Configuração de um sistema lógico
Exemplo: configurar a senha raiz para sistemas lógicos
Requisitos
Antes de começar, leia a visão geral das tarefas de configuração do administrador primário da Série SRX para entender como essa tarefa se encaixa no processo de configuração geral.
O exemplo usa um dispositivo SRX5600 que executa o Junos OS com sistemas lógicos.
Visão geral
O software Junos OS é instalado no roteador antes de ser entregue na fábrica. Quando você alimenta seu roteador, ele está pronto para configurar. Inicialmente, você faz login como usuário raiz sem usar uma senha.
Depois de fazer login, você pode configurar uma senha para o usuário raiz ou, em termos de sistemas lógicos, o administrador principal. O administrador principal tem privilégios raiz sobre o dispositivo.
Topologia
Configuração
Configurando a senha raiz
Procedimento passo a passo
Configure uma senha raiz para o dispositivo.
user@host# set system root-authentication Talk22rt6
Exemplo: criar sistemas lógicos de usuário, administradores, usuários e um sistema lógico de interconexão
Este exemplo mostra como criar sistemas lógicos de usuário e atribuir administradores a eles. Ela mostra como adicionar usuários a um sistema lógico do usuário. E o exemplo mostra como criar um sistema lógico de interconexão, que é opcional.
Apenas o administrador principal pode criar contas de login de usuário para administradores e usuários. Se um administrador de sistema lógico do usuário quiser adicionar usuários ao seu sistema lógico, ele deve transmitir as informações ao administrador principal, que adicionará os usuários.
Requisitos
O exemplo usa um dispositivo SRX5600 que executa o Junos OS com sistemas lógicos.
Visão geral
Antes de começar, leia a visão geral das tarefas de configuração do administrador primário da Série SRX para entender como essa tarefa se encaixa no processo de configuração geral.
Este exemplo é para uma empresa que inclui departamentos de design, marketing e contabilidade de produtos. A empresa quer reduzir os custos de hardware e energia, mas não correndo o risco de expor dados em todos os departamentos ou na Internet.
Cada departamento tem seus próprios requisitos de segurança em relação a outros departamentos e à Internet. Para atender aos seus requisitos de controle de custos sem perder a segurança, a empresa implanta o dispositivo SRX5600. O administrador primário configura três sistemas lógicos de usuário, dando a cada departamento um dispositivo lógico que é privado e totalmente protegido.
Este tópico abrange como:
Crie sistemas lógicos de usuário e um sistema lógico de interconexão que é usado como um switch VPLS interno para permitir que o tráfego passe de um sistema lógico para outro.
Crie administradores para sistemas lógicos de usuário que não sejam o sistema lógico de interconexão. Um sistema lógico do usuário pode ter mais de um administrador. O sistema lógico de interconexão não requer um administrador.
Adicione os usuários a um sistema lógico do usuário.
Nota:Este exemplo mostra como configurar apenas dois usuários — lsdesignuser1 e lsdesignuser2. Na realidade, cada sistema lógico do usuário incluirá muitos usuários que exigiriam configurações semelhantes às mostradas neste exemplo.
Topologia
A Figura 1 mostra um dispositivo SRX5600 implantado e configurado para sistemas lógicos. Os exemplos de configuração refletem essa implantação.
Configuração
Configurando sistemas lógicos de usuários, administradores, usuários e um sistema lógico de interconexão
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set logical-systems ls-product-design set system login class ls-design-admin logical-system ls-product-design set system login class ls-design-admin permissions all set system login user lsdesignadmin1 full-name lsdesignadmin1 set system login user lsdesignadmin1 class ls-design-admin set system login user lsdesignadmin1 authentication encrypted-password "$ABC123" set system login class ls-design-user logical-system ls-product-design set system login class ls-design-user permissions view set system login user lsdesignuser1 full-name lsdesignuser1 set system login user lsdesignuser1 class ls-design-user set system login user lsdesignuser1 authentication encrypted-password "$ABC123" set system login user lsdesignuser2 full-name lsdesignuser2 set system login user lsdesignuser2 class ls-design-user set system login user lsdesignuser2 authentication encrypted-password "$ABC123" set logical-systems ls-marketing-dept set system login class ls-marketing-admin logical-system ls-marketing-dept set system login class ls-marketing-admin permissions all set system login user lsmarketingadmin1 class ls-marketing-admin set system login user lsmarketingadmin1 full-name lsmarketingadmin1 set system login user lsmarketingadmin1 authentication encrypted-password "$ABC123" set system login user lsmarketingadmin2 full-name lsmarketingadmin2 set system login user lsmarketingadmin2 class ls-marketing-admin set system login user lsmarketingadmin2 authentication encrypted-password "$ABC123" set logical-systems ls-accounting-dept set system login class ls-accounting-admin logical-system ls-accounting-dept set system login class ls-accounting-admin permissions all set system login user lsaccountingadmin1 full-name lsaccountingadmin1 set system login user lsaccountingadmin1 class ls-accounting-admin set system login user lsaccountingadmin1 authentication encrypted-password "$ABC123" set logical-systems interconnect-logical-system
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Crie o primeiro sistema lógico do usuário e defina seu administrador.
Procedimento passo a passo
Crie o sistema lógico do usuário.
[edit] user@host# set logical-systems ls-product-design
Atribua a classe de login do usuário ao sistema lógico do usuário.
[edit system] user@host# set login class ls-design-admin logical-system ls-product-design
Crie a classe de login para dar ao administrador do sistema lógico do usuário permissão total pelo sistema lógico do usuário.
[edit system] user@host# set login class ls-design-admin permissions all
Atribua um nome completo ao administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsdesignadmin1 full-name lsdesignadmin1
Associe a classe de login com o administrador do sistema lógico do usuário para permitir que o administrador faça login no sistema lógico do usuário.
[edit system] user@host# set login user lsdesignadmin1 class ls-design-admin
Crie uma senha de login do usuário para o administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsdesignadmin1 authentication plain-text-password New password: Talk1234 Retype new password: Talk1234
Configure o primeiro usuário para o sistema lógico.
Procedimento passo a passo
Configure a classe de login do usuário e atribua-a ao sistema lógico do usuário.
[edit system] user@host# set login class ls-design-user logical-system ls-product-design
Para dar ao primeiro usuário a capacidade de ver os recursos e configurações do sistema lógico, mas não alterá-los, atribua
viewa permissão à classe de login.[edit system] user@host# set login class ls-design-user permissions view
Atribua um nome completo ao usuário do sistema lógico.
[edit system] user@host# set login user lsdesignuser1 full-name lsdesignuser1
Associe a aula de login com o usuário para permitir que o usuário faça login no sistema lógico do usuário.
user@host# set login user lsdesignuser1 class ls-design-user
Crie uma senha de login do usuário para o usuário.
[edit system] user@host# set login user lsdesignuser1 authentication plain-text-password New password: Talk4234 Retype new password: Talk4234
Crie o segundo usuário para o design de produto ls do sistema lógico.
Procedimento passo a passo
Atribua um nome completo ao usuário.
[edit system] user@host# set login user lsdesignuser2 full-name lsdesignuser2
Associe o usuário à aula de login para permitir que o usuário faça login no sistema lógico do usuário.
user@host# set login user lsdesignuser2 class ls-design-user
Crie uma senha de login do usuário.
[edit system] user@host# set login user lsdesignuser2 authentication plain-text-password New password: Talk9234 Retype new password: Talk9234
Crie o segundo sistema lógico do usuário e defina seu administrador.
Procedimento passo a passo
Crie o sistema lógico do usuário.
[edit] user@host# set logical-systems ls-marketing-dept
Configure a classe de login do usuário e atribua-a ao sistema lógico do usuário.
[edit system] user@host# set login class ls-marketing-admin logical-system ls-marketing-dept
Para dar ao administrador do sistema lógico do usuário o controle sobre o sistema lógico do usuário, atribua
allcomo permissões para a classe de login.[edit system] user@host# set login class ls-marketing-admin permissions all
Atribua um nome completo ao administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsmarketingadmin1 full-name lsmarketingadmin1
Associe o administrador de sistema lógico do usuário com a classe de login para permitir que o administrador faça login no sistema lógico do usuário.
[edit system] user@host# set login user lsmarketingadmin1 class ls-marketing-admin
Crie uma senha de login do usuário para o administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsmarketingadmin1 authentication plain-text-password New password: Talk2345 Retype new password: Talk2345
Crie um segundo administrador de sistema lógico de usuário para o sistema lógico de departamento de marketing ls.
Procedimento passo a passo
Atribua um nome completo ao administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsmarketingadmin2 full-name lsmarketingadmin2
Associe o administrador de sistema lógico do usuário com a classe de login para permitir que o administrador faça login no sistema lógico do usuário.
[edit system] user@host# set login lsmarketingadmin2 class ls-marketing-admin
Crie uma senha de login do usuário para o administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsmarketingadmin2 authentication plain-text-password New password: Talk6345 Retype new password: Talk6345
Crie o terceiro sistema lógico do usuário e defina seu administrador.
Procedimento passo a passo
Crie o sistema lógico do usuário.
[edit] user@host# set logical-systems ls-accounting-dept
Configure a classe de login do usuário e atribua-a ao sistema lógico do usuário.
[edit system] user@host# set login class ls-accounting-admin logical-system ls-accounting-dept
Para dar ao administrador do sistema lógico do usuário o controle sobre o sistema lógico do usuário, atribua permissões à classe de login.
[edit system] user@host# set login class ls-accounting-admin permissions all
Atribua um nome completo ao administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsaccountingadmin1 full-name lsaccountingadmin1
Associe o administrador de sistema lógico do usuário com a classe de login para permitir que o administrador faça login no sistema lógico do usuário.
[edit system] user@host# set login user lsaccountingadmin1 class ls-accounting-admin
Crie uma senha de login para o administrador do sistema lógico do usuário.
[edit system] user@host# set login user lsaccountingadmin1 authentication plain-text-password New password: Talk5678 Retype new password: Talk5678
Configure um sistema lógico de interconexão para permitir que sistemas lógicos passem o tráfego de um para o outro.
user@host# set logical-systems interconnect-logical-system
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show logical-systems comando para verificar se os sistemas lógicos foram criados. Insira também o show system login class comando para cada classe que você definiu.
Para garantir que os administradores de sistemas lógicos fossem criados, entre no show system login user comando.
Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
user@host# show logical-systems ? interconnect-logical-system; ls-accounting-dept; ls-marketing-dept; ls-product-design;
user@host# show system login class ls-design-admin logical-system ls-product-design; permissions all;
user@host# show system login class ls-design-user logical-system ls-product-design permissions view;
user@host show system login class ls-marketing-admin logical-system ls-marketing-dept; permissions all;
user@host show system login class ls-accounting-admin logical-system ls-accounting-dept; permissions all;
user@host show system login user ? lsaccountingadmin1 lsaccountingadmin1 lsdesignadmin1 lsdesignadmin1 lsdesignuser2 lsdesignuser2 lsmarketingadmin1 lsmarketingadmin1 lsmarketingadmin2 lsmarketingadmin2
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando sistemas lógicos do usuário e configurações de login a partir do sistema lógico primário
- Verificando sistemas lógicos do usuário e configurações de login usando SSH
Verificando sistemas lógicos do usuário e configurações de login a partir do sistema lógico primário
Propósito
Verifique se os sistemas lógicos do usuário existem e que você, como administrador principal, pode inseri-los a partir da raiz. Volte de um sistema lógico do usuário para o sistema lógico primário.
Ação
Do modo operacional, entre no seguinte comando:
root@host> set cli logical-system ls-product-design Logical system:ls-product-design root@host:ls-product-design>
root@host:ls-product-design> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-marketing-dept Logical system:ls-marketing-dept root@host:ls-marketing-dept>
root@host:ls-marketing-dept> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-accounting-dept Logical system:ls-accounting-dept root@host:ls-accounting-dept>
root@host:ls-accounting-dept> clear cli logical-system Cleared default logical system root@host>
Verificando sistemas lógicos do usuário e configurações de login usando SSH
Propósito
Verifique se os sistemas lógicos de usuário que você criou existem e que os IDs e senhas de login dos administradores que você criou estão corretos.
Ação
Use o SSH para fazer login em cada sistema lógico do usuário, como o administrador do usuário faria.
-
Execute SSH especificando o endereço IP do firewall da Série SRX.
Digite o ID de login e a senha para o administrador para um dos sistemas lógicos de usuário que você criou. Depois de fazer login, o prompt mostra o nome do administrador. Observe como esse resultado difere do resultado produzido quando você faz login no sistema lógico do usuário a partir do sistema lógico primário na raiz. Repita este procedimento para todos os seus sistemas lógicos de usuário.
login: lsdesignadmin1 Password: Talk1234 lsdesignadmin1@host: ls-product-design>