfaces Ethernet de camada 2 se o portal estiver ativado em interfaces VLAN e o comando portal roaming enable não for usado.

Procedimento

• Entre na visualização do sistema.

system view

• Adicione um usuário de acesso à rede e entre na visualização do usuário de acesso à rede.

local-user user-name class network

• (Opcional.) Configure uma senha para o usuário de acesso à rede.

password { cipher | simple } string

• (Opcional.) Configure uma descrição para o usuário de acesso à rede.

description text

Por padrão, nenhuma descrição é configurada para um usuário local.

• Atribua serviços ao usuário de acesso à rede.

service-type { lan-access | portal }

Por padrão, nenhum serviço é autorizado a um usuário de acesso à rede.

• (Opcional.) Defina o status do usuário de acesso à rede.

state { active | block }

Por padrão, um usuário de acesso à rede está no estado ativo e pode solicitar serviços de rede.

• (Opcional.) Defina o limite superior de logins simultâneos usando o nome de usuário de acesso à rede.

access-limit max-user-number

Por padrão, o número de logins simultâneos não é limitado para um usuário de acesso à rede.

• (Opcional.) Configure os atributos de vinculação para o usuário de acesso à rede.

bind-attribute { ip ip-address | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *

Por padrão, nenhum atributo de vinculação é configurado para um usuário de acesso à rede.

• (Opcional.) Configure os atributos de autorização para o usuário de acesso à rede.

authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout minutes | user-profile profile-name | vlan vlan-id } *

Por padrão, um usuário de acesso à rede não tem atributos de autorização.

• (Opcional.) Configure os atributos de controle de senha para o usuário de acesso à rede. Selecione as seguintes tarefas, conforme necessário:
• Defina o comprimento mínimo da senha.

password-control length length

• Configure a política de composição de senhas.

password-control composition type-number type-number [ type-length type-length ]

• Configure a política de verificação da complexidade da senha.

password-control complexity { same-character | user-name } check

Por padrão, um usuário de acesso à rede usa os atributos de controle de senha do grupo de usuários ao qual o usuário pertence.

• (Opcional.) Atribua o usuário de acesso à rede a um grupo de usuários.

group group-name

Por padrão, um usuário de acesso à rede pertence ao grupo de usuários system.

• (Opcional.) Especifique o período de validade para o usuário local.

validity-datetime { from start-date start-time to expiration-date  expiration-time | from start-date start-time | to expiration-date  expiration-time }

Por padrão, o período de validade de um usuário de acesso à rede não expira.

Configuração de atributos de grupos de usuários

Sobre os atributos do grupo de usuários

Os grupos de usuários simplificam a configuração e o gerenciamento de usuários locais. Um grupo de usuários contém um grupo de usuários locais e tem um conjunto de atributos de usuários locais. É possível configurar atributos de usuário local para um grupo de usuários a fim de implementar o gerenciamento centralizado de atributos de usuário para os usuários locais do grupo. Os atributos locais do usuário que podem ser gerenciados incluem atributos de autorização.

Procedimento

• Entre na visualização do sistema.

system view

• Crie um grupo de usuários e entre na visualização do grupo de usuários.

user-group group-name

Por padrão, existe um grupo de usuários definido pelo sistema. O nome do grupo é system.

• Configure os atributos de autorização para o grupo de usuários.

authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout minutes | user-profile profile-name | vlan vlan-id | work-directory directory-name } *

Por padrão, nenhum atributo de autorização é configurado para um grupo de usuários.

• (Opcional.) Configure os atributos de controle de senha para o grupo de usuários. Selecione as seguintes tarefas, conforme necessário:
• Defina o tempo de envelhecimento da senha.

password-control aging aging-time

• Defina o comprimento mínimo da senha.

password-control length length

• Configure a política de composição de senhas.

password-control composition type-number type-number [ type-length type-length ]

• Configure a política de verificação da complexidade da senha.

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

• Configure o máximo de tentativas de login e a ação a ser tomada em caso de falhas de login.

  password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

Por padrão, um grupo de usuários usa as configurações globais de controle de senha. Para obter mais informações, consulte "Configuração do controle de senhas".

Configuração do recurso de exclusão automática de usuário local

Sobre o recurso de exclusão automática de usuário local

Esse recurso permite que o dispositivo examine a validade dos usuários locais em períodos de tempo fixos de 10 minutos e exclua automaticamente os usuários locais expirados.

Procedimento

• Entrar na visualização do sistema

system view

• Ative o recurso de exclusão automática de usuário local.

local-user auto-delete enable

Por padrão, o recurso de exclusão automática de usuário local está desativado.

Comandos de exibição e manutenção para usuários locais e grupos de usuários locais

Executar comandos de exibição em qualquer visualização.

Visão geral das tarefas RADIUS

Para configurar o RADIUS, execute as seguintes tarefas:

• Configuração de um perfil EAP

Para executar a detecção de status do servidor RADIUS com base em EAP, você deve configurar um perfil EAP e especificar o perfil EAP em um perfil de teste.

• Configuração de um perfil de teste para detecção do status do servidor RADIUS

Para detectar o status de um servidor RADIUS, você deve configurar um perfil de teste e configurar o servidor RADIUS para usar o perfil de teste em um esquema RADIUS.

• Criação de um esquema RADIUS
• Especificação de servidores de autenticação RADIUS
• Especificação dos servidores de contabilidade RADIUS
• Especificação das chaves compartilhadas para comunicação RADIUS segura

Execute esta tarefa se nenhuma chave compartilhada for especificada ao configurar a autenticação RADIUS ou os servidores de contabilidade .

• (Opcional.) Definição do status dos servidores RADIUS
• (Opcional.) Configuração dos temporizadores RADIUS
• (Opcional.) Configuração de parâmetros para pacotes RADIUS
• Especificação do endereço IP de origem para pacotes RADIUS de saída
• Configuração do formato do nome de usuário e das unidades de estatísticas de tráfego
• Definição do número máximo de tentativas de transmissão de solicitações RADIUS
• Definição do número máximo de tentativas de contabilização em tempo real
• Configuração da prioridade DSCP para pacotes RADIUS
• (Opcional.) Configuração de parâmetros para atributos RADIUS
• Especificação do formato do atributo NAS-Port
• Configuração do método de verificação do atributo Login-Service para usuários de SSH, FTP e terminal
• Interpretação do atributo de classe RADIUS como parâmetros CAR
• Configuração do formato do endereço MAC para o atributo 31 do RADIUS
• Especificação do formato do atributo NAS-Port-ID
• Definição da unidade de medição de dados para o atributo Remanent_Volume
• Configuração do recurso de conversão de atributos RADIUS
• (Opcional.) Configuração de recursos estendidos do RADIUS
• Configuração do buffer de pacotes de interrupção de contabilização do RADIUS
• Ativação do envio forçado de pacotes de parada de contabilização
• Ativação do recurso de compartilhamento de carga do servidor RADIUS
• Configuração do recurso de contabilização RADIUS
• Configuração do recurso de controle de sessão RADIUS
• Configuração do recurso RADIUS DAS
• Ativação de notificações SNMP para RADIUS
• Desativação do serviço RADIUS

Restrições e diretrizes para a configuração do RADIUS

Se o servidor de autenticação em um esquema RADIUS for fornecido pelo recurso de servidor RADIUS no dispositivo, você precisará configurar apenas os seguintes itens para o esquema RADIUS:

• Servidor de autenticação RADIUS.
• Chave compartilhada para comunicação RADIUS.
• Formato do nome de usuário para interação com o servidor RADIUS.

Configuração de um perfil EAP

Sobre os perfis do EAP

Um perfil EAP é um conjunto de configurações de autenticação EAP, incluindo o método de autenticação EAP e o arquivo de certificado CA a ser usado para alguns métodos de autenticação EAP.

Restrições e diretrizes

Você pode especificar um perfil EAP em vários perfis de teste. Você pode configurar um máximo de 16 perfis EAP.

Pré-requisitos

Antes de especificar um arquivo de certificado da CA, use FTP ou TFTP para transferir o arquivo de certificado da CA para o diretório raiz da mídia de armazenamento padrão no dispositivo.

Em uma malha IRF, certifique-se de que um arquivo de certificado CA já exista no diretório raiz da mídia de armazenamento padrão no dispositivo mestre antes de especificar o arquivo.

Procedimento

• Entre na visualização do sistema.

system view

• Crie um perfil EAP e entre na visualização do perfil EAP.

eap-profile eap-profile-name

• Especifique o método de autenticação EAP.

method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }

Por padrão, o método de autenticação EAP é MD5-challenge.

• Especifique um arquivo de certificado CA para autenticação EAP.

ca-file file-name

Por padrão, nenhum arquivo de certificado CA é especificado para a autenticação EAP.

Você deve especificar um arquivo de certificado de CA para verificar o certificado do servidor RADIUS se o método de autenticação EAP for PEAP-GTC, PEAP-MSCHAPv2, TTLS-GTC ou TTLS-MSCHAPv2.

Configuração de um perfil de teste para detecção do status do servidor RADIUS

Sobre os perfis de teste para detecção do status do servidor RADIUS

Para detectar a acessibilidade ou a disponibilidade de um servidor de autenticação RADIUS, especifique um perfil de teste para o servidor RADIUS ao especificar o servidor em um esquema RADIUS. Com o perfil de teste, o dispositivo atualiza o status do servidor RADIUS a cada intervalo de detecção, de acordo com o resultado da detecção. Se o servidor estiver inacessível ou indisponível, o dispositivo definirá o status do servidor como bloqueado. Se o servidor estiver acessível ou disponível, o dispositivo definirá o status do servidor como ativo.

O dispositivo suporta os seguintes métodos de detecção de status do servidor RADIUS:

• Detecção simples - Para um servidor RADIUS, o dispositivo simula uma solicitação de autenticação com o nome de usuário e a senha especificados no perfil de teste usado pelo servidor. A solicitação de autenticação é enviada ao servidor RADIUS em cada intervalo de detecção. O dispositivo determina que o servidor RADIUS está acessível se receber uma resposta do servidor dentro do intervalo.
• Detecção baseada em EAP - Para um servidor RADIUS, o dispositivo simula uma autenticação EAP com o nome de usuário e a senha especificados no perfil de teste usado pelo servidor. A autenticação EAP simulada começa no início de cada intervalo de detecção. Se a autenticação EAP for concluída em um intervalo de detecção, o dispositivo determinará que o servidor RADIUS está disponível.

Simulando um processo completo de autenticação EAP, a detecção baseada em EAP fornece resultados de detecção mais confiáveis do que a detecção simples. Como prática recomendada, configure a detecção baseada em EAP em um ambiente de rede em que a autenticação EAP esteja configurada.

Restrições e diretrizes

Você pode configurar vários perfis de teste no sistema.

O dispositivo começa a detectar o status de um servidor de autenticação RADIUS somente se um perfil de teste existente for especificado para o servidor.

Se você especificar um perfil EAP inexistente em um perfil de teste, o dispositivo executará uma detecção simples para os servidores RADIUS que usam o perfil de teste. Depois que o perfil EAP for configurado, o dispositivo iniciará a detecção baseada em EAP no próximo intervalo de detecção.

O dispositivo para de detectar o status de um servidor RADIUS quando uma das seguintes operações é realizada:

• O servidor RADIUS é removido do esquema RADIUS.
• A configuração do perfil de teste para o servidor RADIUS é removida na visualização do esquema RADIUS.
• O perfil de teste especificado para o servidor RADIUS é excluído.
• O servidor RADIUS é definido manualmente para o estado bloqueado.
• O esquema RADIUS que contém o servidor RADIUS é excluído.

Procedimento

• Entre na visualização do sistema.

system view

• Configure um perfil de teste para detectar o status dos servidores de autenticação RADIUS.

radius-server test-profile profile-name username name [ password { cipher | simple } string ] [ interval interval ] [ eap-profile eap-profile-name ]

Criação de um esquema RADIUS

Restrições e diretrizes

Você pode configurar um máximo de 16 esquemas RADIUS. Um esquema RADIUS pode ser usado por vários domínios ISP.

Procedimento

• Entre na visualização do sistema.

system view

• Crie um esquema RADIUS e entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

Especificação de servidores de autenticação RADIUS

Sobre os servidores de autenticação RADIUS

Um servidor de autenticação RADIUS conclui a autenticação e a autorização em conjunto, pois as informações de autorização são incluídas nas respostas de autenticação enviadas aos clientes RADIUS.

Você pode especificar um servidor de autenticação primário e um máximo de 16 servidores de autenticação secundários para um esquema RADIUS. Os servidores secundários fornecem serviços AAA quando o servidor primário fica inacessível. O dispositivo procura um servidor ativo na ordem em que os servidores secundários são configurados.

Quando o compartilhamento de carga do servidor RADIUS está ativado, o dispositivo distribui a carga de trabalho entre todos os servidores sem considerar as funções de servidor primário e secundário. O dispositivo verifica o valor do peso e o número de usuários atendidos atualmente para cada servidor ativo e, em seguida, determina o servidor mais adequado em termos de desempenho para receber uma solicitação de autenticação.

Restrições e diretrizes

Se a redundância não for necessária, especifique apenas o servidor primário.

Um servidor de autenticação RADIUS pode funcionar como servidor de autenticação primário para um esquema e como servidor de autenticação secundário para outro esquema ao mesmo tempo.

Dois servidores de autenticação em um esquema, primário ou secundário, não podem ter a mesma combinação de nome de host, endereço IP e número de porta.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Especifique o servidor de autenticação RADIUS primário.

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | weight weight-value ] *

Por padrão, nenhum servidor de autenticação RADIUS primário é especificado.

A palavra-chave weight só tem efeito quando o recurso de compartilhamento de carga do servidor RADIUS está ativado para o esquema RADIUS.

• (Opcional.) Especifique um servidor de autenticação RADIUS secundário.

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | weight weight-value ] *

Por padrão, nenhum servidor de autenticação RADIUS secundário é especificado.

A palavra-chave weight só tem efeito quando o recurso de compartilhamento de carga do servidor RADIUS está ativado para o esquema RADIUS.

Especificação dos servidores de contabilidade RADIUS

Sobre os servidores de contabilidade RADIUS

Você pode especificar um servidor de contabilidade primário e um máximo de 16 servidores de contabilidade secundários para um esquema RADIUS. Os servidores secundários fornecem serviços AAA quando o servidor primário fica indisponível. O dispositivo procura um servidor ativo na ordem em que os servidores secundários são configurados.

Quando o compartilhamento de carga do servidor RADIUS está ativado, o dispositivo distribui a carga de trabalho entre todos os servidores sem considerar as funções de servidor primário e secundário. O dispositivo verifica o valor do peso e o número de usuários atendidos atualmente para cada servidor ativo e, em seguida, determina o servidor mais adequado em termos de desempenho para receber uma solicitação de contabilidade.

Restrições e diretrizes

Se a redundância não for necessária, especifique apenas o servidor primário.

Um servidor de contabilidade RADIUS pode funcionar como servidor de contabilidade primário para um esquema e como servidor de contabilidade secundário para outro esquema ao mesmo tempo.

Dois servidores de contabilidade em um esquema, primário ou secundário, não podem ter a mesma combinação de nome de host, endereço IP e número de porta.

O RADIUS não oferece suporte à contabilidade para usuários de FTP, SFTP e SCP.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Especifique o servidor de contabilidade RADIUS primário.

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | weight weight-value ] *

Por padrão, nenhum servidor de contabilidade RADIUS primário é especificado.

A palavra-chave weight só tem efeito quando o recurso de compartilhamento de carga do servidor RADIUS está ativado para o esquema RADIUS.

• (Opcional.) Especifique um servidor de contabilidade RADIUS secundário.

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | weight weight-value ] *

Por padrão, nenhum servidor de contabilidade RADIUS secundário é especificado.

A palavra-chave weight só tem efeito quando o recurso de compartilhamento de carga do servidor RADIUS está ativado para o esquema RADIUS.

Especificação das chaves compartilhadas para comunicação RADIUS segura

Sobre as chaves compartilhadas para a comunicação segura do RADIUS

O cliente e o servidor RADIUS usam o algoritmo MD5 e chaves compartilhadas para gerar o valor do Authenticator para autenticação de pacotes e criptografia de senhas de usuários. O cliente e o servidor devem usar a mesma chave para cada tipo de comunicação.

Uma chave configurada nessa tarefa é para todos os servidores do mesmo tipo (contabilidade ou autenticação) no esquema. A chave tem prioridade mais baixa do que uma chave configurada individualmente para um servidor RADIUS.

Restrições e diretrizes

A chave compartilhada configurada no dispositivo deve ser a mesma que a chave compartilhada configurada no servidor RADIUS .

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Especifique uma chave compartilhada para comunicação RADIUS segura.

key { accounting | authentication } { cipher | simple } string

Por padrão, nenhuma chave compartilhada é especificada para a comunicação segura do RADIUS.

Definição do status dos servidores RADIUS

Sobre o status do servidor RADIUS

Para controlar os servidores RADIUS com os quais o dispositivo se comunica quando os servidores atuais não estão mais disponíveis, defina o status dos servidores RADIUS como bloqueado ou ativo. Você pode especificar um servidor primário

servidor RADIUS e vários servidores RADIUS secundários. Os servidores secundários funcionam como backup do servidor primário. Quando o recurso de compartilhamento de carga do servidor RADIUS está desativado, o dispositivo escolhe os servidores com base nas seguintes regras:

• Quando o servidor primário está no estado ativo, o dispositivo tenta primeiro se comunicar com o servidor primário. Se o servidor primário não puder ser acessado, o dispositivo procurará um servidor secundário ativo na ordem em que os servidores estiverem configurados.
• Quando um ou mais servidores estão no estado ativo, o dispositivo tenta se comunicar apenas com esses servidores ativos, mesmo que os servidores não estejam disponíveis.
• Quando todos os servidores estão em estado bloqueado, o dispositivo tenta se comunicar apenas com o servidor principal.
• Se um servidor não puder ser acessado, o dispositivo executará as seguintes operações:
• Altera o status do servidor para bloqueado.
• Inicia um cronômetro de silêncio para o servidor.
• Tenta se comunicar com o próximo servidor secundário em estado ativo que tem a prioridade mais alta.
• Quando o timer de silêncio de um servidor expira ou quando você define manualmente o servidor para o estado ativo, o status do servidor volta a ser ativo. O dispositivo não verifica o servidor novamente durante o processo de autenticação ou contabilidade.
• O processo de pesquisa continua até que o dispositivo encontre um servidor secundário disponível ou tenha verificado todos os servidores secundários em estado ativo. Se nenhum servidor estiver acessível, o dispositivo considerará a tentativa de autenticação ou contabilização uma falha.
• Quando você remove um servidor em uso, a comunicação com o servidor é interrompida. O dispositivo procura um servidor em estado ativo verificando primeiro o servidor primário e, em seguida, os servidores secundários na ordem em que foram configurados.
• Quando o status de um servidor RADIUS é alterado automaticamente, o dispositivo altera o status desse servidor de forma correspondente em todos os esquemas RADIUS nos quais esse servidor é especificado.
• Quando um servidor RADIUS é definido manualmente como bloqueado, a detecção de servidor é desativada para o servidor, independentemente de ter sido especificado um perfil de teste para o servidor. Quando o servidor RADIUS é definido para o estado ativo, a detecção do servidor é ativada para o servidor no qual um perfil de teste existente é especificado.

Por padrão, o dispositivo define o status de todos os servidores RADIUS como ativo. Entretanto, em algumas situações, você deve alterar o status de um servidor. Por exemplo, se um servidor falhar, você poderá alterar o status do servidor para bloqueado para evitar tentativas de comunicação com o servidor.

Restrições e diretrizes

O status do servidor configurado não pode ser salvo em nenhum arquivo de configuração e só pode ser visualizado com o comando display radius scheme.

Depois que o dispositivo for reiniciado, todos os servidores serão restaurados para o estado ativo.

O dispositivo seleciona um servidor acessível para a autenticação ou contabilização de um novo usuário de acordo com as regras de seleção de servidor desta seção se o recurso de compartilhamento de carga do servidor RADIUS estiver desativado. No entanto, essas regras não se aplicam à reautenticação de usuários on-line se o modo de seleção do servidor RADIUS para reautenticação estiver definido como herdar usando o comando reauthentication server-select inherit.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina o status do servidor RADIUS. Selecione as seguintes tarefas, conforme necessário:
• Definir o status do servidor de autenticação RADIUS primário.

state primary authentication { active | block }

• Definir o status do servidor de contabilidade RADIUS primário.

state primary accounting { active | block }

• Definir o status de um servidor de autenticação RADIUS secundário.

state secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }

• Definir o status de um servidor de contabilidade RADIUS secundário.

state secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }

Por padrão, um servidor RADIUS está no estado ativo.

Configuração de temporizadores RADIUS

Sobre os temporizadores RADIUS

O dispositivo usa os seguintes tipos de temporizadores para controlar a comunicação com um servidor RADIUS:

• Temporizador de tempo limite de resposta do servidor (response-timeout) - Define o intervalo de retransmissão da solicitação RADIUS. O cronômetro começa imediatamente após o envio de uma solicitação RADIUS. Se o dispositivo não receber uma resposta do servidor RADIUS antes que o cronômetro expire, ele reenviará a solicitação.
• Temporizador de silêncio do servidor (quiet) - Define a duração para manter um servidor inacessível no estado bloqueado. Se um servidor não estiver acessível, o dispositivo alterará o status do servidor para bloqueado, iniciará esse cronômetro para o servidor e tentará se comunicar com outro servidor no estado ativo. Após a expiração do cronômetro de silêncio do servidor, o dispositivo altera o status do servidor de volta para ativo.
• Timer de contabilidade em tempo real (realtime-accounting) - Define o intervalo em que o dispositivo envia pacotes de contabilidade em tempo real para o servidor de contabilidade RADIUS para usuários on-line.

Restrições e diretrizes

Considere o número de servidores secundários ao configurar o número máximo de tentativas de transmissão de pacotes RADIUS e o cronômetro de tempo limite de resposta do servidor RADIUS. Se o esquema RADIUS incluir muitos servidores secundários, o processo de retransmissão poderá ser muito longo e a conexão do cliente no módulo de acesso, como a Telnet, poderá atingir o tempo limite.

Quando as conexões do cliente têm um curto período de tempo limite, um grande número de servidores secundários pode fazer com que a tentativa inicial de autenticação ou contabilização falhe. Nesse caso, reconecte o cliente em vez de ajustar as tentativas de transmissão de pacotes RADIUS e o cronômetro de tempo limite de resposta do servidor. Normalmente, a próxima tentativa será bem-sucedida, pois o dispositivo bloqueou os servidores inacessíveis para reduzir o tempo de localização de um servidor acessível.

Verifique se o temporizador de silêncio do servidor está definido corretamente. Um timer muito curto pode resultar em falhas frequentes de autenticação ou contabilidade. Isso ocorre porque o dispositivo continuará a tentar se comunicar com um servidor inacessível que esteja em estado ativo. Um timer muito longo pode bloquear temporariamente um servidor acessível que tenha se recuperado de uma falha. Isso ocorre porque o servidor permanecerá no estado bloqueado até que o temporizador expire.

Um intervalo curto de contabilização em tempo real ajuda a melhorar a precisão da contabilização, mas exige muitos recursos do sistema. Quando houver 1.000 ou mais usuários, defina o intervalo para 15 minutos ou mais.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina os cronômetros RADIUS. Selecione as seguintes tarefas, conforme necessário:
• Defina o timer de tempo limite de resposta do servidor RADIUS.

timer response-timeout seconds

A configuração padrão é 3 segundos.

• Defina o cronômetro de silêncio para os servidores.

timer quiet minutes

A configuração padrão é de 5 minutos.

• Defina o cronômetro de contabilidade em tempo real.

timer realtime-accounting interval [ second ]

A configuração padrão é 12 minutos.

Especificação do endereço IP de origem para pacotes RADIUS de saída

Sobre o endereço IP de origem para pacotes RADIUS de saída

O endereço IP de origem dos pacotes RADIUS que um NAS envia deve corresponder ao endereço IP do NAS configurado no servidor RADIUS. Um servidor RADIUS identifica um NAS por seu endereço IP. Ao receber um pacote RADIUS, o servidor RADIUS verifica o endereço IP de origem do pacote.

• Se for o endereço IP de um NAS gerenciado, o servidor processará o pacote.
• Se não for o endereço IP de um NAS gerenciado, o servidor descartará o pacote.

Antes de enviar um pacote RADIUS, o NAS seleciona um endereço IP de origem na seguinte ordem:

• O endereço IP de origem especificado para o esquema RADIUS.
• O endereço IP de origem especificado na visualização do sistema.
• O endereço IP da interface de saída especificada pela rota.

Restrições e diretrizes para a configuração do endereço IP de origem

Você pode especificar um endereço IP de origem para pacotes RADIUS de saída na visualização do esquema RADIUS ou na visualização do sistema.

• O endereço IP especificado na visualização do esquema RADIUS aplica-se somente a um esquema RADIUS.
• O endereço IP especificado na visualização do sistema se aplica a todos os esquemas RADIUS.

O endereço IP de origem dos pacotes RADIUS que um NAS envia deve corresponder ao endereço IP do NAS que está configurado no servidor RADIUS.

Como prática recomendada, especifique um endereço de interface de loopback como o endereço IP de origem dos pacotes RADIUS de saída para evitar a perda de pacotes RADIUS causada por erros de porta física.

O endereço de origem dos pacotes RADIUS de saída é normalmente o endereço IP de uma interface de saída no NAS para se comunicar com o servidor RADIUS. Entretanto, em algumas situações, você deve alterar o endereço IP de origem. Por exemplo, quando o VRRP estiver configurado para failover com estado, configure o IP virtual do grupo VRRP de uplink como o endereço de origem.

Você pode especificar diretamente um endereço IP de origem para os pacotes RADIUS de saída ou especificar uma interface de origem para fornecer o endereço IP de origem para os pacotes RADIUS de saída. A configuração da interface de origem e a configuração do endereço IP de origem substituem uma à outra.

Especificação de uma interface de origem ou endereço IP de origem para todos os esquemas RADIUS

• Entre na visualização do sistema.

system view

• Especifique uma interface de origem ou um endereço IP de origem para pacotes RADIUS de saída.

radius nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }

Por padrão, o endereço IP de origem de um pacote RADIUS de saída é o endereço IPv4 primário ou o endereço IPv6 da interface de saída.

Especificação de uma interface de origem ou endereço IP de origem para um esquema RADIUS

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Especifique uma interface de origem ou um endereço IP de origem para pacotes RADIUS de saída.

nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }

Por padrão, o endereço IP de origem de um pacote RADIUS de saída é aquele especificado pelo uso do comando radius nas-ip na visualização do sistema. Se o comando radius nas-ip não for usado, o endereço IP de origem será o endereço IP primário da interface de saída.

Configuração do formato do nome de usuário e das unidades de estatísticas de tráfego

Sobre o formato do nome de usuário e as unidades de estatísticas de tráfego

Um nome de usuário está no formato userid@isp-name, em que a parte isp-name representa o nome de domínio ISP do usuário. Por padrão, o nome de domínio do ISP é incluído em um nome de usuário. Entretanto, os servidores RADIUS mais antigos podem não reconhecer nomes de usuário que contenham os nomes de domínio do ISP. Nesse caso, você pode configurar o dispositivo para remover o nome de domínio de cada nome de usuário a ser enviado.

O dispositivo relata estatísticas de tráfego de usuários on-line em pacotes de contabilidade. As unidades de medição de tráfego são configuráveis.

Restrições e diretrizes

Se dois ou mais domínios ISP usarem o mesmo esquema RADIUS, configure o esquema RADIUS para manter o nome do domínio ISP nos nomes de usuário para identificação do domínio.

Para obter precisão na contabilidade, certifique-se de que as unidades de estatísticas de tráfego configuradas no dispositivo e nos servidores de contabilidade RADIUS sejam as mesmas.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina o formato dos nomes de usuário enviados aos servidores RADIUS.

user-name-format { keep-original | with-domain | without-domain }

Por padrão, o nome de domínio do ISP é incluído em um nome de usuário.

Se o dispositivo for especificado como servidor RADIUS no esquema, o formato do nome de usuário deverá ser definido como without-domain (sem domínio).

• Defina o fluxo de dados e as unidades de medição de pacotes para estatísticas de tráfego.

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } }*

Por padrão, o tráfego é contado em bytes e pacotes.

Configuração do número máximo de tentativas de transmissão de solicitações RADIUS

Sobre a configuração do número máximo de tentativas de transmissão de solicitações RADIUS

O RADIUS usa pacotes UDP para transferir dados. Como a comunicação UDP não é confiável, o RADIUS usa um mecanismo de retransmissão para aumentar a confiabilidade. Uma solicitação RADIUS será retransmitida se o NAS não receber uma resposta do servidor para a solicitação dentro do cronômetro de tempo limite de resposta. Para obter mais informações sobre o cronômetro de tempo limite de resposta do servidor RADIUS, consulte "Definição do status dos servidores RADIUS".

Você pode definir o número máximo para o NAS retransmitir uma solicitação RADIUS para o mesmo servidor. Quando o número máximo é atingido, o NAS tenta se comunicar com outros servidores RADIUS no estado ativo. Se nenhum outro servidor estiver em estado ativo no momento, o NAS considerará a tentativa de autenticação ou contabilidade uma falha.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina o número máximo de tentativas de transmissão de solicitações RADIUS.

retry retries

Por padrão, o número máximo é 3 para tentativas de transmissão de solicitações RADIUS.

Definição do número máximo de tentativas de contabilização em tempo real

Sobre a configuração do número máximo de tentativas de contabilização em tempo real

Se você definir o número máximo de tentativas de contabilização em tempo real, o dispositivo desconectará os usuários dos quais não forem recebidas respostas de contabilização dentro das tentativas permitidas.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina o número máximo de tentativas de contabilização em tempo real.

retry realtime-accounting retries

Por padrão, o número máximo é 5 para tentativas de contabilização em tempo real.

Configuração da prioridade DSCP para pacotes RADIUS

Sobre a prioridade DSCP para pacotes RADIUS

A prioridade DSCP no campo ToS determina a prioridade de transmissão dos pacotes RADIUS. Um valor maior representa uma prioridade mais alta.

Procedimento

• Entre na visualização do sistema.

system view

• Defina a prioridade DSCP para os pacotes RADIUS.

radius [ ipv6 ] dscp dscp-value

Por padrão, a prioridade DSCP é 0 para pacotes RADIUS.

Especificação do formato do atributo NAS-Port

Sobre esta tarefa

Execute esta tarefa para especificar o formato do atributo NAS-Port (atributo 5) enviado pelo dispositivo ao servidor RADIUS. Os seguintes formatos estão disponíveis:

• Formato padrão - Contém as seguintes partes:
• ID de membro IRF de 8 bits.
• Número do slot de 4 bits.
• Índice de porta de 8 bits.
• VLAN ID de 12 bits.
• Formato da porta - Contém o valor no último segmento da interface de acesso do usuário. Por exemplo, se um usuário ficar on-line a partir da GigabitEthernet 1/0/2, o valor do atributo NAS-Port será 2.

Versão do software e compatibilidade de recursos

Esse recurso é compatível apenas com a versão 6342 e posteriores.

Restrições e diretrizes

Para trocar pacotes RADIUS corretamente com um servidor RADIUS, configure o dispositivo com o mesmo formato de atributo NAS-Port que o servidor RADIUS.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina o formato do atributo NAS-Port para o formato da porta.

attribute 5 format port

Por padrão, o atributo NAS-Port usa o formato padrão.

Configuração do método de verificação do atributo Login-Service para usuários de SSH, FTP e terminal

Sobre os métodos de verificação do atributo Login-Service

O dispositivo suporta os seguintes métodos de verificação do atributo Login-Service (atributo 15 do RADIUS) de usuários de SSH, FTP e terminal:

• Strict - Matches Login-Service valores de atributo 50, 51 e 52 para SSH, FTP e serviços de terminal, respectivamente.
• Loose - Corresponde ao valor 0 do atributo padrão Login-Service para SSH, FTP e serviços de terminal.

Um pacote Access-Accept recebido para um usuário deve conter o valor de atributo correspondente. Caso contrário, o usuário não poderá fazer login no dispositivo.

Restrições e diretrizes

Use o método de verificação solta somente quando o servidor não emitir os valores de atributo Login-Service 50, 51 e 52 para usuários de SSH, FTP e terminal.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Configure o método de verificação do atributo Login-Service para usuários de SSH, FTP e terminal.

attribute 15 check-mode { loose | strict }

O método de verificação padrão é rigoroso.

Interpretação do atributo de classe RADIUS como parâmetros CAR

Sobre a interpretação do atributo de classe RADIUS como parâmetros CAR

Um servidor RADIUS pode fornecer parâmetros CAR para monitoramento e controle de tráfego com base no usuário usando o atributo de classe RADIUS (atributo 25) nos pacotes RADIUS. Você pode configurar o dispositivo para interpretar o atributo class como parâmetros CAR.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Interpretar o atributo de classe RADIUS como parâmetros CAR.

attribute 25 car

Por padrão, o atributo de classe RADIUS não é interpretado como parâmetros CAR.

Configuração do formato do endereço MAC para o atributo 31 do RADIUS

Restrições e diretrizes

Servidores RADIUS de tipos diferentes podem ter requisitos diferentes para o formato de endereço MAC no atributo 31 do RADIUS. Configure o formato do endereço MAC do atributo 31 do RADIUS para atender aos requisitos dos servidores RADIUS.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Configure o formato do endereço MAC para o atributo 31 do RADIUS.

attribute 31 mac-format section { one |{ six | three } separator separator-character } { lowercase | uppercase }

Por padrão, um endereço MAC está no formato HH-HH-HH-HH-HH-HH-HH-HH. O endereço MAC é separado por hífen (-) em seis seções com letras em caixa alta.

A palavra-chave one está disponível somente na versão 6312 e posteriores.

Especificação do formato do atributo NAS-Port-ID

Sobre esta tarefa

Execute esta tarefa para especificar o formato do atributo NAS-Port-ID (atributo 87) enviado pelo dispositivo ao servidor RADIUS. Os seguintes formatos estão disponíveis:

• Formato padrão - O formato padrão varia de acordo com o tipo de acesso do usuário.
• Para usuários do portal, o atributo NAS-Port-Id está no formato SlotID00IfNOVlanID:

- SlotID - Representa um ID de membro IRF de 2 bytes.

- 00 - Representa uma cadeia de 2 bytes de 0s.

- SeNO- Representa um índice de porta de 3 bytes.

- VLANID - Representa uma VLAN ID de 9 bytes.

• Para usuários de autenticação 802.1X e MAC, o atributo NAS-Port-Id está no

slot=xx;subslot=xx;port=xx;vlanid=xx formato.

- slot - ID do membro do IRF.

- subslot - número do slot.

- port - índice da porta.

- vlanid - VLAN ID

• Para usuários de login, o dispositivo não inclui o atributo NAS-Port-Id nos pacotes RADIUS.
• Formato Interface-name - Contém o nome da interface de acesso do usuário. Por exemplo, se um usuário acessar a rede a partir da GigabitEthernet 1/0/1, o atributo NAS-Port-ID será definido como GigabitEthernet1/0/1.

Versão do software e compatibilidade de recursos

Esse recurso é compatível apenas com a versão 6342 e posteriores.

Restrições e diretrizes

Para trocar pacotes RADIUS corretamente com um servidor RADIUS, configure o dispositivo com o mesmo formato de atributo NAS-Port-ID que o servidor RADIUS.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina o formato do atributo NAS-Port-ID para o formato do nome da interface.

attribute 87 format interface-name

Por padrão, o atributo NAS-Port usa o formato padrão.

Definição da unidade de medição de dados para o atributo Remanent_Volume

Sobre a unidade de medição de dados para o atributo Remanent_Volume

O servidor RADIUS usa o atributo Remanent_Volume em respostas de autenticação ou de contabilidade em tempo real para notificar o dispositivo sobre a quantidade atual de dados disponíveis para usuários on-line.

Restrições e diretrizes

Certifique-se de que a unidade de medida configurada seja igual à unidade de medida de dados do usuário no servidor RADIUS .

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Defina a unidade de medição de dados para o atributo Remanent_Volume.

attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }

Por padrão, a unidade de medida de dados é o kilobyte.

Configuração do recurso de conversão de atributos RADIUS

Sobre a tradução de atributos RADIUS

O recurso de tradução de atributos RADIUS permite que o dispositivo funcione corretamente com os servidores RADIUS de diferentes fornecedores que oferecem suporte a atributos RADIUS incompatíveis com o dispositivo.

A tradução de atributos do RADIUS tem as seguintes implementações:

• Conversão de atributos - Converte atributos RADIUS de origem em atributos RADIUS de destino com base nas regras de conversão de atributos RADIUS.
• Rejeição de atributos - Rejeita atributos RADIUS com base nas regras de rejeição de atributos RADIUS.

Quando o recurso de conversão de atributos RADIUS está ativado, o dispositivo processa os pacotes RADIUS da seguinte forma:

• Para os pacotes RADIUS enviados:
• Exclui os atributos rejeitados dos pacotes.
• Usa os atributos RADIUS de destino para substituir os atributos que correspondem às regras de conversão de atributos RADIUS nos pacotes.
• Para os pacotes RADIUS recebidos:
• Ignora os atributos rejeitados nos pacotes.
• Interpreta os atributos que correspondem às regras de conversão de atributos RADIUS como os atributos RADIUS de destino.

Para identificar atributos proprietários do RADIUS, você pode definir os atributos como atributos estendidos do RADIUS e, em seguida, converter os atributos estendidos do RADIUS em atributos compatíveis com o dispositivo.

Restrições e diretrizes para a configuração da conversão de atributos RADIUS

Configure regras de conversão ou regras de rejeição para um atributo RADIUS.

Configure regras baseadas em direção ou em tipo de pacote para um atributo RADIUS.

Para a tradução baseada em direção de um atributo RADIUS, você pode configurar uma regra para cada direção (entrada ou saída). Para a tradução baseada em tipo de pacote de um atributo RADIUS, você pode configurar uma regra para cada tipo de pacote RADIUS (RADIUS Access-Accept, RADIUS Access-Request ou RADIUS accounting).

Configuração do recurso de conversão de atributos RADIUS para um esquema RADIUS

• Entre na visualização do sistema.

system view

• (Opcional.) Defina um atributo RADIUS estendido.

radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Habilite o recurso de tradução de atributos RADIUS.

attribute translate

Por padrão, esse recurso está desativado.

• Configure uma regra de conversão de atributo RADIUS ou uma regra de rejeição de atributo RADIUS. Escolha as seguintes tarefas, conforme necessário:
• Configure uma regra de conversão de atributo RADIUS.

attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

Por padrão, nenhuma regra de conversão de atributo RADIUS é configurada.

• Configurar uma regra de rejeição de atributo RADIUS.

attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

Por padrão, nenhuma regra de rejeição de atributo RADIUS é configurada.

Configuração do recurso de conversão de atributos RADIUS para um DAS RADIUS

• Entre na visualização do sistema.

system view

• (Opcional.) Defina um atributo RADIUS estendido.

radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }

• Entre na visualização do RADIUS DAS.

radius dynamic-author server

• Habilite o recurso de tradução de atributos RADIUS.

attribute translate

Por padrão, esse recurso está desativado.

• Configure uma regra de conversão de atributo RADIUS ou uma regra de rejeição de atributo RADIUS. Selecione as seguintes tarefas, conforme necessário:
• Configure uma regra de conversão de atributo RADIUS.

attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }

Por padrão, nenhuma regra de conversão de atributo RADIUS é configurada.

• Configurar uma regra de rejeição de atributo RADIUS.

attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }

Por padrão, nenhuma regra de rejeição de atributo RADIUS é configurada.

Configuração do buffer de pacotes de interrupção de contabilização do RADIUS

Sobre o buffer de pacotes RADIUS stop-accounting

O dispositivo envia solicitações de interrupção de contabilização RADIUS quando recebe solicitações de interrupção de conexão de hosts ou comandos de interrupção de conexão de um administrador. No entanto, o dispositivo pode falhar

para receber uma resposta para uma solicitação de interrupção de contabilização em uma única transmissão. Ative o dispositivo para armazenar em buffer as solicitações de interrupção de contabilização do RADIUS que não receberam respostas do servidor de contabilização. O dispositivo reenviará as solicitações até que as respostas sejam recebidas.

Para limitar os tempos de transmissão, defina um número máximo de tentativas de transmissão que podem ser feitas para solicitações individuais de interrupção de contabilização do RADIUS. Quando são feitas as tentativas máximas para uma solicitação, o dispositivo descarta a solicitação armazenada em buffer.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Habilita o armazenamento em buffer das solicitações de interrupção de contabilização do RADIUS para as quais não foram recebidas respostas.

stop-accounting-buffer enable

Por padrão, o recurso de buffer está ativado.

• (Opcional.) Defina o número máximo de tentativas de transmissão para solicitações individuais de interrupção de contabilização do RADIUS.

retry stop-accounting retries

A configuração padrão é 500.

Ativação do envio forçado de pacotes de parada de contabilização

Sobre o envio forçado de pacotes stop-accounting

Normalmente, se o dispositivo não enviar um pacote de contabilização inicial ao servidor RADIUS para um usuário autenticado, ele não enviará um pacote de contabilização final quando o usuário ficar off-line. Se o servidor tiver gerado uma entrada de usuário para o usuário sem pacotes start-accounting, ele não liberará a entrada de usuário quando o usuário ficar off-line. Esse recurso força o dispositivo a enviar pacotes stop-accounting para o servidor RADIUS quando o usuário fica off-line para liberar a entrada de usuário no servidor em tempo hábil.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Habilite o dispositivo para enviar pacotes de interrupção de contabilização quando os usuários para os quais não foram enviados pacotes de início de contabilização ficarem off-line.

stop-accounting-packet send-force

Por padrão, o envio forçado de pacotes de parada de contabilização está desativado. O dispositivo não envia pacotes de interrupção de contabilização quando os usuários para os quais não são enviados pacotes de início de contabilização ficam off-line.

Ativação do recurso de compartilhamento de carga do servidor RADIUS

Sobre o compartilhamento de carga do servidor RADIUS

Por padrão, o dispositivo se comunica com os servidores RADIUS com base nas funções do servidor. Primeiro, ele tenta se comunicar com o servidor primário e, se o servidor primário não puder ser acessado, ele procura os servidores secundários na ordem em que foram configurados. O primeiro servidor secundário em estado ativo é usado para comunicação. Nesse processo, a carga de trabalho é sempre colocada no servidor ativo.

Use o recurso de compartilhamento de carga do servidor RADIUS para distribuir dinamicamente a carga de trabalho entre vários servidores, independentemente de suas funções. O dispositivo encaminha uma solicitação AAA para o servidor mais adequado de todos os servidores ativos no esquema depois de comparar os valores de peso e os números de usuários atendidos atualmente. Especifique um valor de peso para cada servidor RADIUS com base na capacidade AAA do servidor. Um valor de peso maior indica uma capacidade AAA maior.

No compartilhamento de carga do servidor RADIUS, quando o dispositivo envia uma solicitação de início de contabilização a um servidor para um usuário, ele encaminha todas as solicitações de contabilização subsequentes do usuário para o mesmo servidor. Se o servidor de contabilidade não puder ser acessado, o dispositivo retornará uma mensagem de falha de contabilidade em vez de procurar outro servidor de contabilidade ativo.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Ative o recurso de compartilhamento de carga do servidor RADIUS.

server-load-sharing enable

Por padrão, esse recurso está desativado.

Configuração do recurso de contabilização RADIUS

Sobre a contabilização RADIUS

Quando o recurso de contabilização está ativado, o dispositivo envia automaticamente um pacote de contabilização para o servidor RADIUS após a reinicialização de todo o dispositivo. Ao receber o pacote de contabilização, o servidor RADIUS faz o logout de todos os usuários on-line para que eles possam fazer login novamente pelo dispositivo. Sem esse recurso, os usuários não podem fazer login novamente após a reinicialização, pois o servidor RADIUS considera que eles estão on-line.

Você pode configurar o intervalo pelo qual o dispositivo espera para reenviar o pacote de contabilização e o número máximo de tentativas.

O recurso de contabilização estendido aprimora o recurso de contabilização em uma arquitetura distribuída.

O recurso de contabilização estendida é aplicável aos usuários da LAN. Os dados do usuário são salvos nos dispositivos membros da IRF por meio dos quais os usuários acessam o sistema. Quando o recurso de contabilização estendida está ativado, o sistema envia automaticamente um pacote de contabilização para o servidor RADIUS após a reinicialização de um dispositivo membro. O pacote contém o identificador do dispositivo membro. Ao receber o pacote de contabilização, o servidor RADIUS faz o logout de todos os usuários on-line que acessam o sistema por meio do dispositivo membro. Se nenhum usuário estiver on-line por meio do dispositivo membro, a malha IRF não enviará um pacote de contabilização após a reinicialização do dispositivo membro.

Restrições e diretrizes

Para que o recurso de contabilização estendida tenha efeito, o servidor RADIUS deve ser executado no IMC e o recurso de contabilização deve estar ativado.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema RADIUS.

radius scheme radius-scheme-name

• Habilitar a contabilização.

accounting-on enable [ interval interval | send send-times ] *

Por padrão, o recurso de contabilização está desativado.

• (Opcional.) Habilite a contabilização estendida.

accounting-on extended

Por padrão, a contabilização estendida está desativada.

Configuração do recurso de controle de sessão RADIUS

Sobre o controle de sessão RADIUS

Habilite esse recurso para que o servidor RADIUS altere dinamicamente as informações de autorização do usuário (como ACL de autorização, VLAN e grupo de usuários) ou desconecte usuários à força usando pacotes de controle de sessão. Essa tarefa permite que o dispositivo receba pacotes de controle de sessão RADIUS na porta UDP 1812.

Para verificar os pacotes de controle de sessão enviados de um servidor RADIUS, especifique o servidor RADIUS como um cliente de controle de sessão para o dispositivo.

Restrições e diretrizes

O recurso de controle de sessão RADIUS só pode funcionar com servidores RADIUS em execução no IMC. A configuração do cliente de controle de sessão entra em vigor somente quando o recurso de controle de sessão está ativado.

Se o dispositivo atuar como NAS e o servidor IMC implantado com o EAD atribuir ACLs de autorização ao dispositivo, você deverá ativar o recurso de controle de sessão no dispositivo. Isso garante que as ACLs de autorização possam entrar em vigor.

Procedimento

• Entre na visualização do sistema.

system view

• Habilite o recurso de controle de sessão.

radius session-control enable

Por padrão, o recurso de controle de sessão está desativado.

• Especifique um cliente de controle de sessão.

radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string ]

Por padrão, nenhum cliente de controle de sessão é especificado.

Configuração do recurso RADIUS DAS

Sobre o recurso RADIUS DAS

As Extensões de Autorização Dinâmica (DAE) para RADIUS, definidas na RFC 5176, podem fazer logoff de usuários on-line e alterar as informações de autorização de usuários on-line.

Em uma rede RADIUS, o servidor RADIUS normalmente atua como o cliente DAE (DAC) e o NAS atua como o servidor DAE (DAS).

Quando o recurso RADIUS DAS está ativado, o NAS executa as seguintes operações:

• Escuta a porta UDP padrão ou especificada para receber solicitações de DAE.
• Faz o logoff dos usuários on-line que correspondem aos critérios das solicitações, altera suas informações de autorização, desliga ou reinicia suas portas de acesso ou reautentica os usuários.
• Envia respostas DAE para o DAC. O DAE define os seguintes tipos de pacotes:
• Mensagens de desconexão (DMs) - O DAC envia solicitações de DM para o DAS para fazer logoff de mensagens específicas.

usuários on-line.

• Mensagens de alteração de autorização (mensagens CoA) - O DAC envia solicitações CoA para o DAS para alterar as informações de autorização de usuários on-line específicos.

Procedimento

• Entre na visualização do sistema.

system view

• Ative o recurso RADIUS DAS e entre na visualização RADIUS DAS.

radius dynamic-author server

Por padrão, o recurso RADIUS DAS está desativado.

• Especifique um DAC RADIUS.

client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string ]

Por padrão, não são especificados DACs RADIUS.

• (Opcional.) Especifique a porta RADIUS DAS.

port port-number

Por padrão, a porta RADIUS DAS é 3799.

Ativação de notificações SNMP para RADIUS

Sobre as notificações SNMP para RADIUS

Quando as notificações SNMP estão ativadas para o RADIUS, o agente SNMP é compatível com as seguintes notificações geradas pelo RADIUS:

• Notificação de servidor RADIUS inacessível - O servidor RADIUS não pode ser acessado. O RADIUS gera essa notificação se não receber uma resposta a uma solicitação de contabilidade ou autenticação dentro do número especificado de tentativas de transmissão de solicitações do RADIUS.
• Notificação de servidor RADIUS acessível - O servidor RADIUS pode ser acessado. O RADIUS gera essa notificação para um servidor RADIUS bloqueado anteriormente após a expiração do cronômetro de silêncio.
• Notificação de falhas de autenticação excessivas - O número de falhas de autenticação em comparação com o número total de tentativas de autenticação excede o limite especificado.

Para que as notificações RADIUS SNMP sejam enviadas corretamente, você também deve configurar o SNMP no dispositivo. Para obter mais informações sobre a configuração de SNMP, consulte o Guia de configuração de monitoramento e gerenciamento de rede.

Procedimento

• Entre na visualização do sistema.

system view

• Ativar notificações SNMP para RADIUS.

snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

Por padrão, todas as notificações SNMP são desativadas para o RADIUS.

Desativação do serviço RADIUS

Sobre a desativação do serviço RADIUS

Por padrão, o serviço RADIUS está ativado. O dispositivo pode enviar e receber pacotes RADIUS. Os invasores podem usar o controle de sessão RADIUS e as portas DAE para atacar o dispositivo. Para proteger o dispositivo quando ocorrer um ataque desse tipo, desative temporariamente o serviço RADIUS no dispositivo. Depois que a rede estiver segura, reative o serviço RADIUS.

Se as configurações nos servidores RADIUS exigirem modificações ou se os servidores RADIUS não puderem fornecer serviços temporariamente, você poderá desativar temporariamente o serviço RADIUS no dispositivo.

Quando o serviço RADIUS é desativado, o dispositivo para de enviar e receber pacotes RADIUS. Se um novo usuário ficar on-line, o dispositivo usará o método de autenticação, autorização ou contabilização de backup para processar esse usuário. Se o dispositivo não tiver concluído a solicitação de autenticação ou contabilização para um usuário antes de o serviço RADIUS ser desativado, ele usará as seguintes regras para processar esse usuário:

• Se o dispositivo tiver enviado solicitações de autenticação RADIUS para esse usuário a um servidor RADIUS, o dispositivo processará esse usuário dependendo do recebimento de uma resposta do servidor RADIUS.
• Se o dispositivo receber uma resposta do servidor RADIUS, ele usará a resposta para determinar se o usuário foi aprovado na autenticação. Se o usuário tiver sido aprovado na autenticação, o dispositivo atribuirá informações de autorização a esse usuário de acordo com a resposta.
• Se o dispositivo não receber nenhuma resposta do servidor RADIUS, ele tentará usar o método de autenticação de backup para autenticar esse usuário.
• Se o dispositivo tiver enviado solicitações de início de contabilização RADIUS para esse usuário a um servidor RADIUS, o dispositivo processará esse usuário dependendo do recebimento de uma resposta do servidor RADIUS.
• Se o dispositivo receber uma resposta do servidor RADIUS, ele permitirá que o usuário fique on-line. No entanto, o dispositivo não pode enviar solicitações de atualização de contabilidade ou de interrupção de contabilidade para o servidor RADIUS. Ele também não pode armazenar em buffer as solicitações de contabilidade. Quando o usuário fica off-line, o servidor RADIUS não consegue fazer o logoff desse usuário a tempo. O resultado da contabilização pode ser impreciso.
• Se o dispositivo não receber nenhuma resposta do servidor RADIUS, ele tentará usar o método de contabilidade de backup .

Restrições e diretrizes

A desativação do serviço RADIUS não afeta o recurso de servidor RADIUS do dispositivo.

Os processos de autenticação, autorização e contabilidade realizados por outros métodos não são alternados para o RADIUS quando você reativa o serviço RADIUS.

Procedimento

• Entre na visualização do sistema.

system view

• Desativar o serviço RADIUS.

undo radius enable

Por padrão, o serviço RADIUS está ativado.

Para reativar o serviço RADIUS, use o comando radius enable.

Comandos de exibição e manutenção para RADIUS

Execute comandos de exibição em qualquer visualização e redefina comandos na visualização do usuário.

Visão geral das tarefas do HWTACACS

Para configurar o HWTACACS, execute as seguintes tarefas:

• Criação de um esquema HWTACACS
• Especificação dos servidores de autenticação HWTACACS
• Especificação dos servidores de autorização HWTACACS
• Especificação dos servidores de contabilidade HWTACACS
• Especificação das chaves compartilhadas para a comunicação segura do HWTACACS

Execute essa tarefa se nenhuma chave compartilhada for especificada durante a configuração dos servidores HWTACACS.

• (Opcional.) Configuração dos temporizadores do HWTACACS
• (Opcional.) Configuração de parâmetros para pacotes HWTACACS

Especificação do endereço IP de origem para pacotes HWTACACS de saída

Definição do formato do nome de usuário e das unidades de estatísticas de tráfego

• (Opcional.) Configuração do buffer de pacotes HWTACACS stop-accounting

Criação de um esquema HWTACACS

Restrições e diretrizes

É possível configurar um máximo de 16 esquemas HWTACACS. Um esquema HWTACACS pode ser usado por vários domínios ISP.

Procedimento

• Entre na visualização do sistema.

system view

• Crie um esquema HWTACACS e entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

Especificação dos servidores de autenticação HWTACACS

Sobre os servidores de autenticação HWTACACS

Você pode especificar um servidor de autenticação primário e um máximo de 16 servidores de autenticação secundários para um esquema HWTACACS. Quando o servidor primário não pode ser acessado, o dispositivo procura os servidores secundários na ordem em que foram configurados. O primeiro servidor secundário em estado ativo é usado para comunicação.

Restrições e diretrizes

Se a redundância não for necessária, especifique apenas o servidor primário.

Um servidor HWTACACS pode funcionar como servidor de autenticação primário em um esquema e como servidor de autenticação secundário em outro esquema ao mesmo tempo.

Dois servidores de autenticação HWTACACS em um esquema, primário ou secundário, não podem ter a mesma combinação de nome de host, endereço IP e número de porta.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Especifique o servidor de autenticação HWTACACS primário.

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

Por padrão, nenhum servidor de autenticação HWTACACS primário é especificado.

• (Opcional.) Especifique um servidor de autenticação HWTACACS secundário.

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

Por padrão, nenhum servidor de autenticação HWTACACS secundário é especificado.

Especificação dos servidores de autorização HWTACACS

Sobre os servidores de autorização HWTACACS

Você pode especificar um servidor de autorização primário e um máximo de 16 servidores de autorização secundários para um esquema HWTACACS. Quando o servidor primário não está disponível, o dispositivo procura os servidores secundários na ordem em que foram configurados. O primeiro servidor secundário no estado ativo é usado para comunicação.

Restrições e diretrizes

Se a redundância não for necessária, especifique apenas o servidor primário.

Um servidor HWTACACS pode funcionar como servidor de autorização primário de um esquema e como servidor de autorização secundário de outro esquema ao mesmo tempo.

Dois servidores de autorização HWTACACS em um esquema, primário ou secundário, não podem ter a mesma combinação de nome de host, endereço IP e número de porta.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Especifique o servidor de autorização HWTACACS primário.

primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

Por padrão, nenhum servidor de autorização HWTACACS primário é especificado.

• (Opcional.) Especifique um servidor de autorização HWTACACS secundário.

secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

Por padrão, nenhum servidor de autorização HWTACACS secundário é especificado.

Especificação dos servidores de contabilidade HWTACACS

Sobre os servidores de contabilidade HWTACACS

Você pode especificar um servidor de contabilidade primário e um máximo de 16 servidores de contabilidade secundários para um esquema HWTACACS. Quando o servidor primário não está disponível, o dispositivo procura os servidores secundários na ordem em que foram configurados. O primeiro servidor secundário em estado ativo é usado para comunicação.

Restrições e diretrizes

Se a redundância não for necessária, especifique apenas o servidor primário.

Um servidor HWTACACS pode funcionar como servidor de contabilidade primário de um esquema e como servidor de contabilidade secundário de outro esquema ao mesmo tempo.

Dois servidores de contabilidade HWTACACS em um esquema, primário ou secundário, não podem ter a mesma combinação de nome de host, endereço IP e número de porta.

O HWTACACS não oferece suporte à contabilidade para usuários de FTP, SFTP e SCP.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Especifique o servidor de contabilidade HWTACACS primário.

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

Por padrão, nenhum servidor de contabilidade HWTACACS primário é especificado.

• (Opcional.) Especifique um servidor de contabilidade HWTACACS secundário.

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

Por padrão, nenhum servidor de contabilidade HWTACACS secundário é especificado.

Especificação das chaves compartilhadas para a comunicação segura do HWTACACS

Sobre chaves compartilhadas para comunicação HWTACACS segura

O cliente e o servidor HWTACACS usam o algoritmo MD5 e chaves compartilhadas para gerar o valor do Authenticator para autenticação de pacotes e criptografia de senhas de usuários. O cliente e o servidor devem usar a mesma chave para cada tipo de comunicação.

Execute esta tarefa para configurar chaves compartilhadas para servidores em um esquema HWTACACS. As chaves entram em vigor em todos os servidores para os quais uma chave compartilhada não foi configurada individualmente.

Restrições e diretrizes

Certifique-se de que a chave compartilhada configurada no dispositivo seja a mesma que a chave compartilhada configurada no servidor HWTACACS.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Especifique uma chave compartilhada para comunicação segura de autenticação, autorização ou contabilidade HWTACACS.

key { accounting | authentication | authorization } { cipher | simple } string

Por padrão, nenhuma chave compartilhada é especificada para a comunicação segura do HWTACACS.

Configuração de temporizadores HWTACACS

Sobre os temporizadores HWTACACS e o status do servidor

O dispositivo usa os seguintes temporizadores para controlar a comunicação com um servidor HWTACACS:

• Temporizador de tempo limite de resposta do servidor (response-timeout) - Define o temporizador de tempo limite de resposta do servidor HWTACACS. O dispositivo inicia esse cronômetro imediatamente após o envio de uma solicitação de autenticação, autorização ou contabilidade HWTACACS. Se o dispositivo não receber uma resposta do servidor dentro do cronômetro, ele definirá o servidor como bloqueado. Em seguida, o dispositivo envia a solicitação a outro servidor HWTACACS.
• Timer de contabilidade em tempo real (realtime-accounting) - Define o intervalo em que o dispositivo envia pacotes de contabilidade em tempo real para o servidor de contabilidade HWTACACS para usuários on-line.
• Temporizador de silêncio do servidor (quiet) - Define a duração para manter um servidor inacessível no estado bloqueado. Se um servidor não puder ser acessado, o dispositivo alterará o status do servidor para bloqueado, iniciará esse cronômetro para o servidor e tentará se comunicar com outro servidor no estado ativo. Após a expiração do cronômetro de silêncio do servidor, o dispositivo altera o status do servidor de volta para ativo.

A configuração do temporizador de silêncio do servidor afeta o status dos servidores HWTACACS. Se o esquema incluir um servidor HWTACACS primário e vários servidores HWTACACS secundários, o dispositivo se comunicará com os servidores HWTACACS com base nas seguintes regras:

• Quando o servidor primário está em estado ativo, o dispositivo se comunica com o servidor primário. Quando o servidor primário estiver inacessível, o dispositivo pesquisará um servidor secundário em estado ativo na ordem em que foram configurados.
• Quando um ou mais servidores estão no estado ativo, o dispositivo tenta se comunicar apenas com esses servidores, mesmo que eles não estejam acessíveis.
• Quando todos os servidores estão em estado bloqueado, o dispositivo tenta se comunicar apenas com o servidor principal.
• Se o servidor primário estiver inacessível, o dispositivo alterará o status do servidor para bloqueado e iniciará um cronômetro de silêncio para o servidor. Quando o cronômetro de silêncio do servidor expira, o status do servidor volta a ser ativo. O dispositivo não verifica o servidor novamente durante o processo de autenticação, autorização ou contabilidade.
• O processo de pesquisa continua até que o dispositivo encontre um servidor secundário disponível ou verifique todos os servidores secundários em estado ativo. Se nenhum servidor estiver disponível, o dispositivo considerará a tentativa de autenticação, autorização ou contabilidade uma falha.

• Quando você remove um servidor em uso, a comunicação com o servidor é interrompida. O dispositivo procura um servidor em estado ativo verificando primeiro o servidor primário e, em seguida, os servidores secundários na ordem em que foram configurados.
• Quando o status de um servidor HWTACACS é alterado automaticamente, o dispositivo altera o status desse servidor de forma correspondente em todos os esquemas HWTACACS nos quais esse servidor é especificado.

Restrições e diretrizes

Um intervalo curto de contabilização em tempo real ajuda a melhorar a precisão da contabilização, mas exige muitos recursos do sistema. Quando houver 1.000 ou mais usuários, defina um intervalo de contabilização em tempo real maior que 15 minutos.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Defina os cronômetros do HWTACACS. Escolha as seguintes tarefas, conforme necessário:
• Defina o cronômetro de tempo limite de resposta do servidor HWTACACS.

timer response-timeout seconds

Por padrão, o temporizador de tempo limite de resposta do servidor HWTACACS é de 5 segundos.

• Defina o intervalo de contabilização em tempo real.

timer realtime-accounting minutes

Por padrão, o intervalo de contabilização em tempo real é de 12 minutos.

• Defina o timer de silêncio do servidor.

timer quiet minutes

Por padrão, o timer de silêncio do servidor é de 5 minutos.

Especificação do endereço IP de origem para pacotes HWTACACS de saída

Sobre o endereço IP de origem para pacotes HWTACACS de saída

O endereço IP de origem dos pacotes HWTACACS que um NAS envia deve corresponder ao endereço IP do NAS configurado no servidor HWTACACS. Um servidor HWTACACS identifica um NAS pelo endereço IP. Quando o servidor HWTACACS recebe um pacote, ele verifica o endereço IP de origem do pacote.

• Se for o endereço IP de um NAS gerenciado, o servidor processará o pacote.
• Se não for o endereço IP de um NAS gerenciado, o servidor descartará o pacote.

Antes de enviar um pacote HWTACACS, o NAS seleciona um endereço IP de origem na seguinte ordem:

• O endereço IP de origem especificado para o esquema HWTACACS.
• O endereço IP de origem especificado na visualização do sistema.
• O endereço IP da interface de saída especificada pela rota.

Restrições e diretrizes para a configuração do endereço IP de origem

Você pode especificar o endereço IP de origem dos pacotes HWTACACS de saída na visualização do esquema HWTACACS ou na visualização do sistema.

• O endereço IP especificado na visualização do esquema HWTACACS se aplica a um esquema HWTACACS.
• O endereço IP especificado na visualização do sistema se aplica a todos os esquemas HWTACACS.

O endereço IP de origem dos pacotes HWTACACS que um NAS envia deve corresponder ao endereço IP do NAS que está configurado no servidor HWTACACS.

Como prática recomendada, especifique um endereço de interface de loopback como endereço IP de origem para pacotes HWTACACS de saída para evitar a perda de pacotes HWTACACS causada por erros de porta física.

Para se comunicar com o servidor HWTACACS, o endereço de origem dos pacotes HWTACACS de saída é normalmente o endereço IP de uma interface de saída no NAS. Entretanto, em algumas situações, você deve alterar o endereço IP de origem. Por exemplo, quando o VRRP estiver configurado para failover com estado, configure o IP virtual do grupo VRRP de uplink como o endereço de origem.

Você pode especificar diretamente um endereço IP de origem para os pacotes HWTACACS de saída ou especificar uma interface de origem para fornecer o endereço IP de origem para os pacotes HWTACACS de saída. A configuração da interface de origem e a configuração do endereço IP de origem substituem uma à outra.

Especificação de uma interface de origem ou endereço IP de origem para todos os esquemas HWTACACS

• Entre na visualização do sistema.

system view

• Especifique uma interface de origem ou um endereço IP de origem para pacotes HWTACACS de saída.

hwtacacs nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }

Por padrão, o endereço IP de origem de um pacote HWTACACS enviado ao servidor é o endereço IPv4 primário ou o endereço IPv6 da interface de saída.

Especificação de uma interface de origem ou endereço IP de origem para um esquema HWTACACS

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Especifique uma interface de origem ou um endereço IP de origem para pacotes HWTACACS de saída.

nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }

Por padrão, o endereço IP de origem de um pacote HWTACACS de saída é aquele configurado com o comando hwtacacs nas-ip na visualização do sistema. Se o comando hwtacacs nas-ip não for usado, o endereço IP de origem será o endereço IP primário da interface de saída.

Configuração do formato do nome de usuário e das unidades de estatísticas de tráfego

Sobre o formato do nome de usuário e as unidades de estatísticas de tráfego

Um nome de usuário geralmente está no formato userid@isp-name, em que a parte isp-name representa o nome de domínio do ISP do usuário. Por padrão, o nome de domínio do ISP é incluído em um nome de usuário. Se os servidores HWTACACS não reconhecerem nomes de usuário que contenham nomes de domínio ISP, você poderá configurar o dispositivo para enviar nomes de usuário sem nomes de domínio para os servidores.

O dispositivo relata estatísticas de tráfego de usuários on-line em pacotes de contabilidade.

Restrições e diretrizes

Se dois ou mais domínios ISP usarem o mesmo esquema HWTACACS, configure o esquema HWTACACS para manter o nome do domínio ISP nos nomes de usuário para identificação do domínio.

Para obter precisão na contabilidade, certifique-se de que as unidades de medição de tráfego configuradas no dispositivo sejam as mesmas que as unidades de medição de tráfego configuradas nos servidores de contabilidade HWTACACS.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Define o formato dos nomes de usuário enviados aos servidores HWTACACS.

user-name-format { keep-original | with-domain | without-domain }

Por padrão, o nome de domínio do ISP é incluído em um nome de usuário.

• Defina o fluxo de dados e as unidades de medição de pacotes para estatísticas de tráfego.

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } }*

Por padrão, o tráfego é contado em bytes e pacotes.

Configuração do buffer de pacotes HWTACACS stop-accounting

Sobre o buffer de pacotes HWTACACS stop-accounting

O dispositivo envia solicitações de interrupção de contabilização HWTACACS quando recebe solicitações de interrupção de conexão de hosts ou comandos de interrupção de conexão de um administrador. No entanto, o dispositivo pode não receber uma resposta para uma solicitação de interrupção de contabilização em uma única transmissão. Ative o dispositivo para armazenar em buffer as solicitações de interrupção de contabilização do HWTACACS que não receberam respostas do servidor de contabilização. O dispositivo reenviará as solicitações até que as respostas sejam recebidas.

Para limitar os tempos de transmissão, defina um número máximo de tentativas que podem ser feitas para a transmissão de solicitações individuais de interrupção de contabilização do HWTACACS. Quando são feitas as tentativas máximas para uma solicitação, o dispositivo descarta a solicitação armazenada em buffer.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema HWTACACS.

hwtacacs scheme hwtacacs-scheme-name

• Habilita o armazenamento em buffer das solicitações de interrupção de contabilização do HWTACACS para as quais não foram recebidas respostas.

stop-accounting-buffer enable

Por padrão, o recurso de buffer está ativado.

• (Opcional.) Defina o número máximo de tentativas de transmissão para solicitações individuais de interrupção de contabilização do HWTACACS.

retry stop-accounting retries

A configuração padrão é 100.

Comandos de exibição e manutenção do HWTACACS

Execute comandos de exibição em qualquer visualização e redefina comandos na visualização do usuário.

Visão geral das tarefas LDAP

Para configurar o LDAP, execute as seguintes tarefas:

• Configuração de um servidor LDAP
• Criação de um servidor LDAP
• Configuração do endereço IP do servidor LDAP
• (Opcional.) Especificar a versão do LDAP
• (Opcional.) Configuração do período de tempo limite do servidor LDAP
• Configuração dos atributos do administrador
• Configuração de atributos de usuário LDAP
• (Opcional.) Configuração de um mapa de atributos LDAP
• Criação de um esquema LDAP
• Especificação do servidor de autenticação LDAP
• (Opcional.) Especificar o servidor de autorização LDAP
• (Opcional.) Especificação de um mapa de atributos LDAP para autorização LDAP

Criação de um servidor LDAP

• Entre na visualização do sistema.

system view

• Crie um servidor LDAP e entre na visualização do servidor LDAP.

ldap server server-name

Configuração do endereço IP do servidor LDAP

Restrições e diretrizes

Você pode configurar um endereço IPv4 ou um endereço IPv6 para um servidor LDAP. Se você configurar o endereço IP para um servidor LDAP várias vezes, a configuração mais recente entrará em vigor.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do servidor LDAP.

ldap server server-name

• Configure o endereço IP do servidor LDAP.

{ ip ipv4-address | ipv6 ipv6-address } [ port port-number ]

Por padrão, um servidor LDAP não tem um endereço IP.

Especificação da versão do LDAP

Restrições e diretrizes

O dispositivo é compatível com LDAPv2 e LDAPv3.

Um servidor Microsoft LDAP suporta apenas LDAPv3.

A versão LDAP especificada no dispositivo deve ser consistente com a versão especificada no servidor LDAP .

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do servidor LDAP.

ldap server server-name

• Especifique a versão do LDAP.

protocol-version { v2 | v3 }

Por padrão, o LDAPv3 é usado.

Definição do período de tempo limite do servidor LDAP

Sobre o período de tempo limite do servidor LDAP

Se o dispositivo enviar uma solicitação de associação ou pesquisa a um servidor LDAP sem receber a resposta do servidor dentro do período de tempo limite do servidor, o tempo limite da solicitação de autenticação ou autorização será atingido. Em seguida, o dispositivo tenta o método de autenticação ou autorização de backup. Se nenhum método de backup estiver configurado no domínio ISP, o dispositivo considerará a tentativa de autenticação ou autorização uma falha .

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do servidor LDAP.

ldap server server-name

• Defina o período de tempo limite do servidor LDAP.

server-timeout time-interval

Por padrão, o período de tempo limite do servidor LDAP é de 10 segundos.

Configuração dos atributos do administrador

Sobre os atributos do administrador

Para configurar o DN e a senha do administrador para vinculação com o servidor LDAP durante a autenticação LDAP:

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do servidor LDAP.

ldap server server-name

• Especifique o DN do administrador.

login-dn dn-string

Por padrão, nenhum DN de administrador é especificado.

O DN do administrador especificado no dispositivo deve ser o mesmo que o DN do administrador configurado no servidor LDAP.

• Configure a senha do administrador.

login-password { cipher | simple } string

Por padrão, nenhuma senha de administrador é especificada.

Configuração de atributos de usuário LDAP

Sobre os atributos de usuário LDAP

Para autenticar um usuário, um cliente LDAP deve concluir as seguintes operações:

• Estabeleça uma conexão com o servidor LDAP.
• Obtenha o DN do usuário no servidor LDAP.
• Use o DN do usuário e a senha do usuário para se associar ao servidor LDAP.

O LDAP fornece um mecanismo de pesquisa de DN para obter o DN do usuário. De acordo com o mecanismo, um cliente LDAP envia solicitações de pesquisa ao servidor com base na política de pesquisa determinada pelos atributos de usuário LDAP do cliente LDAP.

Os atributos do usuário LDAP incluem:

• Base de pesquisa DN.
• Escopo da pesquisa.
• Atributo de nome de usuário.
• Formato do nome de usuário.
• Classe de objeto do usuário.

Restrições e diretrizes

Se o servidor LDAP contiver muitos níveis de diretório, uma pesquisa de DN de usuário a partir do diretório raiz poderá levar muito tempo. Para aumentar a eficiência, você pode alterar o ponto de partida especificando o DN de base da pesquisa.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do servidor LDAP.

ldap server server-name

• Especifique o DN da base de pesquisa do usuário.

search-base-dn base-dn

Por padrão, nenhum DN de base de pesquisa de usuário é especificado.

• (Opcional.) Especifique o escopo de pesquisa do usuário.

search-scope { all-level | single-level }

Por padrão, o escopo de pesquisa do usuário é all-level.

• (Opcional.) Especifique o atributo de nome de usuário.

user-parameters user-name-attribute { name-attribute | cn | uid }

Por padrão, o atributo de nome de usuário é cn.

• (Opcional.) Especifique o formato do nome de usuário.

user-parameters user-name-format { with-domain | without-domain }

Por padrão, o formato do nome de usuário é without-domain (sem domínio).

• (Opcional.) Especifique a classe do objeto do usuário.

user-parameters user-object-class object-class-name

Por padrão, nenhuma classe de objeto de usuário é especificada, e a classe de objeto de usuário padrão no servidor LDAP é usada. A classe de objeto de usuário padrão para esse comando varia de acordo com o modelo do servidor.

Configuração de um mapa de atributos LDAP

Sobre os mapas de atributos LDAP

Configure um mapa de atributos LDAP para definir uma lista de entradas de mapeamento de atributos LDAP-AAA. Para aplicar o mapa de atributos LDAP, especifique o nome do mapa de atributos LDAP no esquema LDAP usado para autorização.

O recurso de mapa de atributos LDAP permite que o dispositivo converta atributos LDAP obtidos de um servidor de autorização LDAP em atributos AAA reconhecíveis pelo dispositivo com base nas entradas de mapeamento. Como o dispositivo ignora atributos LDAP não reconhecidos, configure as entradas de mapeamento para incluir atributos LDAP importantes que não devem ser ignorados.

Um atributo LDAP pode ser mapeado somente para um atributo AAA. Diferentes atributos LDAP podem ser mapeados para o mesmo atributo AAA.

Procedimento

• Entre na visualização do sistema.

system view

• Crie um mapa de atributos LDAP e entre na visualização do mapa de atributos LDAP.

ldap attribute-map map-name

• Configure uma entrada de mapeamento.

map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute { user-group | user-profile }

Criação de um esquema LDAP

Restrições e diretrizes

Você pode configurar um máximo de 16 esquemas LDAP. Um esquema LDAP pode ser usado por vários domínios do ISP .

Procedimento

• Entre na visualização do sistema.

system view

• Crie um esquema LDAP e entre na visualização do esquema LDAP.

ldap scheme ldap-scheme-name

Especificação do servidor de autenticação LDAP

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema LDAP.

ldap scheme ldap-scheme-name

• Especifique o servidor de autenticação LDAP.

authentication-server server-name

Por padrão, nenhum servidor de autenticação LDAP é especificado.

Especificação do servidor de autorização LDAP

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema LDAP.

ldap scheme ldap-scheme-name

• Especifique o servidor de autorização LDAP.

authorization-server server-name

Por padrão, nenhum servidor de autorização LDAP é especificado.

Especificação de um mapa de atributos LDAP para autorização LDAP

Sobre o mapa de atributos LDAP para autorização LDAP

Especifique um mapa de atributos LDAP para autorização LDAP para converter atributos LDAP obtidos do servidor de autorização LDAP em atributos AAA reconhecíveis pelo dispositivo.

Restrições e diretrizes

Você pode especificar apenas um mapa de atributos LDAP em um esquema LDAP.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do esquema LDAP.

ldap scheme ldap-scheme-name

• Especifique um mapa de atributos LDAP.

attribute-map map-name

Por padrão, nenhum mapa de atributos LDAP é especificado.

Comandos de exibição e manutenção para LDAP

Executar comandos de exibição em qualquer visualização.

Sobre os domínios ISP

Em um cenário de rede com vários ISPs, o dispositivo pode se conectar a usuários de diferentes ISPs. Esses usuários podem ter diferentes atributos de usuário, como diferentes estruturas de nome de usuário e senha, diferentes tipos de serviço e diferentes direitos. Para gerenciar usuários de diferentes ISPs, configure métodos de autenticação, autorização e contabilidade e atributos de domínio para cada domínio ISP, conforme necessário.

O dispositivo suporta um máximo de 16 domínios ISP, incluindo o domínio ISP definido pelo sistema

sistema. Você pode especificar um dos domínios do ISP como o domínio padrão.

No dispositivo, cada usuário pertence a um domínio ISP. Se um usuário não fornecer um nome de domínio ISP no login, o dispositivo considerará que o usuário pertence ao domínio ISP padrão.

Cada domínio ISP tem um conjunto de métodos AAA definidos pelo sistema, que são autenticação local, autorização local e contabilidade local. Se você não configurar nenhum método AAA para um domínio ISP, o dispositivo usará os métodos AAA definidos pelo sistema para os usuários do domínio.

O dispositivo escolhe um domínio de autenticação para cada usuário na seguinte ordem:

• O domínio de autenticação especificado para o módulo de acesso.
• O domínio do ISP no nome de usuário.
• O domínio ISP padrão do dispositivo.

Se o domínio escolhido não existir no dispositivo, ele procurará o domínio ISP que acomoda os usuários atribuídos a domínios inexistentes. (O suporte para a configuração do domínio de autenticação depende do módulo de acesso). Se esse domínio ISP não estiver configurado, a autenticação do usuário falhará.

Restrições e diretrizes para a configuração do domínio ISP

Um domínio ISP não pode ser excluído se for o domínio ISP padrão. Antes de usar o comando undo domain, altere o domínio para um domínio ISP não padrão usando o comando undo domain default enable.

Você pode modificar as configurações do sistema de domínio ISP definido pelo sistema, mas não pode excluir o domínio.

Para evitar falhas de autenticação, autorização ou contabilidade do RADIUS, use nomes de domínio curtos para garantir que os nomes de usuário que contenham um nome de domínio não excedam 253 caracteres.

Criação de um domínio ISP

• Entre na visualização do sistema.

system view

• Crie um domínio ISP e entre na visualização de domínio ISP.

domain isp-name

Por padrão, existe um domínio ISP definido pelo sistema. O nome do domínio é system.

Especificação do domínio padrão do ISP

• Entre na visualização do sistema.

system view

• Especifique o domínio padrão do ISP.

domain default enable isp-name

Por padrão, o domínio ISP padrão é o sistema de domínio ISP definido pelo sistema.

Especificação de um domínio ISP para usuários atribuídos a domínios inexistentes

• Entre na visualização do sistema.

system view

• Especifique o domínio ISP para acomodar usuários atribuídos a domínios inexistentes.

domain if-unknown isp-name

Por padrão, nenhum domínio ISP é especificado para acomodar os usuários que são atribuídos a domínios inexistentes.

Definição do status do domínio ISP

Sobre o status do domínio ISP

Ao colocar o domínio ISP em estado ativo ou bloqueado, você permite ou nega solicitações de serviço de rede de usuários no domínio.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do domínio ISP.

domain isp-name

• Definir o status do domínio ISP.

state { active | block }

Por padrão, um domínio ISP está em estado ativo, e os usuários do domínio podem solicitar serviços de rede.

Configuração de atributos de autorização para um domínio ISP

Sobre os atributos de autorização

O dispositivo é compatível com os seguintes atributos de autorização:

• ACL - O dispositivo restringe o acesso dos usuários autenticados apenas aos recursos de rede permitidos pela ACL.
• Ação CAR - O atributo controla o fluxo de tráfego de usuários autenticados.
• Número máximo de grupos multicast - O atributo restringe o número máximo de grupos multicast aos quais um usuário autenticado pode se associar simultaneamente.
• Pool de endereços IPv4 - O dispositivo atribui endereços IPv4 do pool a usuários autenticados no domínio.
• Pool de endereços IPv6 - O dispositivo atribui endereços IPv6 do pool a usuários autenticados no domínio.

• URL de redirecionamento - O dispositivo redireciona os usuários do domínio para o URL depois que eles passam pela autenticação.
• Grupo de usuários - Os usuários autenticados no domínio obtêm todos os atributos do grupo de usuários.
• Perfil do usuário - O dispositivo restringe o comportamento do usuário com base no perfil do usuário.

O dispositivo atribui os atributos de autorização no domínio ISP aos usuários autenticados que não recebem esses atributos do servidor.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do domínio ISP.

domain isp-name

• Configure os atributos de autorização para usuários autenticados no domínio ISP.

authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | igmp  max-access-number max-access-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | mld max-access-number max-access-number | url url-string | user-group user-group-name | user-profile profile-name }

As configurações padrão são as seguintes:

• Um usuário IPv4 pode participar simultaneamente de um máximo de quatro grupos multicast IGMP.
• Um usuário IPv6 pode participar simultaneamente de um máximo de quatro grupos multicast MLD.
• Não existem outros atributos de autorização.

Inclusão do período de tempo ocioso na duração on-line do usuário a ser enviada ao servidor

Sobre a inclusão do período de tempo ocioso na duração on-line do usuário a ser enviada ao servidor

Se um usuário ficar off-line devido a falha ou mau funcionamento da conexão, a duração on-line do usuário enviada ao servidor inclui o período de tempo limite de inatividade atribuído pelo servidor de autorização. A duração on-line gerada no servidor é maior do que a duração on-line real do usuário.

Para os usuários do portal, o dispositivo inclui o período de tempo ocioso definido para o recurso de detecção de usuário do portal on-line na duração on-line do usuário. Para obter mais informações sobre a detecção on-line de usuários do portal, consulte "Configuração da autenticação do portal".

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do domínio ISP.

domain isp-name

• Configure o dispositivo para incluir o período de tempo limite ocioso na duração on-line do usuário a ser enviada ao servidor.

session-time include-idle-time

Por padrão, a duração on-line do usuário enviada ao servidor não inclui o período de tempo limite de inatividade.

Configuração de métodos de autenticação para um domínio ISP

Restrições e diretrizes

Quando você configurar a autenticação remota, siga estas restrições e diretrizes:

• Se o método de autenticação usar um esquema RADIUS e o método de autorização não usar um esquema RADIUS, o AAA aceitará somente o resultado da autenticação do servidor RADIUS. A mensagem Access-Accept do servidor RADIUS também inclui as informações de autorização, mas o dispositivo ignora essas informações.
• Se for especificado um esquema HWTACACS, o dispositivo usará o nome de usuário inserido para autenticação de função. Se for especificado um esquema RADIUS, o dispositivo usará o nome de usuário $enabn$ no servidor RADIUS para autenticação de função. A variável n representa um nível de função do usuário. Para obter mais informações sobre a autenticação de função de usuário, consulte o Guia de Configuração dos Fundamentos.

A palavra-chave none não é compatível com o modo FIPS.

Pré-requisitos

Antes de configurar os métodos de autenticação, conclua as seguintes tarefas:

• Determine o tipo de acesso ou o tipo de serviço a ser configurado. Com o AAA, você pode configurar um método de autenticação para cada tipo de acesso e tipo de serviço.
• Determine se deseja configurar o método de autenticação padrão para todos os tipos de acesso ou tipos de serviço. O método de autenticação padrão se aplica a todos os usuários de acesso. No entanto, o método tem uma prioridade mais baixa do que o método de autenticação especificado para um tipo de acesso ou tipo de serviço.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do domínio ISP.

domain isp-name

• (Opcional.) Especifique os métodos de autenticação padrão para todos os tipos de usuários.

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

Por padrão, o método de autenticação padrão é o local.

• Especifique métodos de autenticação para um tipo de usuário ou um serviço.
• Especifique os métodos de autenticação para usuários da LAN.

authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

Por padrão, os métodos de autenticação padrão são usados para usuários da LAN.

• Especifique os métodos de autenticação para usuários de login.

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } 

Por padrão, os métodos de autenticação padrão são usados para usuários de login.

• Especifique os métodos de autenticação para os usuários do portal.

authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

Por padrão, os métodos de autenticação padrão são usados para os usuários do portal.

• Especifique os métodos de autenticação para obter uma função de usuário temporária.

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

Por padrão, os métodos de autenticação padrão são usados para obter uma função de usuário temporária.

Configuração de métodos de autorização para um domínio ISP

Restrições e diretrizes

O dispositivo não é compatível com a autorização LDAP na versão atual do software.

Para usar um esquema RADIUS como método de autorização, especifique o nome do esquema RADIUS que está configurado como método de autenticação para o domínio ISP. Se um esquema RADIUS inválido for especificado como método de autorização, a autenticação e a autorização RADIUS falharão.

A palavra-chave none não é compatível com o modo FIPS.

Pré-requisitos

Antes de configurar os métodos de autorização, conclua as seguintes tarefas:

• Determine o tipo de acesso ou o tipo de serviço a ser configurado. Com o AAA, você pode configurar um esquema de autorização para cada tipo de acesso e tipo de serviço.
• Determine se deseja configurar o método de autorização padrão para todos os tipos de acesso ou tipos de serviço. O método de autorização padrão se aplica a todos os usuários de acesso. No entanto, o método tem uma prioridade mais baixa do que o método de autorização especificado para um tipo de acesso ou tipo de serviço.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do domínio ISP.

domain isp-name

• (Opcional.) Especifique os métodos de autorização padrão para todos os tipos de usuários.

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

Por padrão, o método de autorização é local.

• Especifique métodos de autorização para um tipo de usuário ou um serviço.
• Especifique os métodos de autorização de comando.

authorization command { hwtacacs-scheme hwtacacs-scheme-name  [ local ] [ none ] | local [ none ] | none }

Por padrão, os métodos de autorização padrão são usados para autorização de comando.

• Especifique os métodos de autorização para usuários da LAN.

authorization lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

Por padrão, os métodos de autorização padrão são usados para usuários da LAN.

• Especifique os métodos de autorização para usuários de login.

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-schemehwtacacs-scheme-name ] [ local ] [ none ] }

Por padrão, os métodos de autorização padrão são usados para usuários de login.

• Especifique os métodos de autorização para os usuários do portal.

authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

Por padrão, os métodos de autorização padrão são usados para os usuários do portal.

Configuração de métodos de contabilidade para um domínio ISP

Restrições e diretrizes

Os usuários de FTP, SFTP e SCP não são compatíveis com a contabilidade.

A contabilidade local não fornece estatísticas para cobrança. Ela apenas conta e controla o número de usuários simultâneos que usam a mesma conta de usuário local. O limite é configurado com o comando access-limit.

A palavra-chave none não é compatível com o modo FIPS.

Pré-requisitos

Antes de configurar os métodos de contabilidade, conclua as seguintes tarefas:

• Determine o tipo de acesso ou o tipo de serviço a ser configurado. Com o AAA, você pode configurar um método de contabilização para cada tipo de acesso e tipo de serviço.
• Determine se deseja configurar o método de contabilização padrão para todos os tipos de acesso ou tipos de serviço. O método de contabilização padrão se aplica a todos os usuários de acesso. No entanto, o método tem uma prioridade mais baixa do que o método de contabilização especificado para um tipo de acesso ou tipo de serviço.

Procedimento

• Entre na visualização do sistema.

system view

• Entre na visualização do domínio ISP.

domain isp-name

• (Opcional.) Especifique os métodos de contabilidade padrão para todos os tipos de usuários.

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

Por padrão, o método de contabilidade é local.

• Especifique métodos de contabilidade para um tipo de usuário.
• Especifique o método de contabilização do comando.

accounting command hwtacacs-scheme hwtacacs-scheme-name

Por padrão, os métodos de contabilidade padrão são usados para a contabilidade de comandos.

• Especifique métodos de contabilidade para usuários de LAN.

accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

Por padrão, os métodos de contabilidade padrão são usados para usuários da LAN.

• Especifique métodos de contabilidade para usuários de login.

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

Por padrão, os métodos de contabilidade padrão são usados para usuários de login.

• Especifique métodos de contabilidade para usuários do portal.

accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

Por padrão, os métodos de contabilidade padrão são usados para os usuários do portal.

• (Opcional.) Configure políticas de contabilidade estendidas.
• Configure o controle de acesso para usuários que enfrentam falhas no início da contabilidade.

accounting start-fail { offline | online }

Por padrão, o dispositivo permite que os usuários que enfrentam falhas no início da contabilidade permaneçam on-line.

• Configure o controle de acesso para usuários que falharam em todas as tentativas de atualização de contas.

accounting update-fail { [ max-times max-times ] offline | online }

Por padrão, o dispositivo permite que os usuários que falharam em todas as tentativas de atualização de contas permaneçam on-line.

• Configure o controle de acesso para os usuários que esgotaram suas cotas de dados ou de cálculo de tempo.

accounting quota-out { offline | online }

Por padrão, o dispositivo faz logoff de usuários que tenham usado suas cotas de contabilidade.

Comandos de exibição e manutenção para domínios ISP

Executar comandos de exibição em qualquer visualização.

Visão geral das tarefas dos recursos do servidor RADIUS

Para configurar o recurso do servidor RADIUS, execute as seguintes tarefas:

• Configuração de usuários RADIUS
• Especificação de clientes RADIUS
• Ativação da configuração do servidor RADIUS

Restrições e diretrizes para o recurso de servidor RADIUS

Para usar esse recurso, instale o pacote de recursos do FreeRadius compatível com a versão do software do dispositivo. Para obter mais informações sobre a instalação de um pacote de recursos, consulte atualização de software no Guia de Configuração Básica.

Para garantir a operação correta do recurso de servidor RADIUS, desative o controle de sessão RADIUS no dispositivo.

Configuração de usuários RADIUS

Para configurar os usuários do RADIUS, é necessário configurar os usuários de acesso à rede, que são a base dos dados do usuário do RADIUS.

Um usuário RADIUS tem os seguintes atributos: nome de usuário, senha, descrição, ACL de autorização, VLAN de autorização e tempo de expiração. Para obter mais informações, consulte "Configuração de atributos para usuários de acesso à rede".

Especificação de clientes RADIUS

Sobre a especificação de clientes RADIUS

Execute esta tarefa para especificar clientes RADIUS e chaves compartilhadas para gerenciamento centralizado. O recurso de servidor RADIUS não aceita solicitações de clientes RADIUS que não são gerenciados pelo sistema.

Restrições e diretrizes

O endereço IP de um cliente RADIUS deve ser o mesmo que o endereço IP de origem dos pacotes RADIUS de saída especificados no cliente RADIUS.

A chave compartilhada de um cliente RADIUS especificada no servidor RADIUS deve ser a mesma que a configuração no cliente RADIUS.

Procedimento

• Entre na visualização do sistema.

system view

• Especifique um cliente RADIUS.

radius-server client ip ipv4-address key { cipher | simple } string

Ativação da configuração do servidor RADIUS

Sobre a ativação da configuração do servidor RADIUS

Na inicialização do dispositivo, a configuração do servidor RADIUS é ativada automaticamente, incluindo usuários e clientes RADIUS. É possível ativar imediatamente a configuração mais recente do servidor RADIUS se você tiver adicionado, modificado ou excluído clientes RADIUS e usuários de acesso à rede de onde os dados do usuário RADIUS são gerados.

Procedimento

• Entre na visualização do sistema.

system view

• Ativar a configuração do servidor RADIUS.

radius-server activate

A execução desse comando reinicia o processo do servidor RADIUS e ocorrerá uma interrupção do serviço de autenticação durante a reinicialização.

Comandos de exibição e manutenção para usuários e clientes RADIUS

Executar comandos de exibição em qualquer visualização.

Sobre a política de registro de conexões

Use esse recurso em cenários em que o dispositivo atua como um cliente de login FTP, SSH, SFTP ou Telnet para estabelecer uma conexão com um servidor de login. Esse recurso permite que o dispositivo forneça a um servidor de contabilidade as informações de início e término da conexão. Quando o cliente de login estabelece uma conexão com o servidor de login, o sistema envia uma solicitação de início de contabilização para o servidor de contabilização. Quando a conexão é encerrada, o sistema envia uma solicitação de interrupção de contabilidade ao servidor de contabilidade.

Restrições e diretrizes

O dispositivo inclui o nome de usuário inserido por um usuário nos pacotes de contabilização a serem enviados ao servidor AAA para registro de conexão. O formato do nome de usuário configurado com o uso do comando user-name-format no esquema de contabilização não tem efeito.

Procedimento

• Entre na visualização do sistema.

system view

• Crie uma política de registro de conexão e insira sua visualização.

aaa connection-recording policy

• Especifique o método de contabilidade para a política de registro de conexão.

accounting hwtacacs-scheme hwtacacs-scheme-name

Comandos de exibição e manutenção da política de registro de conexão

Executar comandos de exibição em qualquer visualização.

Exemplo: Configuração de AAA para usuários SSH por um servidor HWTACACS

Configuração de rede

Conforme mostrado na Figura 11, configure o switch para atender aos seguintes requisitos:

• Use o servidor HWTACACS para autenticação, autorização e contabilidade do usuário SSH.
• Atribua a função de usuário padrão network-operator aos usuários de SSH depois que eles passarem pela autenticação.
• Exclua os nomes de domínio dos nomes de usuário enviados ao servidor HWTACACS.
• Use expert como chaves compartilhadas para comunicação HWTACACS segura.

Figura 11 Diagrama de rede

Configuração do servidor HWTACACS

# Defina as chaves compartilhadas como expert para comunicação segura com o switch, adicione uma conta para o usuário SSH e especifique a senha. (Os detalhes não são mostrados).

Configuração do switch

# Configure endereços IP para as interfaces. (Detalhes não mostrados.)

# Crie um esquema HWTACACS.

<Switch> system-view
                     [Switch] hwtacacs scheme hwtac

# Especifique o servidor de autenticação primário.

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

# Especifique o servidor de autorização principal.

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

# Especifique o servidor de contabilidade principal.

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

# Defina as chaves compartilhadas para expert em formato de texto simples para uma comunicação HWTACACS segura.

[Switch-hwtacacs-hwtac] key authentication simple expert
                     [Switch-hwtacacs-hwtac] key authorization simple expert
                     [Switch-hwtacacs-hwtac] key accounting simple expert

# Exclua os nomes de domínio dos nomes de usuário enviados ao servidor HWTACACS.

[Switch-hwtacacs-hwtac] user-name-format without-domain
                     [Switch-hwtacacs-hwtac] quit

# Crie um domínio ISP chamado bbb e configure o domínio para usar o esquema HWTACACS para autenticação, autorização e contabilidade de usuários de login.

[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac
                     [Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
                     [Switch-isp-bbb] accounting login hwtacacs-scheme hwtac
                     [Switch-isp-bbb] quit

# Crie pares de chaves RSA e DSA locais.

[Switch] public-key local create rsa
                     [Switch] public-key local create dsa

# Habilite o serviço Stelnet.

[Switch] ssh server enable

# Habilite a autenticação de esquema para as linhas de usuário VTY 0 a VTY 63.

[Switch] line vty 0 63
                     [Switch-line-vty0-63] authentication-mode scheme
                     [Switch-line-vty0-63] quit

# Habilite o recurso de função de usuário padrão para atribuir aos usuários autenticados de SSH a função de usuário padrão operador de rede.

[Switch] role default-role enable

Verificação da configuração

# Inicie uma conexão SSH com o switch e digite o nome de usuário e a senha corretos. O usuário faz o login no switch. (Detalhes não mostrados).

# Verifique se o usuário pode usar os comandos permitidos pela função de usuário network-operator. (Detalhes não mostrados).

Exemplo: Configuração de autenticação local, autorização HWTACACS e contabilidade RADIUS para usuários SSH

Configuração de rede

Conforme mostrado na Figura 12, configure o switch para atender aos seguintes requisitos:

• Execute a autenticação local para usuários de SSH.
• Use o servidor HWTACACS e o servidor RADIUS para autorização e contabilidade do usuário SSH, respectivamente.
• Exclua os nomes de domínio dos nomes de usuário enviados aos servidores.
• Atribua a função de usuário padrão network-operator aos usuários de SSH depois que eles passarem pela autenticação.

Configure uma conta chamada hello para o usuário SSH. Configure as chaves compartilhadas para a comunicação segura com o servidor HWTACACS e o servidor RADIUS.

Figura 12 Diagrama de rede

Configuração do servidor HWTACACS

# Defina as chaves compartilhadas como expert para comunicação segura com o switch, adicione uma conta para o usuário SSH e especifique a senha. (Os detalhes não são mostrados).

Configuração do servidor RADIUS

# Defina as chaves compartilhadas como expert para comunicação segura com o switch, adicione uma conta para o usuário SSH e especifique a senha. (Os detalhes não são mostrados).

Configuração do switch

# Configure os endereços IP para as interfaces. (Detalhes não mostrados.)

# Crie pares de chaves RSA e DSA locais.

<Switch> system-view
                     [Switch] public-key local create rsa
                     [Switch] public-key local create dsa

# Habilite o serviço Stelnet.

[Switch] ssh server enable

# Habilite a autenticação de esquema para as linhas de usuário VTY 0 a VTY 63.

[Switch] line vty 0 63
                     [Switch-line-vty0-63] authentication-mode scheme
                     [Switch-line-vty0-63] quit

# Configure um esquema HWTACACS.

[Switch] hwtacacs scheme hwtac
                     [Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49
                     [Switch-hwtacacs-hwtac] key authorization simple expert
                     [Switch-hwtacacs-hwtac] user-name-format without-domain
                     [Switch-hwtacacs-hwtac] quit

# Configure um esquema RADIUS.

[Switch] radius scheme rd
                     [Switch-radius-rd] primary accounting 10.1.1.1 1813
                     [Switch-radius-rd] key accounting simple expert
                     [Switch-radius-rd] user-name-format without-domain
                     [Switch-radius-rd] quit

# Crie um usuário de gerenciamento de dispositivos.

[Switch] local-user hello class manage

# Atribua o serviço SSH ao usuário local.

[Switch-luser-manage-hello] service-type ssh

# Defina a senha como 123456TESTplat&! em formato de texto simples para o usuário local. No modo FIPS, você deve definir a senha no modo interativo.

[Switch-luser-manage-hello] password simple 123456TESTplat&!
                     [Switch-luser-manage-hello] quit

# Crie um domínio ISP chamado bbb e configure os usuários de login para usar autenticação local, autorização HWTACACS e contabilidade RADIUS.

[Switch] domain bbb
                     [Switch-isp-bbb] authentication login local
                     [Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
                     [Switch-isp-bbb] accounting login radius-scheme rd
                     [Switch-isp-bbb] quit

# Habilite o recurso de função de usuário padrão para atribuir aos usuários autenticados de SSH a função de usuário padrão

[Switch] role default-role enable

Verificação da configuração

# Inicie uma conexão SSH com o switch e digite o nome de usuário hello@bbb e a senha correta. O usuário faz o login no switch. (Os detalhes não são mostrados).

# Verifique se o usuário pode usar os comandos permitidos pela função de usuário network-operator. (Detalhes não mostrados).

Exemplo: Configuração de autenticação e autorização para usuários SSH por um servidor RADIUS

Configuração de rede

Conforme mostrado na Figura 13, configure o switch para atender aos seguintes requisitos:

• Use o servidor RADIUS para autenticação e autorização de usuário SSH.
• Inclua nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.
• Atribua a função de usuário padrão network-operator aos usuários de SSH depois que eles passarem pela autenticação.

O servidor RADIUS é executado no IMC PLAT 5.0 (E0101) e no IMC UAM 5.0 (E0101). Adicione uma conta com o nome de usuário hello@bbb no servidor RADIUS.

O servidor RADIUS e o switch usam expert como a chave compartilhada para a comunicação segura do RADIUS. As portas para autenticação e contabilidade são 1812 e 1813, respectivamente.

Figura 13 Diagrama de rede

Configuração do servidor RADIUS

• Adicione o switch à plataforma IMC como um dispositivo de acesso:

Faça login no IMC, clique na guia Service e selecione User Access Manager > Access Device Management > Access Device na árvore de navegação. Em seguida, clique em Add (Adicionar) para configurar um dispositivo de acesso da seguinte forma:

• Defina a chave compartilhada como expert para uma comunicação RADIUS segura.
• Defina as portas para autenticação e contabilidade como 1812 e 1813, respectivamente.
• Selecione Device Management Service na lista Service Type (Tipo de serviço).
• Selecione Intelbras na lista Access Device Type (Tipo de dispositivo de acesso).
• Selecione um dispositivo de acesso na lista de dispositivos ou adicione manualmente um dispositivo de acesso. Neste exemplo de , o endereço IP do dispositivo é 10.1.1.2.
• Use os valores padrão para outros parâmetros e clique em OK.

O endereço IP do dispositivo de acesso especificado aqui deve ser o mesmo que o endereço IP de origem dos pacotes RADIUS enviados pelo switch. O endereço IP de origem é escolhido na seguinte ordem no switch:

• Endereço IP especificado com o uso do comando nas-ip.
• Endereço IP especificado com o uso do comando radius nas-ip.
• Endereço IP da interface de saída (o padrão).

Figura 14: Adição do switch como um dispositivo de acesso


• Adicione uma conta para gerenciamento de dispositivos:

Clique na guia User e selecione Access User View > Device Mgmt User na árvore de navegação. Em seguida, clique em Add (Adicionar) para configurar uma conta de gerenciamento de dispositivos da seguinte forma:

• Digite o nome da conta hello@bbb e especifique a senha.
• Selecione SSH na lista Service Type (Tipo de serviço).
• Especifique 10.1.1.0 a 10.1.1.255 como o intervalo de endereços IP dos hosts a serem gerenciados.
• Clique em OK.

OBSERVAÇÃO:

O intervalo de endereços IP deve conter o endereço IP do switch.

Figura 15: Adição de uma conta para gerenciamento de dispositivos

Configuração do switch

# Configure os endereços IP para as interfaces. (Detalhes não mostrados.)

# Crie pares de chaves RSA e DSA locais.

<Switch> system-view
                     [Switch] public-key local create rsa
                     [Switch] public-key local create dsa

# Habilite o serviço Stelnet.

[Switch] ssh server enable

# Habilite a autenticação de esquema para as linhas de usuário VTY 0 a VTY 63.

[Switch] line vty 0 63
                     [Switch-line-vty0-63] authentication-mode scheme
                     [Switch-line-vty0-63] quit

# Ative o recurso de função de usuário padrão para atribuir aos usuários SSH autenticados a função de usuário padrão

[Switch] role default-role enable

# Criar um esquema RADIUS.

[Switch] radius scheme rad

# Especifique o servidor de autenticação primário.

[Switch-radius-rad] primary authentication 10.1.1.1 1812

# Defina a chave compartilhada como expert em formato de texto simples para comunicação segura com o servidor.

[Switch-radius-rad] key authentication simple expert

# Incluir nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.

[Switch-radius-rad] user-name-format with-domain
                     [Switch-radius-rad] quit

# Crie um domínio ISP chamado bbb e configure métodos de autenticação, autorização e contabilidade para usuários de login.

[Switch] domain bbb
                     [Switch-isp-bbb] authentication login radius-scheme rad
                     [Switch-isp-bbb] authorization login radius-scheme rad
                     [Switch-isp-bbb] accounting login none
                     [Switch-isp-bbb] quit

Verificação da configuração

# Inicie uma conexão SSH com o switch e digite o nome de usuário hello@bbb e a senha correta. O usuário faz o login no switch. (Os detalhes não são mostrados).

# Verifique se o usuário pode usar os comandos permitidos pela função de usuário network-operator. (Detalhes não mostrados).

Exemplo: Configuração da autenticação para usuários SSH por um servidor LDAP

Configuração de rede

Conforme mostrado na Figura 16, o servidor LDAP usa o domínio ldap.com e executa o Microsoft Windows 2003 Server Active Directory.

Configure o switch para atender aos seguintes requisitos:

• Use o servidor LDAP para autenticar os usuários de SSH.
• Atribua a função de usuário de nível 0 aos usuários de SSH depois que eles passarem pela autenticação.

No servidor LDAP, defina a senha do administrador como admin!123456, adicione um usuário chamado aaa e defina a senha do usuário como ldap!123456.

Figura 16 Diagrama de rede

Configuração do servidor LDAP

• Adicione um usuário chamado aaa e defina a senha como ldap!123456:
• No servidor LDAP, selecione Iniciar > Painel de controle > Ferramentas administrativas.
• Clique duas vezes em Usuários e computadores do Active Directory.

A janela Usuários e computadores do Active Directory é exibida.

• Na árvore de navegação, clique em Usuários sob o nó ldap.com.
• Selecione Ação > Novo > Usuário no menu para exibir a caixa de diálogo para adicionar um usuário.
• Digite o nome de logon aaa e clique em Next.

Figura 17: Adição do usuário aaa


• Na caixa de diálogo, digite a senha ldap!123456, selecione as opções conforme necessário e clique em Next.

Figura 18 Configuração da senha do usuário


• Clique em OK.
• Adicionar o usuário aaa ao grupo Usuários:
• Na árvore de navegação, clique em Usuários sob o nó ldap.com.
• No painel direito, clique com o botão direito do mouse no usuário aaa e selecione Propriedades.
• Na caixa de diálogo, clique na guia Member Of (Membro de) e clique em Add (Adicionar).

Figura 19 Modificação das propriedades do usuário


• Na caixa de diálogo Select Groups (Selecionar grupos), digite Users (Usuários) no campo Enter the object names to select (Digite os nomes dos objetos a serem selecionados) e clique em OK.

O usuário aaa é adicionado ao grupo Usuários.

Figura 20: Adição do usuário aaa ao grupo Users


• Defina a senha do administrador como admin!123456:
• No painel direito, clique com o botão direito do mouse no usuário Administrator e selecione Set Password (Definir senha).
• Na caixa de diálogo, digite a senha do administrador. (Detalhes não mostrados.)

Configuração do switch

# Configurar endereços IP para interfaces. (Os detalhes não são mostrados).

# Crie pares de chaves RSA e DSA locais.

<Switch> system-view
                     [Switch] public-key local create rsa
                     [Switch] public-key local create dsa

# Habilite o serviço Stelnet.

[Switch] ssh server enable

# Habilite a autenticação de esquema para as linhas de usuário VTY 0 a VTY 63.

[Switch] line vty 0 63
                     [Switch-line-vty0-63] authentication-mode scheme
                     [Switch-line-vty0-63] quit

# Configure um servidor LDAP.

[Switch] ldap server ldap1

# Especifique o endereço IP do servidor de autenticação LDAP.

[Switch-ldap-server-ldap1] ip 10.1.1.1

# Especifique o DN do administrador.

[Switch-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com

# Especifique a senha do administrador.

[Switch-ldap-server-ldap1] login-password simple admin!123456

# Configure o DN base para a pesquisa de usuários.

[Switch-ldap-server-ldap1] search-base-dn dc=ldap,dc=com
                     [Switch-ldap-server-ldap1] quit

# Criar um esquema LDAP.

[Switch] ldap scheme ldap-shm1

# Especifique o servidor de autenticação LDAP.

[Switch-ldap-ldap-shm1] authentication-server ldap1
                     [Switch-ldap-ldap-shm1] quit

# Crie um domínio ISP chamado bbb e configure métodos de autenticação, autorização e contabilidade para usuários de login.

[Switch] domain bbb
                     [Switch-isp-bbb] authentication login ldap-scheme ldap-shm1
                     [Switch-isp-bbb] authorization login none
                     [Switch-isp-bbb] accounting login none
                     [Switch-isp-bbb] quit

Verificação da configuração

# Inicie uma conexão SSH com o switch e digite o nome de usuário aaa@bbb e a senha ldap!123456. O usuário faz login no switch. (Detalhes não mostrados).

# Verifique se o usuário pode usar os comandos permitidos pela função de usuário de nível 0. (Detalhes não mostrados).

Exemplo: Configuração de AAA para usuários 802.1X por um servidor RADIUS

Configuração de rede

Conforme mostrado na Figura 21, configure o switch para atender aos seguintes requisitos:

• Use o servidor RADIUS para autenticação, autorização e contabilidade de usuários 802.1X.

• Use o controle de acesso baseado em MAC na GigabitEthernet 1/0/1 para autenticar todos os usuários 802.1X na porta separadamente.
• Inclua nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.

Neste exemplo, o servidor RADIUS é executado no IMC PLAT 5.0 (E0101) e no IMC UAM 5.0 (E0101). No servidor RADIUS, execute as seguintes tarefas:

• Adicione um serviço que cobra 120 dólares por até 120 horas por mês e atribui usuários autenticados à VLAN 4.
• Configure um usuário com o nome dot1x@bbb e atribua o serviço a esse usuário.

Defina as chaves compartilhadas como expert para comunicação RADIUS segura. Defina as portas para autenticação e contabilidade como 1812 e 1813, respectivamente.

Figura 21 Diagrama de rede

Configuração do servidor RADIUS

• Adicione o switch à plataforma IMC como um dispositivo de acesso:

Faça login no IMC, clique na guia Service e selecione User Access Manager > Access Device Management > Access Device na árvore de navegação. Em seguida, clique em Add (Adicionar) para configurar um dispositivo de acesso da seguinte forma:

• Defina a chave compartilhada como expert para autenticação segura e comunicação contábil.
• Defina as portas para autenticação e contabilidade como 1812 e 1813, respectivamente.
• Selecione LAN Access Service na lista Service Type (Tipo de serviço).
• Selecione Intelbras(General) na lista Access Device Type (Tipo de dispositivo de acesso).
• Selecione um dispositivo de acesso na lista de dispositivos ou adicione manualmente um dispositivo de acesso. Neste exemplo , o endereço IP do dispositivo é 10.1.1.2.
• Use os valores padrão para outros parâmetros e clique em OK.

O endereço IP do dispositivo de acesso especificado aqui deve ser o mesmo que o endereço IP de origem dos pacotes RADIUS enviados pelo switch. O endereço IP de origem é escolhido na seguinte ordem no switch:

• Endereço IP especificado com o uso do comando nas-ip.
• Endereço IP especificado com o uso do comando radius nas-ip.
• Endereço IP da interface de saída (o padrão).

Figura 22: Adição do switch como um dispositivo de acesso


• Adicione um plano de cobrança:

Clique na guia Service e selecione Accounting Manager > Charging Plans na árvore de navegação para acessar a página de configuração do plano de cobrança. Em seguida, clique em Add (Adicionar) para configurar um plano de cobrança da seguinte forma:

• Adicione um plano chamado UserAcct.
• Selecione Flat rate (Taxa fixa) na lista Charging Template (Modelo de cobrança).
• Selecione time para Charge Based on, selecione Monthly para Billing Term e digite 120 no campo Campo de taxa fixa.
• Digite 120 no campo Limite de uso e selecione hr (horas) para o campo em. A configuração permite que o usuário acesse a Internet por até 120 horas por mês.
• Use os valores padrão para outros parâmetros e clique em OK.

Figura 23: Adição de um plano de cobrança


• Adicionar um serviço:

Clique na guia Service e selecione User Access Manager > Service Configuration na árvore de navegação. Em seguida, clique em Adicionar para configurar um serviço da seguinte forma:

• Adicione um serviço chamado Dot1x auth e defina o sufixo do serviço como bbb, o domínio de autenticação do usuário 802.1X. Com o sufixo de serviço configurado, você deve configurar o dispositivo de acesso para enviar nomes de usuário que incluam nomes de domínio para o servidor RADIUS.
• Selecione UserAcct na lista Charging Plan (Plano de cobrança).
• Selecione Deploy VLAN e defina o ID da VLAN a ser atribuída a 4.
• Configure outros parâmetros conforme necessário.
• Clique em OK.

Figura 24: Adição de um serviço


• Adicionar um usuário:

Clique na guia Usuário e selecione Visualização do usuário de acesso > Todos os usuários de acesso na árvore de navegação para acessar a página Todos os usuários de acesso. Em seguida, clique em Adicionar para configurar um usuário da seguinte forma:

• Selecione o usuário ou adicione um usuário chamado hello.
• Especifique o nome da conta como dot1x e configure a senha.
• Selecione Dot1x auth na área Access Service (Serviço de acesso).
• Configure outros parâmetros conforme necessário e clique em OK.

Figura 25: Adição de uma conta de usuário de acesso

Configuração do switch

• Configurar um esquema RADIUS:

# Crie um esquema RADIUS chamado rad e entre na visualização do esquema RADIUS.

<Switch> system-view
                     [Switch] radius scheme rad

# Especifique o servidor de autenticação primário e o servidor de contabilidade primário e configure as chaves para comunicação com os servidores.

[Switch-radius-rad] primary authentication 10.1.1.1
                     [Switch-radius-rad] primary accounting 10.1.1.1
                     [Switch-radius-rad] key authentication simple expert
                     [Switch-radius-rad] key accounting simple expert

# Inclua nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.

[Switch-radius-rad] user-name-format with-domain
                     [Switch-radius-rad] quit

• Configurar um domínio ISP:

# Crie um domínio ISP chamado bbb e entre no modo de exibição de domínio ISP.

[Switch] domain bbb

# Configure o domínio ISP para usar o esquema RADIUS rad para autenticação, autorização e contabilidade dos usuários da LAN.

[Switch-isp-bbb] authentication lan-access radius-scheme rad
                     [Switch-isp-bbb] authorization lan-access radius-scheme rad
                     [Switch-isp-bbb] accounting lan-access radius-scheme rad
                     [Switch-isp-bbb] quit

• Configure a autenticação 802.1X: # Habilite o 802.1X globalmente.

[Switch] dot1x

# Habilite o 802.1X para a GigabitEthernet 1/0/1.

[Switch] interface gigabitethernet 1/0/1
                     [Switch-GigabitEthernet1/0/1] dot1x

# Configure o método de controle de acesso. Por padrão, uma porta habilitada para 802.1X usa o controle de acesso baseado em MAC.

[Switch-GigabitEthernet1/0/1] dot1x port-method macbased

Verificação da configuração

• No host, use a conta dot1x@bbb para passar a autenticação 802.1X:

# Se o host executar o cliente Windows XP 802.1X, configure as propriedades da conexão de rede da seguinte forma:

• Clique na guia Authentication (Autenticação) da janela de propriedades.
• Selecione a opção Ativar autenticação IEEE 802.1X para esta rede.
• Selecione o desafio MD5 como o tipo de EAP.
• Clique em OK.

O usuário passa na autenticação depois de inserir o nome de usuário e a senha corretos na página de autenticação.

# Se o host executar o cliente iNode, não serão necessárias opções avançadas de autenticação. O usuário pode passar na autenticação depois de inserir o nome de usuário dot1x@bbb e a senha correta na página de propriedades do cliente.

IMPORTANTE:

Certifique-se de que o cliente possa atualizar seu endereço IP para acessar os recursos na VLAN autorizada depois de passar pela autenticação.

• No switch, verifique se o servidor atribui a porta que conecta o cliente à VLAN 4 depois que o usuário passa pela autenticação. (Detalhes não mostrados).
• Exibir informações de conexão 802.1X no switch.

[Switch] display dot1x connection

Exemplo: Configuração de autenticação e autorização para Usuários 802.1X pelo dispositivo como um servidor RADIUS

Configuração de rede

Conforme mostrado na Figura 26, o Switch B atua como servidor RADIUS para autenticação e autorização de usuários 802.1X conectados ao NAS (Switch A).

Configure os switches para atender aos seguintes requisitos:

• Execute a autenticação de usuário 802.1X na GigabitEthernet 1/0/1 do NAS.
• A chave compartilhada é expert e a porta de autenticação é 1812.
• Exclua os nomes de domínio dos nomes de usuário enviados ao servidor RADIUS.
• O nome de usuário para autenticação 802.1X é dot1x.
• Depois que o usuário passa pela autenticação, o servidor RADIUS autoriza a VLAN 4 para a porta do NAS à qual o usuário está se conectando.

Figura 26 Diagrama de rede

Procedimento

• Configure o NAS:
• Configurar um esquema RADIUS:

# Configure um esquema RADIUS chamado rad e entre na visualização do esquema RADIUS.

<SwitchA> system-view
                     [SwitchA] radius scheme rad

# Especifique o servidor de autenticação principal com o endereço IP 10.1.1.1 e defina a chave compartilhada como expert em formato de texto simples.

[SwitchA-radius-rad] primary authentication 10.1.1.1 key simple expert

# Exclua os nomes de domínio dos nomes de usuário enviados ao servidor RADIUS. [SwitchA-radius-rad] user-name-format without-domain

[SwitchA-radius-rad] user-name-format without-domain
                     [SwitchA-radius-rad] quit

• Configurar um domínio ISP:

# Crie um domínio ISP chamado bbb e entre no modo de exibição de domínio ISP.

[SwitchA] domain bbb

# Configure o domínio ISP para usar o esquema RADIUS rad para autenticação e autorização de usuários da LAN e não para realizar a contabilidade dos usuários da LAN.

[SwitchA-isp-bbb] authentication lan-access radius-scheme rad
                     [SwitchA-isp-bbb] authorization lan-access radius-scheme rad
                     [SwitchA-isp-bbb] accounting lan-access none
                     [SwitchA-isp-bbb] quit

• Configurar a autenticação 802.1X:

# Habilite o 802.1X para a GigabitEthernet 1/0/1. [SwitchA] interface gigabitethernet 1/0/1

[SwitchA] interface gigabitethernet 1/0/1
                     [SwitchA-GigabitEthernet1/0/1] dot1x

# Especifique bbb como o domínio de autenticação obrigatório para usuários 802.1X na interface.

[SwitchA-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
                     [SwitchA-GigabitEthernet1/0/1] quit

# Habilite o 802.1X globalmente.

[SwitchA] dot1x

• Configure o servidor RADIUS:

# Crie um usuário de acesso à rede chamado dot1x.

<SwitchB> system-view
                     [SwitchB] local-user dot1x class network

# Configure a senha como 123456 em formato de texto simples.

[SwitchB-luser-network-dot1x] password simple 123456

# Configure a VLAN 4 como a VLAN de autorização.

[SwitchB-luser-network-dot1x] authorization-attribute vlan 4
                     [SwitchB-luser-network-dot1x] quit

# Configure o endereço IP do cliente RADIUS como 10.1.1.2 e a chave compartilhada como expert em formato de texto simples.

[SwitchB] radius-server client ip 10.1.1.2 key simple expert

# Ativar a configuração do servidor RADIUS.

[SwitchB] radius-server activate

Verificação da configuração

• No servidor RADIUS, exiba os clientes e usuários RADIUS ativados.

[SwitchB] display radius-server active-client
                     Total 1 RADIUS clients.
                     Client IP: 10.1.1.2
                     [SwitchB] display radius-server active-user dot1x
                     Total 1 RADIUS users matched. 
                     Username: dot1x
                     Description: Not configured
                     Authorization attributes:
                     VLAN ID: 4
                     ACL number: Not configured
                     Validity period:
                     Expiration time: Not configured

• No host, use a conta dot1x para autenticação 802.1X.

Se o host executar o cliente 802.1X integrado do Windows, configure as propriedades da conexão de rede da seguinte forma:

• Clique na guia Authentication (Autenticação) da janela de propriedades.
• Selecione a opção Ativar autenticação IEEE 802.1X para esta rede.
• Selecione o desafio MD5 como o tipo de EAP.
• Clique em OK.

Se o host executar o cliente iNode, não serão necessárias opções avançadas de autenticação. O usuário passa na autenticação depois de inserir o nome de usuário e a senha corretos na página de autenticação ou no cliente iNode.

IMPORTANTE:

Certifique-se de que o cliente possa atualizar seu endereço IP para acessar os recursos na VLAN autorizada depois de passar pela autenticação.

• No NAS, verifique se o servidor RADIUS atribui a porta à VLAN 4 depois que o usuário passa pela autenticação . (Detalhes não mostrados.)
• No NAS, exiba as informações do usuário 802.1X on-line.

[SwitchA] display dot1x connection

Falha na autenticação RADIUS

Sintoma

A autenticação do usuário sempre falha.

Análise

Os possíveis motivos incluem:

• Existe uma falha de comunicação entre o NAS e o servidor RADIUS.
• O nome de usuário não está no formato userid@isp-name ou o domínio ISP não está configurado corretamente no NAS.
• O usuário não está configurado no servidor RADIUS.
• A senha inserida pelo usuário está incorreta.
• O servidor RADIUS e o NAS estão configurados com chaves compartilhadas diferentes.

Solução

Para resolver o problema:

• Verifique os seguintes itens:
• O NAS e o servidor RADIUS podem fazer ping entre si.
• O nome de usuário está no formato userid@isp-name e o domínio ISP está configurado corretamente no NAS.
• O usuário está configurado no servidor RADIUS.
• A senha correta é inserida.
• A mesma chave compartilhada é configurada no servidor RADIUS e no NAS.
• Se o problema persistir, entre em contato com o Suporte da Intelbras.

Falha na entrega do pacote RADIUS

Sintoma

Os pacotes RADIUS não conseguem acessar o servidor RADIUS.

Análise

Os possíveis motivos incluem:

Solução

Para resolver o problema:

• Verifique os seguintes itens:
• O link entre o NAS e o servidor RADIUS funciona bem nas camadas física e de link de dados.
• O endereço IP do servidor RADIUS está configurado corretamente no NAS.
• Os números de porta UDP de autenticação e contabilidade configurados no NAS são os mesmos do servidor RADIUS.
• Os números das portas de autenticação e contabilidade do servidor RADIUS estão disponíveis.
• Se o problema persistir, entre em contato com o Suporte da Intelbras.

Erro de contabilidade RADIUS

Sintoma

Um usuário é autenticado e autorizado, mas a contabilidade do usuário não é normal.

Análise

A configuração do servidor de contabilidade no NAS não está correta. Os possíveis motivos incluem:

Solução

Para resolver o problema:

• Verifique os seguintes itens:
• O número da porta de contabilidade está configurado corretamente.
• O endereço IP do servidor de contabilidade está configurado corretamente no NAS.
• Se o problema persistir, entre em contato com o Suporte da Intelbras.

Solução de problemas do HWTACACS

Semelhante à solução de problemas do RADIUS. Consulte "Falha na autenticação RADIUS", "Falha na entrega de pacotes RADIUS" e "Erro de contabilidade RADIUS".

Falha na autenticação LDAP

Sintoma

A autenticação do usuário falha.

Análise

Os possíveis motivos incluem:

Solução

Para resolver o problema:

• Verifique os seguintes itens:
• O NAS e o servidor LDAP podem fazer ping entre si.
• O endereço IP e o número da porta do servidor LDAP configurado no NAS correspondem aos do servidor.
• O nome de usuário está no formato correto e o domínio do ISP para a autenticação do usuário está configurado corretamente no NAS.
• O usuário está configurado no servidor LDAP.
• A senha correta é inserida.
• O DN do administrador e a senha do administrador estão configurados corretamente.
• Os atributos de usuário (por exemplo, o atributo de nome de usuário) configurados no NAS são consistentes com aqueles configurados no servidor LDAP.
• O DN da base de pesquisa do usuário para autenticação é especificado.
• Se o problema persistir, entre em contato com o Suporte da Intelbras.

Apêndice A Atributos RADIUS comumente usados

Os atributos RADIUS comumente usados são definidos na RFC 2865, RFC 2866, RFC 2867 e RFC 2868.

Tabela 4 Atributos RADIUS comumente usados

Apêndice B Descrições dos atributos RADIUS padrão comumente usados

Apêndice C Subatributos RADIUS (ID de fornecedor 25506)

A Tabela 5 lista todos os subatributos RADIUS com ID de fornecedor 25506. O suporte a esses subatributos depende do modelo do dispositivo.

Tabela 5 Subatributos RADIUS (ID de fornecedor 25506)

Apêndice D Formato das ACLs de autorização dinâmica

O servidor pode atribuir uma ACL de autorização dinâmica que contenha várias regras a um usuário de diferentes maneiras:

O formato de uma regra de ACL dinâmica é o seguinte:

aclrule?same?acl-name?acl-type?ver-type?rule-id?protocol=protocol-type?counting?dst-ip=ip-addr

?src-ip=ip-addr?dst-port=port-value?src-port=port-value?action=action-type

Os campos da regra estão descritos na Tabela 6. A seguir, um exemplo de regra de ACL dinâmica: aclrule?same?test?1?1?1?protocol=3?counting?dst-ip=1.1.1.1/1.1.1.1?src-ip=1.1.1.1/0?dst-port=1

.2000?src-port=5.2000-3000?action=1

Tabela 6 Campos em uma regra de ACL dinâmica

As restrições a seguir se aplicam às ACLs de autorização dinâmica:

• Para os seis primeiros campos (aclrule?same?acl-name?acl-type?ver-type?rule-id) de uma regra de ACL dinâmica, suas posições são fixas. O dispositivo não poderá interpretar uma regra de ACL dinâmica se as posições dos seis campos forem alteradas. Para os outros campos, são permitidas alterações de posição.

• As configurações de todos os campos nas regras devem atender à lógica de configuração das regras ACL no dispositivo para que o dispositivo possa interpretá-las corretamente.
• Todas as regras de ACL dinâmicas em uma autorização devem pertencer ao mesmo nome de ACL.
• Uma ACL dinâmica deve ter regras e o formato das regras deve ser válido.

Arquitetura 802.1X

802.1X opera no modelo cliente/servidor. Conforme mostrado na Figura 1, a autenticação 802.1X inclui as seguintes entidades:

• Cliente (suplicante) - Um terminal de usuário que busca acesso à LAN. O terminal deve ter o software 802.1X para se autenticar no dispositivo de acesso.
• Dispositivo de acesso (autenticador) - Autentica o cliente para controlar o acesso à LAN. Em um ambiente 802.1X típico, o dispositivo de acesso usa um servidor de autenticação para realizar a autenticação.
• Servidor de autenticação - Fornece serviços de autenticação para o dispositivo de acesso. O servidor de autenticação primeiro autentica os clientes 802.1X usando os dados enviados pelo dispositivo de acesso. Em seguida, o servidor retorna os resultados da autenticação ao dispositivo de acesso para tomar decisões de acesso. Normalmente, o servidor de autenticação é um servidor RADIUS. Em uma LAN pequena, é possível usar o dispositivo de acesso como servidor de autenticação.

Figura 1 Arquitetura 802.1X

Porta controlada/não controlada e status de autorização da porta

802.1X define duas portas lógicas para a porta de acesso à rede: porta controlada e porta não controlada. Qualquer pacote que chegue à porta de acesso à rede é visível para ambas as portas lógicas.

• Porta não controlada - Está sempre aberta para receber e transmitir pacotes de autenticação.
• Porta controlada - filtra os pacotes dependendo do estado da porta.
• Estado autorizado - A porta controlada está no estado autorizado quando o cliente passa pela autenticação. A porta permite a passagem do tráfego.
• Estado não autorizado - A porta está em estado não autorizado quando o cliente falha na autenticação. A porta controla o tráfego usando um dos seguintes métodos:

- Executa o controle de tráfego bidirecional para negar o tráfego de e para o cliente.

- Executa o controle de tráfego unidirecional para negar o tráfego do cliente. O dispositivo suporta apenas o controle de tráfego unidirecional.

Figura 2 Estado de autorização de uma porta controlada

Métodos de troca de pacotes

O 802.1X usa o Extensible Authentication Protocol (EAP) para transportar informações de autenticação para o cliente, o dispositivo de acesso e o servidor de autenticação. O EAP é uma estrutura de autenticação que usa o modelo cliente/servidor. A estrutura oferece suporte a vários métodos de autenticação, incluindo MD5-Challenge, EAP-Transport Layer Security (EAP-TLS) e EAP protegido (PEAP).

O 802.1X define o EAP over LAN (EAPOL) para transmitir pacotes EAP entre o cliente e o dispositivo de acesso em uma LAN com ou sem fio. Entre o dispositivo de acesso e o servidor de autenticação, o 802.1X fornece informações de autenticação por meio de retransmissão EAP ou terminação EAP.

Retransmissão EAP

A retransmissão EAP é definida no IEEE 802.1X. Nesse modo, o dispositivo de rede usa pacotes EAP over RADIUS (EAPOR) para enviar informações de autenticação ao servidor RADIUS, conforme mostrado na Figura 3.

Figura 3 Retransmissão EAP

No modo de retransmissão EAP, o cliente deve usar o mesmo método de autenticação que o servidor RADIUS. No dispositivo de acesso, você só precisa usar o comando dot1x authentication-method eap para ativar a retransmissão EAP.

Encerramento do EAP

Conforme mostrado na Figura 4, o dispositivo de acesso executa as seguintes operações no modo de terminação EAP:

• Termina os pacotes EAP recebidos do cliente.
• Encapsula as informações de autenticação do cliente em pacotes RADIUS padrão.
• Usa PAP ou CHAP para autenticação no servidor RADIUS.

Figura 4 Encerramento do EAP

Comparação entre retransmissão e terminação de EAP

Formatos de pacotes

Formato do pacote EAP

A Figura 5 mostra o formato do pacote EAP.

Figura 5 Formato do pacote EAP

Formato do pacote EAPOL

A Figura 6 mostra o formato do pacote EAPOL.

Figura 6 Formato do pacote EAPOL

Tabela 1 Tipos de pacotes EAPOL

• Length - Comprimento dos dados em bytes ou comprimento do corpo do pacote. Se o tipo de pacote for EAPOL-Start ou EAPOL-Logoff, esse campo será definido como 0 e nenhum campo de corpo de pacote será seguido.
• Packet body (Corpo do pacote) - Conteúdo do pacote. Quando o tipo de pacote EAPOL é EAP-Packet, o campo Packet body (Corpo do pacote) contém um pacote EAP.

EAP sobre RADIUS

O RADIUS adiciona dois atributos, EAP-Message e Message-Authenticator, para dar suporte à autenticação EAP. Para conhecer o formato do pacote RADIUS, consulte "Configuração de AAA".

• Mensagem EAP.

O RADIUS encapsula os pacotes EAP no atributo EAP-Message, conforme mostrado na Figura 7. O campo Type tem 79 bytes e o campo Value pode ter até 253 bytes. Se um pacote EAP for maior que 253 bytes, o RADIUS o encapsula em vários atributos EAP-Message.

Figura 7 Formato do atributo EAP-Message

Conforme mostrado na Figura 8, o RADIUS inclui o atributo Message-Authenticator em todos os pacotes que têm um atributo EAP-Message para verificar sua integridade. O receptor do pacote descarta o pacote se a soma de verificação da integridade do pacote calculada for diferente do valor do atributo Message-Authenticator. O Message-Authenticator impede que os pacotes de autenticação EAP sejam adulterados durante a autenticação EAP.

Figura 8 Formato do atributo Message-Authenticator

Procedimentos de autenticação 802.1X

A autenticação 802.1X tem dois métodos: Retransmissão EAP e terminação EAP. Você escolhe um dos modos dependendo do suporte do servidor RADIUS para pacotes EAP e métodos de autenticação EAP.

Retransmissão EAP

A Figura 9 mostra o procedimento básico de autenticação 802.1X no modo de retransmissão EAP, supondo que a autenticação EAP MD5-Challenge seja usada.

Figura 9 Procedimento de autenticação 802.1X no modo de retransmissão EAP

As etapas a seguir descrevem o procedimento de autenticação 802.1X:

• Quando um usuário inicia o cliente 802.1X e digita um nome de usuário e uma senha registrados, o cliente 802.1X envia um pacote EAPOL-Start para o dispositivo de acesso.
• O dispositivo de acesso responde com um pacote EAP-Request/Identity para solicitar o nome de usuário do cliente .
• Em resposta ao pacote EAP-Request/Identity, o cliente envia o nome de usuário em um pacote EAP-Response/Identity para o dispositivo de acesso.
• O dispositivo de acesso retransmite o pacote EAP-Response/Identity em um pacote RADIUS Access-Request para o servidor de autenticação.
• O servidor de autenticação usa as informações de identidade no RADIUS Access-Request para pesquisar seu banco de dados de usuários. Se for encontrada uma entrada correspondente, o servidor usará um desafio gerado aleatoriamente (EAP-Request/MD5-Challenge) para criptografar a senha na entrada. Em seguida, o servidor envia o desafio em um pacote RADIUS Access-Challenge para o dispositivo de acesso.
• O dispositivo de acesso transmite o pacote EAP-Request/MD5-Challenge para o cliente.
• O cliente usa o desafio recebido para criptografar a senha e envia a senha criptografada em um pacote EAP-Response/MD5-Challenge para o dispositivo de acesso.
• O dispositivo de acesso retransmite o pacote EAP-Response/MD5-Challenge em um pacote RADIUS Access-Request para o servidor de autenticação.
• O servidor de autenticação compara a senha criptografada recebida com a senha criptografada gerada na etapa 5. Se as duas senhas forem idênticas, o servidor considerará o cliente válido e enviará um pacote RADIUS Access-Accept ao dispositivo de acesso.
• Ao receber o pacote RADIUS Access-Accept, o dispositivo de acesso executa as seguintes operações :
• Envia um pacote EAP-Success para o cliente.
• Define a porta controlada no estado autorizado.

O cliente pode acessar a rede.

• Depois que o cliente fica on-line, o dispositivo de acesso envia periodicamente solicitações de handshake para verificar se o cliente ainda está on-line. Por padrão, se duas tentativas consecutivas de handshake falharem, o dispositivo faz o logoff do cliente.
• Ao receber uma solicitação de handshake, o cliente retorna uma resposta. Se o cliente não retornar uma resposta após um número de tentativas consecutivas de handshake (duas por padrão), o dispositivo de acesso fará o logoff do cliente. Esse mecanismo de handshake permite a liberação oportuna dos recursos de rede usados pelos usuários do 802.1X que ficaram off-line de forma anormal.
• O cliente também pode enviar um pacote EAPOL-Logoff para solicitar um logoff ao dispositivo de acesso.
• Em resposta ao pacote EAPOL-Logoff, o dispositivo de acesso altera o status da porta controlada de autorizada para não autorizada. Em seguida, o dispositivo de acesso envia um pacote EAP-Failure para o cliente.

Encerramento do EAP

A Figura 10 mostra o procedimento básico de autenticação 802.1X no modo de terminação EAP, supondo que a autenticação CHAP seja usada.

Figura 10 Procedimento de autenticação 802.1X no modo de terminação EAP

No modo de terminação EAP, o dispositivo de acesso, e não o servidor de autenticação, gera um desafio MD5 para criptografia de senha. Em seguida, o dispositivo de acesso envia o desafio MD5 juntamente com o nome de usuário e a senha criptografada em um pacote RADIUS padrão para o servidor RADIUS.

Início da autenticação 802.1X

Tanto o cliente 802.1X quanto o dispositivo de acesso podem iniciar a autenticação 802.1X.

801.2X cliente como iniciador

O cliente envia um pacote EAPOL-Start para o dispositivo de acesso para iniciar a autenticação 802.1X. O endereço MAC de destino do pacote é o endereço multicast especificado pelo IEEE 802.1X 01-80-C2-00-00-03 ou o endereço MAC de difusão. Se qualquer dispositivo intermediário entre o cliente e o servidor de autenticação não for compatível com o endereço multicast, você deverá usar um cliente 802.1X que possa enviar pacotes EAPOL-Start de difusão. Por exemplo, você pode usar o cliente iNode 802.1X.

Dispositivo de acesso como iniciador

Se o cliente não puder enviar pacotes EAPOL-Start, configure o dispositivo de acesso para iniciar a autenticação. Um exemplo é o cliente 802.1X disponível no Windows XP.

O dispositivo de acesso é compatível com os seguintes modos:

• Modo de acionamento de multicast - O dispositivo de acesso envia pacotes EAP-Request/Identity por multicast para iniciar a autenticação 802.1X no intervalo de solicitação de identidade.
• Modo de disparo unicast - Ao receber um quadro de um endereço MAC desconhecido, o dispositivo de acesso envia um pacote EAP-Request/Identity da porta de recepção para o endereço MAC. O dispositivo retransmite o pacote se nenhuma resposta for recebida dentro do intervalo de tempo limite da solicitação de identidade. Esse processo continua até que seja atingido o número máximo de tentativas de solicitação definido com o uso do comando dot1x retry.

O temporizador de tempo limite de solicitação de nome de usuário define o intervalo de solicitação de identidade para o acionador multicast e o intervalo de tempo limite de solicitação de identidade para o acionador unicast.

VLAN de autorização

A VLAN de autorização controla o acesso de um usuário 802.1X a recursos de rede autorizados. O dispositivo é compatível com VLANs de autorização atribuídas localmente ou por um servidor remoto.

IMPORTANTE:

Somente servidores remotos podem atribuir VLANs de autorização marcadas.

Autorização de VLAN remota

Na autorização de VLAN remota, é necessário configurar uma VLAN de autorização para um usuário no servidor remoto. Depois que o usuário se autentica no servidor, o servidor atribui informações de VLAN de autorização ao dispositivo. Em seguida, o dispositivo atribui a porta de acesso do usuário à VLAN de autorização como um membro marcado ou não marcado.

O dispositivo suporta a atribuição das seguintes informações de VLAN de autorização pelo servidor remoto:

• VLAN ID.
• Nome da VLAN, que deve ser o mesmo que a descrição da VLAN no dispositivo de acesso.
• Uma cadeia de VLAN IDs e nomes de VLAN.

Na cadeia de caracteres, algumas VLANs são representadas por seus IDs e algumas VLANs são representadas por seus nomes.

• Nome do grupo de VLAN.

Para obter mais informações sobre grupos de VLAN, consulte o Layer 2-LAN Switching Configuration Guide.

• VLAN ID com um sufixo de t ou u.

Os sufixos t e u exigem que o dispositivo atribua a porta de acesso à VLAN como um membro marcado ou não marcado, respectivamente. Por exemplo, 2u indica a atribuição da porta à VLAN 2 como um membro sem marcação.

Se um nome de VLAN ou um nome de grupo de VLAN for atribuído, o dispositivo converterá as informações em uma VLAN ID antes da atribuição da VLAN.

IMPORTANTE:

Para que uma VLAN representada por seu nome de VLAN seja atribuída com êxito, você deve se certificar de que a VLAN foi criada no dispositivo.

Para atribuir VLAN IDs com sufixos, certifique-se de que a porta de acesso do usuário seja uma porta híbrida ou tronco que execute o controle de acesso baseado em porta.

Para garantir uma atribuição bem-sucedida, as VLANs de autorização atribuídas pelo servidor remoto não podem ser de nenhum dos tipos a seguir:

• VLANs aprendidas dinamicamente.
• VLANs reservadas.
• VLANs privadas.

Se o servidor atribuir um grupo de VLANs, o dispositivo de acesso selecionará uma VLAN conforme descrito na Tabela 2.

Tabela 2 Seleção de VLAN de autorização em um grupo de VLANs

Na versão 6318P01 e posteriores, o dispositivo inclui o atributo User-VLAN-ID nas solicitações de contabilidade RADIUS para informar o servidor RADIUS sobre a VLAN de autorização atribuída aos usuários 802.1X. O servidor RADIUS pode então incluir informações sobre a VLAN de autorização do usuário em seus registros sobre usuários 802.1X.

• Se o servidor RADIUS atribuir uma VLAN ID ou um nome de VLAN como a VLAN de autorização para um usuário, o dispositivo incluirá a VLAN de autorização atribuída pelo servidor no atributo User-VLAN-ID.

• Se o servidor RADIUS atribuir um grupo de VLANs nas informações da VLAN de autorização a um usuário, o dispositivo incluirá uma VLAN no atributo User-VLAN-ID, conforme descrito na Tabela 3.

Tabela 3 Inclusão de uma VLAN no atributo User-VLAN-ID dos pacotes de contabilidade RADIUS

Autorização de VLAN local

Para executar a autorização de VLAN local para um usuário, especifique a VLAN ID na lista de atributos de autorização da conta de usuário local para esse usuário. Para cada usuário local, é possível especificar apenas um ID de VLAN de autorização. A porta de acesso do usuário é atribuída à VLAN como um membro não marcado.

IMPORTANTE:

A autorização de VLAN local não é compatível com a atribuição de VLANs marcadas.

Para obter mais informações sobre a configuração do usuário local, consulte "Configuração de AAA".

Manipulação de VLAN de autorização em uma porta habilitada para 802.1X

A Tabela 4 descreve como o dispositivo de acesso lida com as VLANs (exceto as VLANs especificadas com sufixos) em uma porta habilitada para 802.1X.

Tabela 4 Manipulação de VLAN

IMPORTANTE:

• Se os usuários estiverem conectados a uma porta cujo tipo de link seja de acesso, certifique-se de que a VLAN de autorização atribuída pelo servidor tenha o atributo untagged. A atribuição de VLAN falhará se o servidor emitir uma VLAN que tenha o atributo tagged.
• Ao atribuir VLANs a usuários conectados a uma porta trunk ou a uma porta híbrida desativada por VLAN baseada em MAC, certifique-se de que haja apenas uma VLAN sem marcação. Se uma VLAN untagged diferente for atribuída a um usuário subsequente, o usuário não poderá passar na autenticação.
• Como prática recomendada para aumentar a segurança da rede, não use o comando port hybrid vlan para atribuir uma porta híbrida a uma VLAN de autorização como um membro marcado.

A VLAN atribuída pelo servidor a um usuário como uma VLAN de autorização pode ter sido configurada na porta de acesso do usuário, mas com um modo de marcação diferente. Por exemplo, o servidor atribui uma VLAN de autorização com o atributo tagged, mas a mesma VLAN configurada na porta tem o atributo untagged. Nessa situação, as configurações de VLAN que entram em vigor para o usuário dependem do tipo de link da porta.

• Se o tipo de link da porta for acesso ou tronco, as configurações de VLAN de autorização atribuídas pelo servidor sempre terão efeito sobre o usuário enquanto ele estiver on-line. Depois que o usuário fica off-line, as configurações de VLAN na porta entram em vigor.
• Se o tipo de link da porta for híbrido, as configurações de VLAN definidas na porta terão efeito. Por exemplo, o servidor atribui a VLAN 30 com o atributo untagged a um usuário na porta híbrida. No entanto, a VLAN 30 foi configurada na porta com o atributo tagged usando o comando port hybrid vlan tagged. Finalmente, a VLAN tem o atributo marcado na porta.

Para que um usuário autenticado pelo 802.1X acesse a rede em uma porta híbrida quando nenhuma VLAN de autorização estiver configurada para o usuário, execute uma das seguintes tarefas:

• Se a porta receber pacotes de autenticação com tags do usuário em uma VLAN, use o comando port hybrid vlan para configurar a porta como um membro com tags na VLAN.
• Se a porta receber pacotes de autenticação untagged do usuário em uma VLAN, use o comando port hybrid vlan para configurar a porta como um membro untagged na VLAN.

Em uma porta com a reautenticação periódica de usuário on-line ativada, o recurso de VLAN baseada em MAC não entra em vigor para um usuário que esteja on-line desde antes da ativação desse recurso. O dispositivo de acesso cria um mapeamento de MAC para VLAN para o usuário quando os seguintes requisitos são atendidos:

• O usuário é aprovado na reautenticação.
• A VLAN de autorização do usuário é alterada.

Para obter mais informações sobre a configuração de VLAN e VLANs baseadas em MAC, consulte o Layer 2-LAN Switching Configuration Guide.

VLAN de convidado

A VLAN de convidado 802.1X em uma porta acomoda usuários que não realizaram a autenticação 802.1X. Os usuários da VLAN guest podem acessar um conjunto limitado de recursos de rede, como um servidor de software, para fazer download de software antivírus e patches do sistema. Quando um usuário na VLAN de convidado passa pela autenticação 802.1X, ele é removido da VLAN de convidado e pode acessar recursos de rede autorizados.

O dispositivo de acesso lida com VLANs em uma porta habilitada para 802.1X com base em seu método de controle de acesso 802.1X.

Controle de acesso baseado em portas

IMPORTANTE:

Quando a porta recebe um pacote com uma tag de VLAN, o pacote será encaminhado dentro da VLAN marcada se a VLAN não for a VLAN de convidado.

Controle de acesso baseado em MAC

Auth-Fail VLAN

A VLAN 802.1X Auth-Fail em uma porta acomoda os usuários que falharam na autenticação 802.1X por não estarem em conformidade com a estratégia de segurança da organização. Por exemplo, a VLAN acomoda usuários que digitaram uma senha incorreta. Os usuários da VLAN Auth-Fail podem acessar um conjunto limitado de recursos de rede, como um servidor de software, para fazer download de software antivírus e patches de sistema.

O dispositivo de acesso lida com VLANs em uma porta habilitada para 802.1X com base em seu método de controle de acesso 802.1X.

Controle de acesso baseado em portas

Controle de acesso baseado em MAC

VLAN crítica

A VLAN crítica 802.1X em uma porta acomoda usuários 802.1X que falharam na autenticação porque nenhum dos servidores RADIUS em seu domínio ISP está acessível. Os usuários da VLAN crítica podem acessar um conjunto limitado de recursos de rede, dependendo da configuração.

O recurso de VLAN crítica entra em vigor quando a autenticação 802.1X é realizada somente por meio de servidores RADIUS. Se um usuário 802.1X falhar na autenticação local após a autenticação RADIUS, o usuário não será atribuído à VLAN crítica. Para obter mais informações sobre os métodos de autenticação, consulte "Configuração de AAA".

O dispositivo de acesso lida com VLANs em uma porta habilitada para 802.1X com base em seu método de controle de acesso 802.1X.

Controle de acesso baseado em portas

Se a porta for adicionada à VLAN crítica porque não há servidores RADIUS acessíveis, o dispositivo executará as seguintes operações depois de detectar um servidor RADIUS acessível:

• Remove a porta da VLAN crítica.
• Envia uma mensagem multicast EAP-Request/Identity da porta para acionar a autenticação.

Controle de acesso baseado em MAC

Se um usuário for adicionado à VLAN crítica porque não há servidores RADIUS acessíveis, o dispositivo executará as seguintes operações depois de detectar um servidor RADIUS acessível:

• Remove o usuário da VLAN crítica.
• Envia uma mensagem unicast EAP-Request/Identity da porta para o usuário para reautenticação.

VLAN de voz crítica

A VLAN de voz crítica 802.1X em uma porta acomoda usuários de voz 802.1X que falharam na autenticação porque nenhum dos servidores RADIUS em seu domínio ISP está acessível.

O recurso de VLAN de voz crítica entra em vigor quando a autenticação 802.1X é realizada somente por meio de servidores RADIUS. Se um usuário de voz 802.1X falhar na autenticação local após a autenticação RADIUS, o usuário de voz não será atribuído à VLAN de voz crítica. Para obter mais informações sobre os métodos de autenticação, consulte "Configuração de AAA".

Quando um servidor RADIUS acessível é detectado, o dispositivo executa operações em uma porta com base em seu método de controle de acesso 802.1X.

Controle de acesso baseado em portas

Quando um servidor RADIUS acessível é detectado, o dispositivo remove a porta da VLAN de voz crítica. A porta envia um pacote multicast EAP-Request/Identity a todos os usuários de voz 802.1X na porta para acionar a autenticação.

Controle de acesso baseado em MAC

Quando um servidor RADIUS acessível é detectado, o dispositivo remove os usuários de voz 802.1X da VLAN de voz crítica. A porta envia um pacote unicast EAP-Request/Identity para cada usuário de voz 802.1X que foi atribuído à VLAN de voz crítica para acionar a autenticação.

Exemplo: Configuração da autenticação 802.1X básica

Configuração de rede

Conforme mostrado na Figura 12, o dispositivo de acesso executa a autenticação 802.1X para os usuários que se conectam à GigabitEthernet 1/0/1. Implemente o controle de acesso baseado em MAC na porta, para que o logoff de um usuário não afete outros usuários 802.1X on-line.

Use servidores RADIUS para realizar a autenticação, a autorização e a contabilidade dos usuários 802.1X. Se a autenticação RADIUS falhar, execute a autenticação local no dispositivo de acesso.

Configure o servidor RADIUS em 10.1.1.1/24 como o servidor primário de autenticação e contabilidade e o servidor RADIUS em 10.1.1.2/24 como o servidor secundário de autenticação e contabilidade. Atribua todos os usuários ao domínio bbb do ISP.

Defina a chave compartilhada como nome para os pacotes entre o dispositivo de acesso e o servidor de autenticação. Defina a chave compartilhada como dinheiro para os pacotes entre o dispositivo de acesso e o servidor de contabilidade.

Figura 12 Diagrama de rede

Procedimento

Para obter informações sobre os comandos RADIUS usados no dispositivo de acesso neste exemplo, consulte

Referência de comandos de segurança.

• Configure os servidores RADIUS e adicione contas de usuário para os usuários 802.1X. Certifique-se de que os servidores RADIUS possam fornecer serviços de autenticação, autorização e contabilidade. (Detalhes não mostrados.)
• Atribua um endereço IP a cada interface. (Detalhes não mostrados).
• Configure as contas de usuário para os usuários 802.1X no dispositivo de acesso:

# Adicione um usuário de acesso à rede local com nome de usuário localuser e senha localpass em texto simples. (Certifique-se de que o nome de usuário e a senha sejam os mesmos que os configurados nos servidores RADIUS).

<Device> system-view
                     [Device] local-user localuser class network
                     [Device-luser-network-localuser] password simple localpass

# Defina o tipo de serviço como lan-access.

[Device-luser-network-localuser] service-type lan-access
                     [Device-luser-network-localuser] quit

• Configure um esquema RADIUS no dispositivo de acesso:

# Crie um esquema RADIUS chamado radius1 e entre na visualização do esquema RADIUS.

[Device] radius scheme radius1

# Especifique os endereços IP dos servidores RADIUS primários de autenticação e contabilidade.

[Device-radius-radius1] primary authentication 10.1.1.1
                     [Device-radius-radius1] primary accounting 10.1.1.1

# Configure os endereços IP dos servidores RADIUS secundários de autenticação e contabilidade.

[Device-radius-radius1] secondary authentication 10.1.1.2
                     [Device-radius-radius1] secondary accounting 10.1.1.2

# Especifique a chave compartilhada entre o dispositivo de acesso e o servidor de autenticação.

[Device-radius-radius1] key authentication simple name

# Especifique a chave compartilhada entre o dispositivo de acesso e o servidor de contabilidade.

[Device-radius-radius1] key accounting simple money

# Excluir os nomes de domínio do ISP dos nomes de usuário enviados aos servidores RADIUS.

[Device-radius-radius1] user-name-format without-domain
                     [Device-radius-radius1] quit

OBSERVAÇÃO:

O dispositivo de acesso deve usar o mesmo formato de nome de usuário que o servidor RADIUS. Se o servidor RADIUS incluir o nome de domínio do ISP no nome de usuário, o dispositivo de acesso também deverá fazê-lo.

• Configure um domínio ISP no dispositivo de acesso:

# Crie um domínio ISP chamado bbb e entre no modo de exibição de domínio ISP.

[Device] domain bbb

# Aplique o esquema RADIUS radius1 ao domínio ISP e especifique a autenticação local como o método de autenticação secundário.

[Device-isp-bbb] authentication lan-access radius-scheme radius1 local
                     [Device-isp-bbb] authorization lan-access radius-scheme radius1 local
                     [Device-isp-bbb] accounting lan-access radius-scheme radius1 local
                     [Device-isp-bbb] quit

• Configure o 802.1X no dispositivo de acesso:

# Habilite o 802.1X na GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
                     [Device-GigabitEthernet1/0/1] dot1x

# Habilite o controle de acesso baseado em MAC na porta. Por padrão, a porta usa o controle de acesso baseado em MAC.

[Device-GigabitEthernet1/0/1] dot1x port-method macbased

# Especifique o domínio ISP bbb como o domínio obrigatório.

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
                     [Device-GigabitEthernet1/0/1] quit

# Habilite o 802.1X globalmente.

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
                     [Device-GigabitEthernet1/0/1] quit

• Configure o cliente 802.1X. Se for usado um cliente iNode, não selecione a informação Carry version na configuração do cliente. (Detalhes não mostrados.)

Verificação da configuração

# Verifique a configuração 802.1X na GigabitEthernet 1/0/1.

[Device] display dot1x interface gigabitethernet 1/0/1

# Exibir as informações de conexão do usuário depois que um usuário 802.1X for aprovado na autenticação.

[Device] display dot1x connection

Exemplo: Configuração da VLAN de convidado 802.1X e da VLAN de autorização

Configuração de rede

Conforme mostrado na Figura 13:

• Use servidores RADIUS para realizar autenticação, autorização e contabilidade para usuários 802.1X que se conectam à GigabitEthernet 1/0/2. Implemente o controle de acesso baseado em porta na porta.
• Configure a VLAN 10 como a VLAN de convidado 802.1X na GigabitEthernet 1/0/2. O host e o servidor de atualização estão na VLAN 10, e o host pode acessar o servidor de atualização e fazer download do software cliente 802.1X.
• Configure uma política de QoS para negar pacotes destinados à Internet (5.1.1.1) e aplique a política de QoS à direção de saída da VLAN 10. A configuração impede que os usuários da VLAN de convidados 802.1X acessem a Internet antes de passarem pela autenticação 802.1X.
• Depois que o host passa pela autenticação 802.1X, o dispositivo de acesso atribui o host à VLAN 5 , onde está a GigabitEthernet 1/0/3. O host pode acessar a Internet.

Figura 13 Diagrama de rede

Procedimento

Para obter informações sobre os comandos RADIUS usados no dispositivo de acesso neste exemplo, consulte Referência de comandos de segurança.

• Configure o servidor RADIUS para fornecer serviços de autenticação, autorização e contabilidade. Configure as contas de usuário e a VLAN de autorização (VLAN 5, neste exemplo) para os usuários. (Detalhes não mostrados.)
• Crie VLANs e atribua portas às VLANs no dispositivo de acesso.

OBSERVAÇÃO:

Por padrão, a VLAN 1 existe e todas as portas pertencem à VLAN. Não é necessário criar a VLAN ou atribuir a GigabitEthernet 1/0/2 à VLAN.

<Device> system-view
                     [Device] vlan 10
                     [Device-vlan10] port gigabitethernet 1/0/1
                     [Device-vlan10] quit
                     [Device] vlan 2
                     [Device-vlan2] port gigabitethernet 1/0/4
                     [Device-vlan2] quit
                     [Device] vlan 5
                     [Device-vlan5] port gigabitethernet 1/0/3
                     [Device-vlan5] quit

• Configure uma política de QoS:

# Configure a ACL 3000 avançada para corresponder aos pacotes destinados a 5.1.1.1.

[Device] acl advanced 3000
                     [Device-acl-ipv4-adv-3000] rule permit ip destination 5.1.1.1 0.0.0.255
                     [Device-acl-ipv4-adv-3000] quit

# Especifique a ACL 3000 avançada na classe de tráfego classifier_1 para corresponder ao tráfego.

[Device] traffic classifier classifier_1
                     [Device-classifier-classifier_1] if-match acl 3000
                     [Device-classifier-classifier_1] quit

# Configure o comportamento de tráfego behavior_1 para negar os pacotes correspondentes.

[Device] traffic behavior behavior_1
                     [Device-behavior-behavior_1] filter deny
                     [Device-behavior-behavior_1] quit

# Configurar a política de QoS policy_1 para associar a classe de tráfego classifier_1 ao comportamento do tráfego behavior_1.

[Device] traffic behavior behavior_1
                     [Device-behavior-behavior_1] filter deny
                     [Device-behavior-behavior_1] quit

# Aplique a política de QoS policy_1 à direção de saída da VLAN 10.

[Device] qos vlan-policy policy_1 vlan 10 outbound

• Configure um esquema RADIUS no dispositivo de acesso:

# Crie o esquema RADIUS 2000 e entre na visualização do esquema RADIUS.

[Device] radius scheme 2000

# Especifique o servidor em 10.11.1.1 como o servidor de autenticação principal e defina a porta de autenticação como 1812.

[Device-radius-2000] primary authentication 10.11.1.1 1812

# Especifique o servidor em 10.11.1.1 como o servidor de contabilidade principal e defina a porta de contabilidade como 1813.

[Device-radius-2000] primary accounting 10.11.1.1 1813

# Defina a chave compartilhada como abc em texto simples para uma comunicação segura entre o servidor de autenticação e o dispositivo.

[Device-radius-2000] key authentication simple abc

# Defina a chave compartilhada como abc em texto simples para comunicação segura entre o servidor de contabilidade e o dispositivo.

[Device-radius-2000] key accounting simple abc

# Excluir os nomes de domínio do ISP dos nomes de usuário enviados ao servidor RADIUS.

[Device-radius-2000] user-name-format without-domain
                     [Device-radius-2000] quit

• Configure um domínio ISP no dispositivo de acesso:

# Crie o domínio ISP bbb e entre na visualização do domínio ISP.

[Device] domain bbb

# Aplique o esquema RADIUS 2000 ao domínio ISP para autenticação, autorização e contabilidade.

[Device-isp-bbb] authentication lan-access radius-scheme 2000
                     [Device-isp-bbb] authorization lan-access radius-scheme 2000
                     [Device-isp-bbb] accounting lan-access radius-scheme 2000
                     [Device-isp-bbb] quit

• Configure o 802.1X no dispositivo de acesso:

# Habilite o 802.1X na GigabitEthernet 1/0/2.

[Device] interface gigabitethernet 1/0/2
                     [Device-GigabitEthernet1/0/2] dot1x

# Implemente o controle de acesso baseado em porta na porta.

[Device-GigabitEthernet1/0/2] dot1x port-method portbased

# Defina o modo de autorização da porta como automático. Por padrão, a porta usa o modo automático.

[Device-GigabitEthernet1/0/2] dot1x port-control auto

# Especifique a VLAN 10 como a VLAN de convidado 802.1X na GigabitEthernet 1/0/2.

[Device-GigabitEthernet1/0/2] dot1x guest-vlan 10
                     [Device-GigabitEthernet1/0/2] quit

# Habilite o 802.1X globalmente.

[Device] dot1x

• Configure o cliente 802.1X. Certifique-se de que o cliente 802.1X possa atualizar seu endereço IP depois que a porta de acesso for atribuída à VLAN de convidado ou a uma VLAN de autorização. (Detalhes não mostrados.)

Verificação da configuração

# Verifique a configuração da VLAN de convidado 802.1X na GigabitEthernet 1/0/2.

[Device] display dot1x interface gigabitethernet 1/0/2

# Verifique se a GigabitEthernet 1/0/2 está atribuída à VLAN 10 antes que qualquer usuário passe pela autenticação na porta.

[Device] display vlan 10

# Depois que um usuário passar pela autenticação, exiba informações sobre a GigabitEthernet 1/0/2. Verifique se a GigabitEthernet 1/0/2 está atribuída à VLAN 5.

[Device] display interface gigabitethernet 1/0/2

Exemplo: Configuração do 802.1X com atribuição de ACL

Configuração de rede

Conforme mostrado na Figura 14, o host que se conecta à GigabitEthernet 1/0/1 deve passar pela autenticação 802.1X para acessar a Internet.

Execute a autenticação 802.1X na GigabitEthernet 1/0/1. Use o servidor RADIUS em 10.1.1.1 como servidor de autenticação e autorização, e o servidor RADIUS em 10.1.1.2 como servidor de contabilidade.

Configure a atribuição de ACL na GigabitEthernet 1/0/1 para negar o acesso de usuários 802.1X ao servidor FTP das 8:00 às 18:00 nos dias úteis.

Figura 14 Diagrama de rede

Procedimento

Para obter informações sobre os comandos RADIUS usados no dispositivo de acesso neste exemplo, consulte

Referência de comandos de segurança.

• Configure os servidores RADIUS para fornecer serviços de autenticação, autorização e contabilidade. Adicione contas de usuário e especifique a ACL (ACL 3000, neste exemplo) para os usuários. (Os detalhes não são mostrados).
• Atribua um endereço IP a cada interface, conforme mostrado na Figura 14. (Detalhes não mostrados).
• Configure um esquema RADIUS no dispositivo de acesso:

# Crie o esquema RADIUS 2000 e entre na visualização do esquema RADIUS.

<Device> system-view
                     [Device] radius scheme 2000

# Especifique o servidor em 10.1.1.1 como o servidor de autenticação principal e defina a autenticação porto até 1812.

[Device-radius-2000] primary authentication 10.1.1.1 1812

# Especifique o servidor em 10.1.1.2 como o servidor de contabilidade principal e defina a porta de contabilidade como 1813.

[Device-radius-2000] primary accounting 10.1.1.2 1813

# Defina a chave compartilhada como abc em texto simples para uma comunicação segura entre o servidor de autenticação e o dispositivo.

[Device-radius-2000] key authentication simple abc

# Defina a chave compartilhada como abc em texto simples para comunicação segura entre o servidor de contabilidade e o dispositivo.

[Device-radius-2000] key accounting simple abc

# Excluir os nomes de domínio do ISP dos nomes de usuário enviados ao servidor RADIUS.

[Device-radius-2000] user-name-format without-domain
                     [Device-radius-2000] quit

• Configure um domínio ISP no dispositivo de acesso:

# Crie o domínio ISP bbb e entre na visualização do domínio ISP.

[Device] domain bbb

# Aplique o esquema RADIUS 2000 ao domínio ISP para autenticação, autorização e contabilidade.

[Device-isp-bbb] authentication lan-access radius-scheme 2000
                     [Device-isp-bbb] authorization lan-access radius-scheme 2000
                     [Device-isp-bbb] accounting lan-access radius-scheme 2000
                     [Device-isp-bbb] quit

• Configure um intervalo de tempo denominado ftp das 8:00 às 18:00 horas nos dias úteis no dispositivo de acesso.

[Device] time-range ftp 8:00 to 18:00 working-day

• Configure a ACL 3000 para negar pacotes destinados ao servidor FTP em 10.0.0.1 durante o intervalo de tempo especificado no dispositivo de acesso.

[Device] acl advanced 3000
                     [Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0 time-range ftp
                     [Device-acl-ipv4-adv-3000] quit

• Configure o 802.1X no dispositivo de acesso:

# Habilite o 802.1X na GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
                     [Device-GigabitEthernet1/0/1] dot1x
                     [Device-GigabitEthernet1/0/1] quit

# Habilite o 802.1X globalmente.

[Device] dot1x

• Configure o cliente 802.1X. Certifique-se de que o cliente seja capaz de atualizar seu endereço IP depois que a porta de acesso for atribuída à VLAN de convidado 802.1X ou a uma VLAN de autorização. (Detalhes não mostrados.)

Verificação da configuração

# Use a conta de usuário para passar a autenticação. (Detalhes não mostrados).

# Verifique se o usuário não pode fazer ping no servidor FTP a qualquer momento das 8:00 às 18:00 em qualquer dia da semana.

C:\>ping 10.0.0.1
                     Pinging 10.0.0.1 with 32 bytes of data:
                     Request timed out.
                     Request timed out.
                     Request timed out.
                     Request timed out.
                     Ping statistics for 10.0.0.1:
                     Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

A saída mostra que a ACL 3000 está ativa no usuário, e o usuário não pode acessar o servidor FTP.

Exemplo: Configuração do 802.1X com assistente EAD (com agente de retransmissão DHCP)

Configuração de rede

Conforme mostrado na Figura 15:

• A intranet 192.168.1.0/24 está conectada à GigabitEthernet 1/0/1 do dispositivo de acesso.
• Os hosts usam DHCP para obter endereços IP.
• Um servidor DHCP e um servidor Web são implantados na sub-rede 192.168.2.0/24 para que os usuários obtenham endereços IP e façam download do software cliente.

Implante uma solução de EAD para a intranet para atender aos seguintes requisitos:

• Permita que usuários não autenticados e usuários que falharam na autenticação 802.1X acessem 192.168.2.0/24. Os usuários podem obter endereços IP e fazer download de software.
• Se esses usuários usarem um navegador da Web para acessar uma rede diferente de 192.168.2.0/24, redirecione-os para o servidor da Web para fazer o download do cliente 802.1X.
• Permitir que usuários 802.1X autenticados acessem a rede.

Figura 15 Diagrama de rede

Procedimento

• Certifique-se de que o servidor DHCP, o servidor Web e os servidores de autenticação tenham sido configurados corretamente. (Detalhes não mostrados.)
• Configure um endereço IP para cada interface. (Detalhes não mostrados).
• Configurar a retransmissão de DHCP: # Habilite o DHCP.

<Device> system-view
                     [Device] dhcp enable

# Habilite o agente de retransmissão DHCP na interface VLAN 2.

[Device] interface vlan-interface 2
                     [Device-Vlan-interface2] dhcp select relay

# Especifique o servidor DHCP 192.168.2.2 na interface do agente de retransmissão VLAN-interface 2.

[Device-Vlan-interface2] dhcp relay server-address 192.168.2.2
                     [Device-Vlan-interface2] quit

• Configurar um esquema RADIUS:

# Crie o esquema RADIUS 2000 e entre na visualização do esquema RADIUS.

[Device] radius scheme 2000

# Especifique o servidor em 10.1.1.1 como o servidor de autenticação principal e defina a porta de autenticação como 1812.

[Device-radius-2000] primary authentication 10.1.1.1 1812

# Especifique o servidor em 10.1.1.2 como o servidor de contabilidade principal e defina a porta de contabilidade como 1813.

[Device-radius-2000] primary accounting 10.1.1.2 1813

# Defina a chave compartilhada como abc em texto simples para uma comunicação segura entre o servidor de autenticação e o dispositivo.

[Device-radius-2000] key authentication simple abc

# Defina a chave compartilhada como abc em texto simples para comunicação segura entre o servidor de contabilidade e o dispositivo.

[Device-radius-2000] key accounting simple abc

# Excluir os nomes de domínio do ISP dos nomes de usuário enviados ao servidor RADIUS.

[Device-radius-2000] user-name-format without-domain
                     [Device-radius-2000] quit

• Configurar um domínio ISP:

# Crie o domínio ISP bbb e entre na visualização do domínio ISP.

[Device] domain bbb

# Aplique o esquema RADIUS 2000 ao domínio ISP para autenticação, autorização e contabilidade.

[Device-isp-bbb] authentication lan-access radius-scheme 2000
                     [Device-isp-bbb] authorization lan-access radius-scheme 2000
                     [Device-isp-bbb] accounting lan-access radius-scheme 2000
                     [Device-isp-bbb] quit

• Configurar o 802.1X:

# Configure o IP livre.

[Device] dot1x ead-assistant free-ip 192.168.2.0 24

# Configure o URL de redirecionamento para download do software do cliente.

[Device] dot1x ead-assistant url http://192.168.2.3

# Habilite o recurso de assistente de EAD.

[Device] dot1x ead-assistant enable

# Habilite o 802.1X na GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
                     [Device-GigabitEthernet1/0/1] dot1x
                     [Device-GigabitEthernet1/0/1] quit

# Habilite o 802.1X globalmente.

[Device] dot1x

Verificação da configuração

# Verificar a configuração do 802.1X.

[Device] display dot1x

# Verifique se você pode fazer ping em um endereço IP na sub-rede IP livre a partir de um host.

C:\>ping 192.168.2.3

C:\>ping 192.168.2.3
                     Pinging 192.168.2.3 with 32 bytes of data:
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Ping statistics for 192.168.2.3:
                     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
                     Approximate round trip times in milli-seconds:
                     Minimum = 0ms, Maximum = 0ms, Average = 0ms

A saída mostra que você pode acessar a sub-rede IP livre antes de passar pela autenticação 802.1X.

# Verifique se você é redirecionado para o servidor da Web quando digita no navegador da Web um endereço IP que não está no IP livre. (Detalhes não mostrados.)

Exemplo: Configuração do 802.1X com assistente EAD (com servidor DHCP)

Configuração de rede

Conforme mostrado na Figura 16:

• A intranet 192.168.1.0/24 está conectada à GigabitEthernet 1/0/1 do dispositivo de acesso.
• Os hosts usam DHCP para obter endereços IP.
• Um servidor Web é implementado na sub-rede 192.168.2.0/24 para que os usuários façam download do software cliente. Implemente uma solução de EAD para a intranet para atender aos seguintes requisitos:
• Permita que usuários não autenticados e usuários que falharam na autenticação 802.1X acessem 192.168.2.0/24. Os usuários podem fazer download de software.
• Se esses usuários usarem um navegador da Web para acessar uma rede diferente de 192.168.2.0/24, redirecione-os para o servidor da Web para fazer download do cliente 802.1X.
• Permitir que usuários 802.1X autenticados acessem a rede.

Figura 16 Diagrama de rede

Procedimento

• Certifique-se de que o servidor da Web e os servidores de autenticação tenham sido configurados corretamente. (Detalhes não mostrados.)
• Configure um endereço IP para cada interface. (Detalhes não mostrados).
• Configure o servidor DHCP:

# Habilite o DHCP.

<Device> system-view
                     [Device] dhcp enable

# Habilite o servidor DHCP na interface VLAN 2.

[Device] interface vlan-interface 2
                     [Device-Vlan-interface2] dhcp select server
                     [Device-Vlan-interface2] quit

# Criar o pool de endereços DHCP 0.

[Device] dhcp server ip-pool 0

# Especifique a sub-rede 192.168.1.0/24 no pool de endereços DHCP 0.

[Device-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0

# Especifique o endereço de gateway 192.168.1.1 no pool de endereços DHCP 0.

[Device-dhcp-pool-0] gateway-list 192.168.1.1
                     [Device-dhcp-pool-0] quit

• Configurar um esquema RADIUS:

# Crie o esquema RADIUS 2000 e entre na visualização do esquema RADIUS.

[Device] radius scheme 2000

# Especifique o servidor em 10.1.1.1 como o servidor de autenticação principal e defina a porta de autenticação como 1812.

[Device-radius-2000] primary authentication 10.1.1.1 1812

# Especifique o servidor em 10.1.1.2 como o servidor de contabilidade principal e defina a porta de contabilidade como 1813.

[Device-radius-2000] primary accounting 10.1.1.2 1813

# Defina a chave compartilhada como abc em texto simples para uma comunicação segura entre o servidor de autenticação e o dispositivo.

[Device-radius-2000] key authentication simple abc

# Defina a chave compartilhada como abc em texto simples para comunicação segura entre o servidor de contabilidade e o dispositivo.

[Device-radius-2000] key accounting simple abc

# Excluir os nomes de domínio do ISP dos nomes de usuário enviados ao servidor RADIUS.

[Device-radius-2000] user-name-format without-domain
                     [Device-radius-2000] quit

• Configurar um domínio ISP:

# Crie o domínio ISP bbb e entre na visualização do domínio ISP.

[Device] domain bbb

# Aplique o esquema RADIUS 2000 ao domínio ISP para autenticação, autorização e contabilidade.

[Device-isp-bbb] authentication lan-access radius-scheme 2000
                     [Device-isp-bbb] authorization lan-access radius-scheme 2000
                     [Device-isp-bbb] accounting lan-access radius-scheme 2000
                     [Device-isp-bbb] quit

• Configurar o 802.1X:

# Configure o IP livre.

[Device] dot1x ead-assistant free-ip 192.168.2.0 24

# Configure o URL de redirecionamento para download do software do cliente.

[Device] dot1x ead-assistant url http://192.168.2.3

# Habilite o recurso de assistente de EAD.

[Device] dot1x ead-assistant enable

# Habilite o 802.1X na GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
                     [Device-GigabitEthernet1/0/1] dot1x
                     [Device-GigabitEthernet1/0/1] quit

# Habilite o 802.1X globalmente.

[Device] dot1x

Verificação da configuração

# Verificar a configuração do 802.1X.

[Device] display dot1x

# Verifique se você pode fazer ping em um endereço IP na sub-rede IP livre a partir de um host.

C:\>ping 192.168.2.3
                     Pinging 192.168.2.3 with 32 bytes of data:
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Reply from 192.168.2.3: bytes=32 time< TTL=128
                     Reply from 192.168.2.3: bytes=32 time< TTL=128

                     Ping statistics for 192.168.2.3:
                     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
                     Approximate round trip times in milli-seconds:
                     Minimum = 0ms, Maximum = 0ms, Average = 0ms

A saída mostra que você pode acessar a sub-rede IP livre antes de passar pela autenticação 802.1X.

# Verifique se você é redirecionado para o servidor da Web quando digita no navegador da Web um endereço IP que não está no IP livre. (Detalhes não mostrados.)

Falha no redirecionamento do URL do assistente de EAD

Sintoma

Os usuários não autenticados não são redirecionados para o URL de redirecionamento especificado depois que inserem endereços de sites externos em seus navegadores da Web.

Análise

O redirecionamento não ocorrerá por um dos seguintes motivos:

• O endereço está no formato de string. O sistema operacional do host considera a cadeia como um nome de site e tenta resolver a cadeia. Se a resolução falhar, o sistema operacional envia uma solicitação ARP, mas o endereço de destino não está na notação decimal com pontos. O recurso de redirecionamento redireciona esse tipo de solicitação ARP.
• O endereço está em um segmento IP livre. Nenhum redirecionamento ocorrerá, mesmo que nenhum host esteja presente com o endereço.
• O URL de redirecionamento não está em um segmento de IP livre.
• Nenhum servidor está usando o URL de redirecionamento ou o servidor com o URL não fornece serviços da Web.

Solução

Para resolver o problema:

• Digite um endereço IP decimal com pontos que não esteja em nenhum segmento de IP livre.
• Verifique se o dispositivo de acesso e o servidor estão configurados corretamente.
• Se o problema persistir, entre em contato com o Suporte da Intelbras.

Políticas de conta de usuário

A autenticação MAC é compatível com as seguintes políticas de conta de usuário:

• Política global de conta de usuário - Pode ser uma das seguintes opções:
• Política de conta de usuário baseada em MAC - Uma conta de usuário baseada em MAC para cada usuário. Conforme mostrado na Figura 1, o dispositivo de acesso usa os endereços MAC de origem nos pacotes como nomes de usuário e senhas de usuários para autenticação MAC. Essa política é adequada para um ambiente inseguro.

OBSERVAÇÃO:

A política de conta de usuário baseada em MAC também suporta a configuração de uma senha compartilhada por todos os usuários.

Contas de usuário baseadas em MAC.

• Política de conta de usuário compartilhada - Uma conta de usuário compartilhada para todos os usuários. Você especifica um nome de usuário e uma senha, que não são necessariamente um endereço MAC, para todos os usuários de autenticação MAC no dispositivo de acesso, conforme mostrado na Figura 2. Essa política é adequada para um ambiente seguro.
• Política de conta de usuário específica de intervalo de MAC - Uma conta de usuário compartilhada para usuários em um intervalo de endereços MAC específico. Você especifica um nome de usuário e uma senha (que não são necessariamente um endereço MAC) para usuários em um intervalo específico de endereços MAC no dispositivo de acesso, conforme mostrado na Figura 3. Por exemplo, é possível especificar um nome de usuário e uma senha para usuários com uma OUI específica para autenticação MAC.

IMPORTANTE:

Figura 1 Política de conta de usuário baseada em MAC

Figura 2 Política de conta de usuário compartilhada (global)

Figura 3 Política de conta de usuário compartilhada (específica para intervalos de endereços MAC)

Métodos de autenticação

Você pode executar a autenticação MAC no dispositivo de acesso (autenticação local) ou por meio de um servidor RADIUS.

Para obter mais informações sobre como configurar a autenticação local e a autenticação RADIUS, consulte "Configuração de AAA".

Autenticação RADIUS

Se forem usadas contas baseadas em MAC, o dispositivo de acesso enviará, por padrão, o endereço MAC de origem de um pacote como nome de usuário e senha para o servidor RADIUS para autenticação. Se uma senha for

configurado para contas baseadas em MAC, o dispositivo de acesso envia a senha configurada como a senha para o servidor RADIUS.

Se for usada uma conta compartilhada, o dispositivo de acesso enviará o nome de usuário e a senha da conta compartilhada ao servidor RADIUS para autenticação.

O dispositivo de acesso e o servidor RADIUS usam o Password Authentication Protocol (PAP) ou o Challenge Handshake Authentication Protocol (CHAP) para comunicação.

Autenticação local

Se forem usadas contas baseadas em MAC, o dispositivo de acesso usará, por padrão, o endereço MAC de origem de um pacote como nome de usuário e senha para procurar uma correspondência no banco de dados de contas local. Se uma senha for configurada para contas baseadas em MAC, o dispositivo usará a senha configurada para procurar uma correspondência no banco de dados de contas local.

Se for usada uma conta compartilhada, o dispositivo de acesso usará o nome de usuário e a senha da conta compartilhada para procurar uma correspondência no banco de dados de contas local.

Atribuição de VLAN

VLAN de autorização

A VLAN de autorização controla o acesso de um usuário de autenticação MAC a recursos de rede autorizados. O dispositivo suporta VLANs de autorização atribuídas localmente ou por um servidor remoto.

IMPORTANTE:

Somente servidores remotos podem atribuir VLANs de autorização marcadas.

Autorização de VLAN remota

Na autorização de VLAN remota, é necessário configurar uma VLAN de autorização para um usuário no servidor remoto. Depois que o usuário se autentica no servidor, o servidor atribui informações de VLAN de autorização ao dispositivo. Em seguida, o dispositivo atribui a porta de acesso do usuário à VLAN de autorização como um membro marcado ou não marcado.

O dispositivo suporta a atribuição das seguintes informações de VLAN de autorização pelo servidor remoto:

• VLAN ID.
• Nome da VLAN, que deve ser o mesmo que a descrição da VLAN no dispositivo de acesso.
• Uma cadeia de VLAN IDs e nomes de VLAN.

Na cadeia de caracteres, algumas VLANs são representadas por seus IDs e algumas VLANs são representadas por seus nomes.

• Nome do grupo de VLAN.

Para obter mais informações sobre grupos de VLAN, consulte o Layer 2-LAN Switching Configuration Guide.

• VLAN ID com um sufixo de t ou u.

Os sufixos t e u exigem que o dispositivo atribua a porta de acesso à VLAN como um membro marcado ou não marcado, respectivamente. Por exemplo, 2u indica a atribuição da porta à VLAN 2 como um membro sem marcação.

Se um nome de VLAN ou um nome de grupo de VLAN for atribuído, o dispositivo converterá as informações em uma VLAN ID antes da atribuição da VLAN.

IMPORTANTE:

Para que uma VLAN representada por seu nome de VLAN seja atribuída com êxito, você deve se certificar de que a VLAN foi criada no dispositivo.

Para atribuir VLAN IDs com sufixos, certifique-se de que a porta de acesso do usuário seja uma porta híbrida ou de tronco.

IMPORTANTE:

Para garantir uma atribuição bem-sucedida, as VLANs de autorização atribuídas pelo servidor remoto não podem ser de nenhum dos tipos a seguir:

• VLANs aprendidas dinamicamente.
• VLANs reservadas.
• VLANs privadas.

Se o servidor atribuir um grupo de VLANs, o dispositivo de acesso selecionará uma VLAN conforme descrito na Tabela 1.

Tabela 1 Seleção de VLAN de autorização em um grupo de VLANs

Na versão 6318P01 e posteriores, o dispositivo inclui o atributo User-VLAN-ID nas solicitações de contabilidade RADIUS para informar ao servidor RADIUS a VLAN de autorização atribuída aos usuários de autenticação MAC. O servidor RADIUS pode então incluir informações de VLAN de autorização do usuário em seus registros sobre usuários de autenticação MAC.

• Se o servidor RADIUS atribuir uma VLAN ID ou um nome de VLAN como a VLAN de autorização para um usuário, o dispositivo incluirá a VLAN de autorização atribuída pelo servidor no atributo User-VLAN-ID.
• Se o servidor RADIUS atribuir um grupo de VLANs nas informações de VLAN de autorização a um usuário, o dispositivo incluirá uma VLAN no atributo User-VLAN-ID, conforme descrito na Tabela 2.

Tabela 2 Inclusão de uma VLAN no atributo User-VLAN-ID dos pacotes de contabilidade RADIUS

Autorização de VLAN local

Para executar a autorização de VLAN local para um usuário, especifique a VLAN ID na lista de atributos de autorização da conta de usuário local para esse usuário. Para cada usuário local, é possível especificar apenas um ID de VLAN de autorização. A porta de acesso do usuário é atribuída à VLAN como um membro não marcado.

IMPORTANTE:

A autorização de VLAN local não é compatível com a atribuição de VLANs marcadas.

Para obter mais informações sobre a configuração do usuário local, consulte "Configuração de AAA".

Manipulação de VLAN de autorização em uma porta habilitada para autenticação MAC

A Tabela 3 descreve a maneira como o dispositivo de acesso à rede lida com as VLANs de autorização (exceto as VLANs especificadas com sufixos) para usuários autenticados por MAC em uma porta.

Tabela 3 Manipulação de VLAN

IMPORTANTE:

• Se os usuários estiverem conectados a uma porta cujo tipo de link seja de acesso, certifique-se de que a VLAN de autorização atribuída pelo servidor tenha o atributo untagged. A atribuição de VLAN falhará se o servidor emitir uma VLAN que tenha o atributo tagged.
• Ao atribuir VLANs a usuários conectados a uma porta trunk ou a uma porta híbrida desativada por VLAN baseada em MAC, certifique-se de que haja apenas uma VLAN sem marcação. Se uma VLAN untagged diferente for atribuída a um usuário subsequente, o usuário não poderá passar na autenticação.
• Como prática recomendada para aumentar a segurança da rede, não use o comando port hybrid vlan para atribuir uma porta híbrida a uma VLAN de autorização como um membro marcado.

A VLAN atribuída pelo servidor a um usuário como uma VLAN de autorização pode ter sido configurada na porta de acesso do usuário, mas com um modo de marcação diferente. Por exemplo, o servidor atribui uma VLAN de autorização com o atributo tagged, mas a mesma VLAN configurada na porta tem o atributo untagged. Nessa situação, as configurações de VLAN que entram em vigor para o usuário dependem do tipo de link da porta.

• Se o tipo de link da porta for acesso ou tronco, as configurações de VLAN de autorização atribuídas pelo servidor sempre terão efeito sobre o usuário enquanto ele estiver on-line. Depois que o usuário fica off-line, as configurações de VLAN na porta entram em vigor.
• Se o tipo de link da porta for híbrido, as configurações de VLAN definidas na porta terão efeito. Por exemplo, o servidor atribui a VLAN 30 com o atributo untagged a um usuário na porta híbrida. No entanto, a VLAN 30 foi configurada na porta com o atributo tagged usando o comando port hybrid vlan tagged. Finalmente, a VLAN tem o atributo marcado na porta.

Para que um usuário autenticado por MAC acesse a rede em uma porta híbrida quando nenhuma VLAN de autorização estiver configurada para o usuário, execute uma das seguintes tarefas:

• Se a porta receber pacotes de autenticação com tags do usuário em uma VLAN, use o comando port hybrid vlan para configurar a porta como um membro com tags na VLAN.
• Se a porta receber pacotes de autenticação untagged do usuário em uma VLAN, use o comando port hybrid vlan para configurar a porta como um membro untagged na VLAN.

VLAN de convidado

A VLAN de convidado de autenticação MAC em uma porta acomoda usuários que falharam na autenticação MAC por qualquer motivo que não seja o servidor inacessível. Por exemplo, a VLAN acomoda usuários com senhas inválidas inseridas.

Você pode implementar um conjunto limitado de recursos de rede na VLAN de convidado de autenticação MAC. Por exemplo, um servidor de software para fazer download de software e patches de sistema.

Uma porta híbrida é sempre atribuída a uma VLAN de convidado de autenticação MAC como um membro não marcado. Após a atribuição, não reconfigure a porta como um membro marcado na VLAN.

O dispositivo reautentica os usuários na VLAN de convidado de autenticação MAC em um intervalo específico. A Tabela 4 mostra a maneira como o dispositivo de acesso à rede lida com as VLANs de convidados para usuários de autenticação MAC.

Tabela 4 Manipulação de VLAN

VLAN crítica

A VLAN crítica de autenticação MAC em uma porta acomoda usuários que falharam na autenticação MAC porque não há servidores de autenticação RADIUS acessíveis. Os usuários em uma VLAN crítica de autenticação MAC podem acessar apenas os recursos de rede na VLAN crítica.

O recurso de VLAN crítica entra em vigor quando a autenticação MAC é realizada somente por meio de servidores RADIUS. Se um usuário de autenticação MAC falhar na autenticação local após a autenticação RADIUS, o usuário não será atribuído à VLAN crítica. Para obter mais informações sobre os métodos de autenticação, consulte "Configuração de AAA".

A Tabela 5 mostra a maneira como o dispositivo de acesso à rede lida com VLANs críticas para usuários de autenticação MAC.

Tabela 5 Manipulação de VLAN

VLAN de voz crítica

A VLAN de voz crítica de autenticação MAC em uma porta acomoda usuários de voz com autenticação MAC que falharam na autenticação porque nenhum dos servidores RADIUS em seu domínio ISP está acessível.

O recurso de VLAN de voz crítica entra em vigor quando a autenticação MAC é realizada somente por meio de servidores RADIUS. Se um usuário de voz com autenticação MAC falhar na autenticação local após a autenticação RADIUS, o usuário não será atribuído à VLAN de voz crítica. Para obter mais informações sobre os métodos de autenticação, consulte "Configuração de AAA".

A Tabela 6 mostra a maneira como o dispositivo de acesso à rede lida com VLANs de voz críticas para usuários de voz com autenticação MAC.

Tabela 6 Manipulação de VLAN

Atribuição de ACL

É possível especificar uma ACL de autorização na conta de usuário para um usuário de autenticação MAC no servidor de autenticação para controlar o acesso do usuário aos recursos da rede. Depois que o usuário passa pela autenticação MAC, o servidor de autenticação atribui a ACL de autorização à porta de acesso do usuário. Em seguida, a porta permite ou descarta o tráfego correspondente para o usuário, dependendo das regras configuradas na ACL. Essa ACL é chamada de ACL de autorização.

O dispositivo suporta a atribuição de ACLs estáticas e dinâmicas como ACLs de autorização.

• ACLs estáticas - As ACLs estáticas podem ser atribuídas por um servidor RADIUS ou pelo dispositivo de acesso. Quando o servidor ou o dispositivo de acesso atribui uma ACL estática a um usuário, ele atribui apenas o número da ACL. Você deve criar manualmente a ACL e configurar suas regras no dispositivo de acesso.

Para alterar as permissões de acesso de um usuário, você pode usar um dos métodos a seguir:

• Modificar as regras de ACL na ACL de autorização no dispositivo de acesso.
• Atribua outra ACL ao usuário a partir do servidor RADIUS ou do dispositivo de acesso. As ACLs estáticas e suas regras podem ser excluídas manualmente do dispositivo de acesso.
• ACLs dinâmicas - As ACLs dinâmicas e suas regras são implantadas automaticamente por um servidor RADIUS e não podem ser configuradas no dispositivo de acesso. As ACLs dinâmicas só podem ser ACLs nomeadas. Depois que o dispositivo recebe uma ACL dinâmica implantada pelo servidor e suas regras, ele cria automaticamente a ACL e configura suas regras.

Se a ACL dinâmica atribuída pelo servidor a um usuário tiver o mesmo nome de uma ACL estática, a ACL dinâmica não poderá ser emitida e o usuário não poderá ficar on-line.

Uma ACL dinâmica e suas regras são automaticamente excluídas do dispositivo de acesso depois que todos os seus usuários ficam off-line.

As ACLs dinâmicas e suas regras não podem ser modificadas ou excluídas manualmente no dispositivo de acesso. Para exibir informações sobre as ACLs dinâmicas e suas regras, use o comando display

conexão mac-authentication ou comando display acl.

IMPORTANTE:

A atribuição de ACLs dinâmicas é compatível apenas com a versão 6309P01 ou posterior.

As ACLs de autorização compatíveis incluem os seguintes tipos:

IMPORTANTE:

Para que uma ACL de autorização tenha efeito, certifique-se de que a ACL exista com regras e que nenhuma das regras contenha a palavra-chave counting, established, fragment, source-mac, cos, dest-mac, lsap, vxlan ou logging.

Para obter mais informações sobre ACLs, consulte o Guia de configuração de ACL e QoS.

Atribuição de perfil de usuário

É possível especificar um perfil de usuário na conta de usuário para um usuário de autenticação MAC no servidor de autenticação para controlar o acesso do usuário aos recursos da rede. Depois que o usuário passa pela autenticação MAC, o servidor de autenticação atribui o perfil de usuário ao usuário para filtrar o tráfego para esse usuário.

O servidor de autenticação pode ser o dispositivo de acesso local ou um servidor RADIUS. Em ambos os casos, o servidor especifica apenas o nome do perfil do usuário. Você deve configurar o perfil de usuário no dispositivo de acesso.

Para alterar as permissões de acesso do usuário, você pode usar um dos métodos a seguir:

• Modifique a configuração do perfil de usuário no dispositivo de acesso.
• Especifique outro perfil de usuário para o usuário no servidor de autenticação. Para obter mais informações sobre perfis de usuário, consulte "Configuração de perfis de usuário".

Atribuição de URL de redirecionamento

O dispositivo é compatível com o atributo de URL atribuído por um servidor RADIUS. Durante a autenticação MAC, as solicitações HTTP ou HTTPS de um usuário são redirecionadas para a interface da Web especificada pelo atributo de URL atribuído pelo servidor. Depois que o usuário passa pela autenticação na Web, o servidor RADIUS registra o endereço MAC do usuário e usa uma DM (Disconnect Message) para fazer logoff do usuário. Quando o usuário iniciar a autenticação MAC novamente, ele será aprovado na autenticação e ficará on-line com êxito.

Por padrão, o dispositivo escuta a porta 6654 para solicitações HTTPS a serem redirecionadas. Para alterar o número da porta de escuta do redirecionamento, consulte Configuração do redirecionamento de HTTP no Guia de configuração de serviços de camada 3 IP.

Reautenticação periódica de MAC

A reautenticação periódica do MAC rastreia o status da conexão dos usuários on-line e atualiza os atributos de autorização atribuídos pelo servidor RADIUS. Os atributos incluem a ACL e a VLAN.

O dispositivo reautentica os usuários de autenticação MAC on-line no intervalo de reautenticação periódica quando o recurso de reautenticação MAC periódica está ativado. O intervalo é controlado por um timer, que pode ser configurado pelo usuário. Uma alteração no timer de reautenticação periódica se aplica aos usuários de autenticação MAC on-line somente depois que o timer antigo expira e os usuários de autenticação MAC são aprovados na autenticação.

Os atributos RADIUS Session-Timeout (atributo 27) e Termination-Action (atributo 29) atribuídos pelo servidor podem afetar o recurso de reautenticação periódica de MAC. Para exibir os atributos Session-Timeout e Termination-Action atribuídos pelo servidor, use o comando display mac-authentication connection.

• Se a ação de encerramento for fazer o logoff dos usuários, a reautenticação periódica do MAC entrará em vigor somente quando o timer de reautenticação periódica for menor que o timer de tempo limite da sessão. Se o temporizador de tempo limite da sessão for mais curto, o dispositivo fará logoff dos usuários autenticados on-line quando o temporizador de tempo limite da sessão expirar.
• Se a ação de encerramento for reautenticar os usuários, a configuração de reautenticação periódica de MAC no dispositivo não poderá entrar em vigor. O dispositivo reautentica os usuários de autenticação MAC on-line depois que o temporizador de tempo limite da sessão atribuído pelo servidor expira.

Se nenhum temporizador de tempo limite da sessão for atribuído pelo servidor, o fato de o dispositivo executar ou não a reautenticação periódica do MAC dependerá da configuração de reautenticação periódica do MAC no dispositivo. O suporte para a atribuição dos atributos Session-Timeout e Termination-Action depende do modelo do servidor.

Com o recurso RADIUS DAS ativado, o dispositivo reautentica imediatamente um usuário ao receber uma mensagem CoA que contém o atributo de reautenticação de um servidor de autenticação RADIUS. Nesse caso, a reautenticação será executada independentemente de a reautenticação MAC periódica estar ativada no dispositivo. Para obter mais informações sobre a configuração do RADIUS DAS, consulte "Configuração de AAA".

Por padrão, o dispositivo faz logoff de usuários de autenticação MAC on-line se nenhum servidor estiver acessível para reautenticação MAC. O recurso keep-online mantém os usuários autenticados da autenticação MAC on-line quando nenhum servidor está acessível para a reautenticação MAC.

As VLANs atribuídas a um usuário on-line antes e depois da reautenticação podem ser iguais ou diferentes.