Juniper交换机AAA认证.doc

Juniper 交换机AAA登录认证配置 登录Cisco ACS，添加交换机信息，使用RADIUS（Juniper）认证 创建juniper_test组，并添加了E401#test主机，输入需要验证的主机IP及验证秘钥然后勾选juniper的radius模板 在ACS的接口下导入模板，然后点击用户组将需要3A认证的用户加入juniper上相应权限的用户组 在组里面里面添加Juniper交换机里面配置的超级管理员帐号，这样的目的是把Juniper交换机上具有超级管理员权限的gainet这个用户的权限关联到Group 0这个组中，那么这个组中的用户（关联的域用户以及本地添加进去的本地用户）都具有超管的权限。 如果希望某个组（如Group 2）具有只读的权限，那么进入这个组的Edit Settings，在Juniper-Local-User-Name里面添加Juniper里面的只读用户read即可。 3.Juniper AAA Radius配置： set system authentication-order radius set system radius-server 6 secret set system radius-server 6 timeout 5 set system radius-server 6 source-address set system authentication-order password 这条命令如果不删除，在AAA服务器正常通信情况下也能使用本地帐号登录； 如果删除，在AAA服务器不能通信的情况下才能使用本地帐号登录。 登录验证 Juniper交换机TACACS+配置 1.Juniper交换机上tacacs+配置如下： set groups global system authentication-order tacplus set groups global system tacplus-server 6 secret set groups global system tacplus-server 6 timeout 5 set groups global system tacplus-server 6 source-address set groups global system login user remote uid 2002 set groups global system login user remote class super-user set apply-groups global 不需要set system authentication-order 这条命令，因为set groups global已经指定了认证类型 如果在AAA服务器不能通信的情况下才能使用本地帐号登录则添加如下命令: set groups global system authentication-order password 或者 set system authentication-order password ACS设置按照平时开机柜配置即可 验证 根据日志提示可得知用户有配置等权限