Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

class (Defining Login Classes)

Syntax

Hierarchy Level

Description

Defina uma aula de login. Todos os usuários que fazem login no roteador ou switch devem estar em uma aula de login. Portanto, você deve definir uma aula de login do Junos OS para cada usuário ou tipo de usuário. Você pode definir qualquer número de aulas de login, dependendo dos tipos de permissões que os usuários precisam. Você pode não precisar definir nenhuma aula de login; O Junos OS tem várias aulas de login predefinidas para atender a uma variedade de necessidades. No entanto, as aulas de login predefinidas não podem ser modificadas. Se você definir uma classe com o mesmo nome de uma classe predefinida, o Junos OS aplica-se -local ao nome da classe de login e cria uma nova classe de login. Consulte as aulas de login do sistema predefinidos para obter mais informações.

Options

nome de classe

Um nome que você escolhe para a aula de login.

acesso final

Especifique o tempo final no HH:MM formato (24 horas), onde HH representa as horas e MM representa os minutos.

Nota:

Os horários de início e final de acesso que se estendem até às 12h, começando em um dia especificado, resultam em que o usuário tenha acesso até o dia seguinte, mesmo que o dia de acesso não esteja explicitamente configurado na allowed-days declaração.

início de acesso

Especifique o tempo de início no HH:MM formato (24 horas), onde HH representa as horas e MM representa os minutos.

Nota:

Os horários de início e final de acesso que se estendem até às 12h, começando em um dia especificado, resultam em que o usuário tenha acesso até o dia seguinte, mesmo que o dia de acesso não esteja explicitamente configurado na allowed-days declaração.

(permitir comandos | permitir comandos-regexps )

Especifique uma ou mais expressões regulares para permitir que os usuários desta classe emitissem comandos de modo operacional. Você usa a allow-commands declaração ou a allow-commands-regexps declaração para permitir explicitamente a autorização para comandos que de outra forma seriam negados pelos níveis de privilégio de acesso para uma aula de login.

Para aallow-commands declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada em parênteses ( ). Não use espaços entre expressões regulares separadas com parênteses e conectadas com o símbolo do pipe (|).

Para a allow-commands-regexps declaração, você configura um conjunto de strings em que cada string é uma expressão regular, fechada em cotações duplas e separada com um operador de espaço. Cada string é avaliado em relação ao caminho completo do comando, que fornece correspondência mais rápida do que a allow-command declaração. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportadas usando a allow-commands declaração.

A deny-commands declaração ou a deny-commands-regexps declaração tem precedência se ela for usada na mesma definição de classe de login.

Nota:

As allow/deny-commands declarações e allow/deny-commands-regexps declarações são mutuamente exclusivas e não podem ser configuradas em conjunto para uma aula de login. Em um determinado momento, uma aula de login pode incluir as allow/deny-commands declarações ou as allow/deny-commands-regexps declarações. Se você tiver configurações existentes usando as allow/deny-commands declarações, usar as mesmas opções de configuração com as allow/deny-commands-regexps declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e correspondência diferem nas duas formas dessas declarações.

As autorizações também podem ser configuradas remotamente especificando atributos TACACS+ específicos do fornecedor da Juniper Networks na configuração do servidor de autenticação. Para um usuário remoto, quando os parâmetros de autorização são configurados remotamente e localmente, parâmetros de autorização configurados remotamente e localmente são considerados juntos para autorização. Para um usuário local, apenas os parâmetros de autorização configurados localmente para a classe são considerados.

  • Padrão: Se você não configurar autorizações para comandos de modo operacional usando as declarações ou allow/deny-commands-regexps declaraçõesallow/deny-commands, os usuários podem editar apenas os comandos para os quais eles têm privilégios de acesso definidos com a permissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna), conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de wildcard, inclua-a entre aspas. Insira quantas expressões for necessária.

( permitir configuração | permitir a configuração-regexps )

Especifique uma ou mais expressões regulares para permitir explicitamente que os usuários desta classe acessem os níveis especificados na hierarquia de configuração, mesmo que as permissões definidas com a permissions declaração não concedam esse acesso.

Para aallow-configuration declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada em parênteses ( ). Não use espaços entre expressões regulares separadas com parênteses e conectadas com o símbolo do pipe (|).

Para a allow-configuration-regexps declaração, você configura um conjunto de strings em que cada string é uma expressão regular, fechada em cotações duplas e separada com um operador de espaço. Cada string é avaliado em relação ao caminho completo do comando, que fornece correspondência mais rápida do que as allow/deny-configuration declarações. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportadas usando as allow/deny-configuration declarações.

A deny-configuration declaração ou deny-configuration-regexps declaração tem precedência se ela for usada na mesma definição de classe de login.

Nota:

As allow/deny-configuration declarações e allow/deny-configuration-regexps declarações são mutuamente exclusivas e não podem ser configuradas em conjunto para uma aula de login. Em um determinado momento, uma aula de login pode incluir as allow/deny-configuration declarações ou as allow/deny-configuration-regexps declarações. Se você tiver configurações existentes usando as allow/deny-configuration declarações, usar as mesmas opções de configuração com as allow/deny-configuration-regexps declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e correspondência diferem nas duas formas dessas declarações.

  • Padrão: Se você omitir a allow-configuration/allow-configuration-regexps declaração e a deny-configuration/deny-configuration-regexps declaração, os usuários podem editar apenas os comandos para os quais têm privilégios de acesso por meio da permissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna), conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de wildcard, inclua-a entre aspas. Insira quantas expressões for necessária.

permitir comandos ocultos

Permita que todos os comandos ocultos sejam executados. Se a declaração sem comandos ocultos for especificada no nível de hierarquia [do sistema de edição], substitua essa restrição para esta classe de login. Comandos ocultos são comandos Junos OS que não são publicados, mas podem ser executados em um roteador. Comandos ocultos atendem a uma finalidade específica, mas, na maior parte do tempo, não são esperados para serem usados e, como tal, não são suportados ativamente. A declaração de não-comandos ocultos no nível de hierarquia [do sistema de edição] permite que você bloqueie todos os comandos ocultos para todos os usuários, exceto os usuários raiz.

  • Padrão: Os comandos ocultos são habilitados por padrão.

de origem [ endereços-origem...]

Restrinja o acesso remoto recebido apenas a hosts específicos. Especifique um ou mais endereços de origem dos quais o acesso é permitido. Os endereços de origem podem ser endereços IPv4 ou IPv6, comprimentos de prefixo ou nomes de host.

tempo de permitir [ tempos...]

Restrinja o acesso remoto a determinados momentos.

dias permitidos [ dias da semana ]

Especifique um ou mais dias da semana em que os usuários desta classe podem fazer login.

  • Valores:

    • segunda-feira — segunda-feira

    • terça-feira — terça-feira

    • quarta-feira — quarta-feira

    • quinta-feira — quinta-feira

    • sexta-feira — sexta-feira

    • sábado — sábado

    • domingo — domingo

Cli

Defina o alerta de CLI especificado para a aula de login. Se um prompt de CLI também for definido no nível de hierarquia [editar o login do sistema], o conjunto de solicitações para o usuário de login tem precedência sobre o conjunto imediato para a classe de login.

prompt prompt

Especifique a seqüência imediata que você deseja ver exibida no prompt CLI.

breadcrumbs de configuração

Habilite a visualização de breadcrumbs de configuração no CLI para exibir a localização na hierarquia de configuração. Para um exemplo de como habilitar essa visualização, veja a ativação de breadcrumbs de configuração .

confirmar comandos

Especifique que a confirmação de comandos específicos é explicitamente necessária e, opcionalmente, especifique a redação da mensagem exibida no momento da confirmação. Você pode especificar os comandos usando uma lista de expressões ou comandos regulares.

  • Sintaxe: Mensagem

  • Padrão: Se você omitir essa opção, a confirmação dos comandos não é necessária. Se a mensagem opcional não for definida, a mensagem padrão "Você quer continuar?" será exibida.

(negar comandos | negar comandos-regexps )

Especifique uma ou mais expressões regulares para negar explicitamente aos usuários nesta classe permissão para emitir comandos de modo operacional, embora as permissões definidas com a declaração a permissions permitam.

Para a deny-commands declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada em parênteses ( ). Não use espaços entre expressões regulares separadas com parênteses e conectadas com o símbolo do pipe (|).

Para a deny-commands-regexps declaração, você configura um conjunto de strings em que cada string é uma expressão regular, fechada em cotações duplas e separada com um operador de espaço. Cada string é avaliado em relação ao caminho completo do comando, que fornece correspondência mais rápida do que as allow/deny-command declarações. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportadas usando as allow/deny-commands declarações.

Expressões configuradas com a deny-commands ou a deny-commands-regexps declaração têm precedência sobre expressões configuradas com allow-commands/allow-commands-regexps se as duas declarações forem usadas na mesma definição de classe de login.

Nota:

As allow/deny-commands declarações e allow/deny-commands-regexps declarações são mutuamente exclusivas e não podem ser configuradas em conjunto para uma aula de login. Em um determinado momento, uma aula de login pode incluir as allow/deny-commands declarações ou as allow/deny-commands-regexps declarações. Se você tiver configurações existentes usando as allow/deny-commands declarações, usar as mesmas opções de configuração com as allow/deny-commands-regexps declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e correspondência diferem nas duas formas dessas declarações.

As autorizações também podem ser configuradas remotamente especificando atributos TACACS+ específicos do fornecedor da Juniper Networks na configuração do servidor de autenticação. Para um usuário remoto, quando os parâmetros de autorização são configurados remotamente e localmente, parâmetros de autorização configurados remotamente e localmente são considerados juntos para autorização. Para um usuário local, apenas os parâmetros de autorização configurados localmente para a classe são considerados.

  • Padrão: Se você não configurar autorizações para comandos de modo operacional usando allow/deny-commands ou allow/deny-commands-regexps, os usuários podem editar apenas os comandos para os quais eles têm privilégios de acesso definidos com a permissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna), conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de wildcard, inclua-a entre aspas. Insira quantas expressões for necessária.

( negar configuração | negar-configuração-regexps )

Especifique uma ou mais expressões regulares para negar explicitamente aos usuários nesta classe o acesso aos níveis especificados na hierarquia de configuração, mesmo que as permissões definidas com a permissions declaração concedam tal acesso. Observe que o usuário não pode visualizar uma hierarquia específica se o acesso de configuração for negado para essa hierarquia.

Para a deny-configuration declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada em parênteses ( ). Não use espaços entre expressões regulares separadas com parênteses e conectadas com o símbolo do pipe (|).

Para a deny-configuration-regexps declaração, você configura um conjunto de strings em que cada string é uma expressão regular, fechada em cotações duplas e separada com um operador de espaço. Cada string é avaliado em relação ao caminho completo do comando, que fornece correspondência mais rápida do que as allow/deny-configuration declarações. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportadas usando as allow/deny-configuration declarações.

Expressões configuradas com deny-configuration/deny-configuration-regexps precedência sobre expressões configuradas com allow-configuration/allow-configuration-regexps se as duas declarações forem usadas na mesma definição de classe de login.

Nota:

As allow/deny-configuration declarações e allow/deny-configuration-regexps declarações são mutuamente exclusivas e não podem ser configuradas em conjunto para uma aula de login. Em um determinado momento, uma aula de login pode incluir as allow/deny-configuration declarações ou as allow/deny-configuration-regexps declarações. Se você tiver configurações existentes usando as allow/deny-configuration declarações, usar as mesmas opções de configuração com as allow/deny-configuration-regexps declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e correspondência diferem nas duas formas dessas declarações.

  • Padrão: Se você omitir a deny-configuration/deny-configuration-regexps declaração e a allow-configuration/allow-configuration-regexps declaração, os usuários podem editar esses níveis na hierarquia de configuração para os quais eles têm privilégios de acesso por meio da permissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna), conforme definido no POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de wildcard, inclua-a entre aspas. Insira quantas expressões for necessária.

negar fontes [endereços de origem]

Nunca permita o acesso remoto desses hosts. Os endereços de origem podem ser endereços IPv4 ou IPv6, comprimentos de prefixo ou nomes de host.

negar tempos [tempos]

Nunca permita acesso remoto durante esses momentos.

tempo limite ocioso

Para uma aula de login, configure o tempo máximo em minutos em que uma sessão pode ficar ociosa antes do intervalo da sessão e o usuário está logado para fora do dispositivo. O tempo de sessão termina após permanecer no alerta de modo operacional CLI pelo tempo especificado.

Nota:

Após o usuário fazer login em um dispositivo a partir de um prompt de shell, como o csh, se o usuário iniciar outro programa a ser executado em primeiro plano da CLI, o controle do temporizador ocioso é impedido de ser computado. O cálculo do tempo ocioso da sessão de CLI é reiniciado somente após as saídas do processo em primeiro plano e o controle é devolvido ao alerta de shell. Quando ocorre a reinicialização do controle de temporização ociosa, se não houver interação do usuário na concha, o usuário será automaticamente logado após o tempo definido nesta declaração.

  • Padrão: Se você omitir esta declaração, um usuário nunca será forçado a sair do sistema após tempos ociosos prolongados.

  • Sintaxe: minutes— Tempo máximo em minutos em que uma sessão pode ficar ociosa antes que um usuário seja logado.

  • Gama: Gama: 0 a 4294967295 minutos

    Nota:

    O recurso de tempo de inatividade é desativado se o valor dos minutos for definido para 0.

alarmes de login

Exibir alarmes do sistema quando um usuário com admin permissões faz login no dispositivo. Para obter mais informações sobre a configuração desta declaração, consulte a configuração de alarmes do sistema para aparecer automaticamente após o login.

script de login

Execute o script de operação especificado quando um usuário pertencente à classe fizer login na CLI. O script deve ser habilitado na configuração.

sistema lógico

Atribua os usuários nesta aula de login a um sistema lógico. Se você especificar um sistema lógico, você não pode incluir a declaração de configuração de satélite na configuração para esta classe de login.

dica de login

Exibir dicas de CLI ao fazer login.

  • Padrão: Se essa declaração não estiver configurada, as dicas de CLI não forem exibidas.

sem comandos ocultos

Negue todos os comandos ocultos, exceto os especificados, para usuários nesta aula de login. Cada comando listado como exceção deve ser incluído entre aspas.

  • Padrão: Os comandos ocultos são habilitados por padrão.

  • Sintaxe: exceto ["comando 1" "comando 2"...]

no-scp-server

Desativar as próximas conexões SCP para esta aula de login.

servidor sem sftp

Desativar as próximas conexões SFTP para esta aula de login.

Permissões

Especifique os privilégios de acesso para a aula de login.

  • Sintaxe: permissions— Uma ou mais bandeiras de permissão, que juntas especificam os privilégios de acesso para a aula de login. As bandeiras de permissão não são cumulativas, portanto, para cada classe, você deve listar todas as bandeiras de permissão necessárias, inclusive view para exibir informações e configure entrar no modo de configuração. Para obter uma lista de bandeiras de permissão, consulte As Bandeiras de Permissão da Classe de Login.

Satélite

Especifique o acesso aos dispositivos de satélite Junos Fusion para a aula de login. Todos os usuários atribuídos à aula de login são usuários de satélite. Se você incluir esta declaração, você não pode incluir a declaração de configuração do sistema lógico na configuração desta classe de login.

  • Valores:

    • todos — especifique todos os dispositivos de satélite Junos Fusion.

função de segurança

Especifique uma ou mais funções de segurança de critérios comuns (ISO/IEC 15408) para a classe de login.

  • Valores:

    audit-administrator

    Especifique quais usuários são responsáveis pela revisão regular de dados específicos de avaliação (TOE) e exclusão de trilha de auditoria. Os administradores de auditoria também podem recorrer ao auto-teste não criptográfico.

    crypto-administrator

    Especifique quais usuários são responsáveis pela configuração e manutenção de elementos criptográficos relacionados ao estabelecimento de conexões seguras de e para os dados de auditoria TOE.

    ids-administrator

    Especifique quais usuários podem atuar como administradores do serviço de detecção de intrusões (IDS), responsáveis por todas as atividades relacionadas ao gerenciamento de identidade e acesso dos funcionários da organização.

    security-administrator

    Especifique quais usuários são responsáveis por garantir que a política de segurança da organização esteja em vigor.

Inquilino

Atribua os usuários desta classe a um sistema de locatários. Os sistemas de locatários são usados quando você precisa separar departamentos, organizações ou clientes e cada um deles pode ser limitado a um roteador virtual. A principal diferença entre um sistema lógico e um sistema de locatários é que um sistema lógico oferece suporte a funcionalidades avançadas de roteamento usando várias instâncias de roteamento. Em comparação, um sistema de locatários oferece suporte a apenas uma instância de roteamento, mas oferece suporte à implantação de mais locatários por sistema.

Required Privilege Level

administrador — Para visualizar essa declaração na configuração.

controle de administração — para adicionar essa declaração à configuração.

Release Information

As class, allow-commands, deny-commands, allow-configuration, deny-configuration, idle-timeout, login-alarmslogin-tipe permissions declarações foram introduzidas antes do Junos OS Release 7.4.

Todas as declarações anteriormente mencionadas foram introduzidas no Junos OS Release 9.0 para a Série EX.

A login-script declaração foi introduzida no Junos OS Release 9.5.

access-startallowed-days E as access-enddeclarações foram introduzidas no Junos OS Release 10.1.

Todas as declarações anteriormente mencionadas foram introduzidas no Junos OS Release 11.1 para a Série QFX.

Todas as declarações anteriormente mencionadas foram introduzidas no Junos OS Release 11.2 para a Série SRX.

deny-configuration-regexpssecurity-role E as allow-configuration-regexpsdeclarações foram introduzidas no Junos OS Release 11.2.

A configuration-breadcrumbs declaração foi introduzida no Junos OS Release 12.2.

Todas as declarações anteriormente mencionadas foram introduzidas no Junos OS Release 14.1X53-D20 para a Série OCX.

Todas as declarações anteriormente mencionadas foram introduzidas nos dispositivos Junos OS Release 15.1X49-D70 para dispositivos vSRX, SRX4100, SRX4200 e SRX1500.

Todas as declarações anteriormente mencionadas foram introduzidas no Junos OS Release 16.1 para as Séries MX e PTX.

As allow-hidden-commands, confirm-commandse no-hidden-commandssatellite declarações foram introduzidas no Junos OS Release 16.1.

A cli declaração foi introduzida no Junos OS Release 17.3.

deny-commands-regexps E as allow-commands-regexps declarações foram introduzidas no Junos OS Release 18.1.

A tenant declaração foi introduzida no Junos OS 18.4.

no-sftp-server E as no-scp-server declarações foram introduzidas no Junos OS Release 19.2.