Visão geral das aulas de login

As aulas de login do Junos OS Evolved definem os privilégios de acesso, as permissões para o uso de comandos e declarações de CLI e o tempo de sessão ocioso para os usuários atribuídos a essa classe. Você (o administrador do sistema) pode aplicar uma aula de login a uma conta de usuário individual, atribuindo assim certos privilégios e permissões ao usuário.

Visão geral das aulas de login

Todos os usuários que podem fazer login em um dispositivo que executa o Junos OS Evolved devem estar em uma aula de login. Cada aula de login define o seguinte:

Acesso a privilégios que os usuários têm quando fazem login no dispositivo de rede
Comandos que os usuários podem ou não executar
Declarações de configuração que os usuários podem ou não visualizar ou modificar
O tempo em que uma sessão de login pode ficar ociosa antes que o sistema desconecte o usuário

Você pode definir qualquer número de aulas de login. No entanto, você atribui apenas uma classe de login a uma conta de usuário individual.

O Junos OS Evolved inclui aulas de login predefinidas, listadas na Tabela 1. Você não pode modificar as aulas de login predefinidas.

Tabela 1: Aulas de login de sistema predefinidas
Aula de login	Conjunto de bandeiras de permissão
`operator`	clara, rede, redefinição, rastreamento e visualização
`read-only`	Ver
`superuser` Ou `super-user`	Todos
`unauthorized`	Nenhum

Nota:

Você não pode modificar um nome de classe de login predefinido. Se você emitir o set comando em um nome de classe predefinido, o dispositivo se -local anexa ao nome da classe de login e emite o seguinte aviso:
Você não pode emitir o rename ou o copy comando em uma classe de login predefinida. Isso resulta na seguinte mensagem de erro:

Bits de permissão
Negar ou permitir comandos individuais e hierarquias de declaração

Bits de permissão

Cada comando CLI de alto nível e cada declaração de configuração tem um nível de privilégio de acesso associado a ele. Os usuários só podem executar esses comandos e configurar e visualizar apenas aquelas declarações para as quais têm privilégios de acesso. Cada classe de login define um ou mais bits de permissão que determinam os privilégios de acesso.

Dois formulários para as permissões controlam se um usuário pode visualizar ou modificar as partes individuais da configuração:

Formulário "simples" — fornece recursos somente de leitura para esse tipo de permissão. Um exemplo é interface.
-control formulário — fornece recursos de leitura e gravação para esse tipo de permissão. Um exemplo é interface-control.

A Tabela 2 descreve as bandeiras de permissão e os privilégios de acesso associados.

Tabela 2: Bandeiras de permissão da classe de login
Bandeira de permissão	Descrição
`access`	Pode visualizar a configuração de acesso no modo operacional ou modo de configuração.
`access-control`	Pode exibir e configurar informações de acesso no nível de `[edit access]` hierarquia.
`admin`	Pode visualizar as informações da conta do usuário no modo operacional ou no modo de configuração.
`admin-control`	Pode visualizar as informações da conta do usuário e configurá-la no nível de `[edit system]` hierarquia.
`all`	Pode acessar todos os comandos de modo operacional e comandos de modo de configuração. Pode modificar a configuração em todos os níveis de hierarquia de configuração.
`clear`	Pode limpar (excluir) informações que o dispositivo aprende com a rede e armazena em vários bancos de dados de rede (usando os `clear` comandos).
`configure`	Pode entrar no modo de configuração (usando o `configure` comando) e comprometer configurações (usando o `commit` comando).
`control`	Pode realizar todas as operações de nível de controle — todas as operações configuradas com as bandeiras de `-control` permissão.
`field`	Pode ver comandos de depuração de campo. Reservado para suporte de depuração.
`firewall`	Pode visualizar a configuração do filtro de firewall no modo operacional ou modo de configuração.
`firewall-control`	Pode exibir e configurar informações de filtro de firewall no nível de `[edit firewall]` hierarquia.
`floppy`	Pode ler e escrever para a mídia removível.
`flow-tap`	Pode visualizar a configuração do flow-tap no modo operacional ou no modo de configuração.
`flow-tap-control`	Pode exibir e configurar informações de fluxo-tap no nível de `[edit services flow-tap]` hierarquia.
`flow-tap-operation`	Pode fazer solicitações de fluxo-tap para o roteador ou switch. Por exemplo, um cliente do Dynamic Tasking Control Protocol (DTCP) deve ter `flow-tap-operation` permissão para se autenticar no Junos OS Evolved como um usuário administrativo. Nota: A opção `flow-tap-operation` não está incluída na bandeira de `all-control` permissões.
`idp-profiler-operation`	Pode visualizar dados do profiler.
`interface`	Pode visualizar a configuração da interface no modo operacional e no modo de configuração.
`interface-control`	Pode visualizar chassi, classe de serviço (CoS), grupos, opções de encaminhamento e informações de configuração de interfaces. Pode modificar a configuração nos seguintes níveis de hierarquia: `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	Pode realizar a manutenção do sistema, incluindo iniciar um shell local no dispositivo e se tornar o superusuário na concha (usando o `su root` comando) e parar e reiniciar o dispositivo (usando os `request system` comandos).
`network`	Pode acessar a rede usando os `ping`, `ssh`, `telnet`e `traceroute` comandos.
`pgcp-session-mirroring`	Pode visualizar a configuração de espelhamento de `pgcp` sessão.
`pgcp-session-mirroring-control`	Pode modificar a configuração de `pgcp` espelhamento de sessão.
`reset`	Pode reiniciar processos de software usando o `restart` comando.
`rollback`	Pode usar o `rollback` comando para retornar a uma configuração previamente comprometida.
`routing`	Pode exibir informações gerais de roteamento, protocolo de roteamento e configuração de políticas de roteamento no modo de configuração e modo operacional.
`routing-control`	Pode visualizar e configurar o roteamento geral no nível de `[edit routing-options]` hierarquia, roteamento de protocolos no nível de `[edit protocols]` hierarquia e roteamento de informações de políticas no nível de `[edit policy-options]` hierarquia.
`secret`	Pode visualizar senhas e outras chaves de autenticação na configuração.
`secret-control`	Pode exibir e modificar senhas e outras chaves de autenticação na configuração.
`security`	Pode exibir informações de configuração de segurança no modo operacional e no modo de configuração.
`security-control`	Pode exibir e configurar informações de segurança no nível de `[edit security]` hierarquia.
`shell`	Pode iniciar um shell local no roteador ou switch usando o `start shell` comando.
`snmp`	Pode exibir informações de configuração do Simple Network Management Protocol (SNMP) no modo operacional ou modo de configuração.
`snmp-control`	Pode exibir e modificar informações de configuração de SNMP no nível de `[edit snmp]` hierarquia.
`system`	Pode visualizar informações de nível de sistema no modo operacional ou modo de configuração.
`system-control`	Pode exibir e modificar informações de configuração no nível do sistema no nível de `[edit system]` hierarquia.
`trace`	Pode exibir configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento.
`trace-control`	Pode modificar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento.
`view`	Pode usar vários comandos para exibir a tabela de roteamento em todo o sistema e valores e estatísticas específicos do protocolo. Não é possível visualizar a configuração secreta.
`view-configuration`	Pode ver toda a configuração, excluindo segredos, scripts de sistema e opções de eventos. Nota: Somente usuários com a `maintenance` permissão podem visualizar a configuração de script, script de operação ou script de eventos.

Negar ou permitir comandos individuais e hierarquias de declaração

Por padrão, todos os comandos e declarações de CLI de alto nível associaram níveis de privilégio de acesso. Os usuários só podem executar esses comandos e visualizar e configurar apenas aquelas declarações para as quais têm privilégios de acesso. Para cada classe de login, você pode negar explicitamente ou permitir aos usuários o uso de comandos de modo operacional e comandos de modo de configuração e hierarquias de declaração de configuração que de outra forma são permitidas ou negadas por um bit de permissão.

Exemplo: crie aulas de login com privilégios específicos

Você define aulas de login para atribuir certas permissões ou restrições a grupos de usuários, garantindo que comandos sensíveis só sejam acessíveis aos usuários apropriados. Por padrão, os dispositivos da Juniper Networks têm quatro tipos de aulas de login com permissões predefinidas: operador, somente leitura, superusuário ou superusuário e não autorizado.

Você pode criar aulas de login personalizadas para definir diferentes combinações de permissões que não são encontradas nas classes de login padrão. O exemplo a seguir mostra três aulas de login personalizadas, cada uma com privilégios específicos e temporizador de inatividade. Os temporizador de inatividade ajudam a proteger a segurança da rede desconectando um usuário da rede se o usuário estiver inativo por muito tempo. Desconectar o usuário evita riscos potenciais de segurança que resultam quando um usuário deixa uma conta autônoma conectada a um switch ou roteador. As permissões e os temporizador de inatividade mostrados aqui são apenas exemplos; você deve personalizar os valores para sua organização.

As três aulas de login e seus privilégios são os seguintes. Todas as três aulas de login usam o mesmo temporizador de inatividade de 5 minutos.

observation— Só é possível ver estatísticas e a configuração
operation— Pode visualizar e modificar a configuração
engineering— acesso e controle ilimitados