Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

class (Defining Login Classes)

Syntax

Hierarchy Level

Description

Defina uma classe de login. Todos os usuários que loginm no roteador ou switch devem estar em uma classe de login. Portanto, você deve definir uma classe de login do Junos OS para cada usuário ou tipo de usuário. Você pode definir qualquer número de classes de login, dependendo dos tipos de permissões de que os usuários precisam. Talvez você não precise definir classes de login; O Junos OS tem várias classes de login predefinidas, para atender a várias necessidades. Entretanto, as classes de login predefinidas não podem ser modificadas. Se você definir uma classe com o mesmo nome de uma classe predefinida, o Junos OS será anexado ao nome da classe de login e -local criará uma nova classe de login. Consulte Classes de login do sistema predefinidas para obter mais informações.

Options

nome de classe

Um nome que você escolhe para a classe de login.

access-end

Especifique o tempo final HH:MM no formato (24 horas), onde representam HH as horas e representam os MM minutos.

Nota:

Os tempos de início e fim de acesso que abrangem as 12h00, a partir de um dia especificado, resulta no usuário ter acesso até o dia seguinte, mesmo se o dia de acesso não estiver configurado explicitamente na allowed-days declaração.

início de acesso

Especifique o tempo de início no formato HH:MM (24 horas), onde representam HH as horas e representam os MM minutos.

Nota:

Os tempos de início e fim de acesso que abrangem as 12h00, a partir de um dia especificado, resulta no usuário ter acesso até o dia seguinte, mesmo se o dia de acesso não estiver configurado explicitamente na allowed-days declaração.

(allow-commands | allow-commands-regexps)

Especifique uma ou mais expressões regulares para permitir que os usuários desta classe emifiquem comandos do modo operacional. Você usa a ou a instrução para permitir explicitamente a autorização de comandos que seriam recusados pelos níveis de privilégios de acesso allow-commands para uma classe de allow-commands-regexps login.

Para a declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada entre allow-commands parênteses ( ). Não use espaços entre expressões regulares separadas por parênteses e conectadas ao símbolo | pipe.

Para a declaração, você configura um conjunto de strings nas quais cada string é uma expressão regular, fechada em citações duplas e separada allow-commands-regexps por um operador de espaço. Cada string é avaliada de acordo com o caminho completo do comando, que fornece correspondência mais rápida do que a allow-command declaração. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportados usando a allow-commands instrução.

A deny-commands ou a deny-commands-regexps instrução tem precedência se for usada na mesma definição de classe de login.

Nota:

As allow/deny-commands declarações e as declarações são allow/deny-commands-regexps mutuamente exclusivas e não podem ser configuradas juntas para uma classe de login. Em um determinado ponto do tempo, uma classe de login pode incluir as allow/deny-commands declarações ou as allow/deny-commands-regexps declarações. Se você tiver configurações existentes usando as declarações, usar as mesmas opções de configuração com as declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e de combinação diferem nas duas formas dessas allow/deny-commandsallow/deny-commands-regexps declarações.

As autorizações também podem ser configuradas remotamente especificando Juniper Networks atributos TACACS+ específicos do fornecedor na configuração do seu servidor de autenticação. Para um usuário remoto, quando os parâmetros de autorização estão configurados remotamente e localmente, os parâmetros de autorização configurados remotamente e localmente são considerados juntos para autorização. Para um usuário local, apenas os parâmetros de autorização configurados localmente para a classe são considerados.

  • Padrão: Caso você não configure autorizações para comandos do modo operacional usando as ou declarações, os usuários podem editar apenas os comandos para os quais tenham privilégios de acesso allow/deny-commandsallow/deny-commands-regexps definidos com a permissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna) definida em POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Insira o máximo de expressões necessárias.

(permitir a configuração | permitir configuração-regexps)

Especifique uma ou mais expressões regulares para permitir que os usuários desta classe acessem os níveis especificados na hierarquia de configuração, mesmo que as permissões definidas com a instrução não concedam permissions esse acesso.

Para a declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada entre allow-configuration parênteses ( ). Não use espaços entre expressões regulares separadas por parênteses e conectadas ao símbolo | pipe.

Para a declaração, você configura um conjunto de strings nas quais cada string é uma expressão regular, fechada em citações duplas e separada allow-configuration-regexps por um operador de espaço. Cada string é avaliada de acordo com o caminho completo do comando, que fornece correspondência mais rápida do que as allow/deny-configuration declarações. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportados usando as allow/deny-configuration declarações.

A deny-configuration ou deny-configuration-regexps instrução tem precedência se for usada na mesma definição de classe de login.

Nota:

As allow/deny-configuration declarações e as declarações são allow/deny-configuration-regexps mutuamente exclusivas e não podem ser configuradas juntas para uma classe de login. Em um determinado ponto do tempo, uma classe de login pode incluir as allow/deny-configuration declarações ou as allow/deny-configuration-regexps declarações. Se você tiver configurações existentes usando as declarações, usar as mesmas opções de configuração com as declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e de combinação diferem nas duas formas dessas allow/deny-configurationallow/deny-configuration-regexps declarações.

  • Padrão: Caso você omita a declaração e a declaração, os usuários podem editar apenas os comandos para os quais tenham privilégios allow-configuration/allow-configuration-regexps de acesso por meio da deny-configuration/deny-configuration-regexpspermissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna) definida em POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Insira o máximo de expressões necessárias.

permitir comandos ocultos

Permita que todos os comandos ocultos sejam executados. Se a instrução sem comandos ocultos for especificada no nível da hierarquia [do sistema de edição], sobrescreva essa restrição para essa classe de login. Comandos ocultos são comandos do Junos OS que não são publicados mas que podem ser executados em um roteador. Comandos ocultos servem a uma finalidade específica, mas, na maior parte, não se espera que sejam usados e, como tal, não são suportados ativamente. A instrução sem comandos ocultos no nível da hierarquia [do sistema de edição] permite bloquear todos os comandos ocultos para todos os usuários, exceto os usuários raiz.

  • Padrão: Comandos ocultos são ativados por padrão.

fontes de autorização [ endereços de origem ...]

Restrinja o acesso remoto de entrada a hosts específicos. Especifique um ou mais endereços de origem a partir dos quais o acesso é permitido. Os endereços de origem podem ser endereços IPv4 ou IPv6, comprimentos de prefixo ou nomes de host.

tempo de autorização [ tempos...]

Restrinja o acesso remoto a determinados momentos.

dias permitidos [ dias da semana ]

Especifique um ou mais dias da semana quando os usuários desta classe têm permissão para fazer login.

  • Valores:

    • de segunda a segunda-feira

    • terça-feira -Terça-feira

    • quarta-feira — quarta-feira

    • quinta-feira — quinta-feira

    • sexta-feira - sexta-feira

    • sábado a sábado

    • de domingo a domingo

Cli

Desempere o alerta de CLI especificado para a classe de login. Se um alerta de CLI também for definido no nível da hierarquia [editar usuário de login do sistema cli], o conjunto de solicitações para o usuário de login tem precedência sobre o conjunto de solicitações para a classe de login.

prontamente

Especifique a string pronta para exibição no prompt de CLI.

configuração -breadcrumbs

Ative a visualização de breadcrumbs de configuração na CLI para exibir o local na hierarquia de configuração. Para ver como habilitar essa visualização, consulte Enableing Configuration Breadcrumbs .

confirmar comandos

Especifique se a confirmação de comandos específicos é explicitamente necessária e, opcionalmente, especifique o texto da mensagem exibido no momento da confirmação. Você pode especificar os comandos usando uma lista de expressões ou comandos regulares.

  • Sintaxe: Mensagem

  • Padrão: Se você omitir essa opção, a confirmação dos comandos não é necessária. Caso a mensagem opcional não seja definida, a mensagem padrão "Deseja continuar?" é visualizada.

( deny-commands | deny-commands-regexps )

Especifique uma ou mais expressões regulares para negar explicitamente aos usuários desta classe a permissão de emitir comandos do modo operacional, mesmo que as permissões definidas com a instrução permitam permissions isso.

Para a declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada entre deny-commands parênteses ( ). Não use espaços entre expressões regulares separadas por parênteses e conectadas ao símbolo | pipe.

Para a declaração, você configura um conjunto de strings nas quais cada string é uma expressão regular, fechada em citações duplas e separada deny-commands-regexps por um operador de espaço. Cada string é avaliada de acordo com o caminho completo do comando, que fornece correspondência mais rápida do que as allow/deny-command declarações. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportados usando as allow/deny-commands declarações.

Expressões configuradas com a ou a instrução têm precedência sobre expressões configuradas com se as duas declarações são deny-commandsdeny-commands-regexps usadas allow-commands/allow-commands-regexps na mesma definição de classe de login.

Nota:

As allow/deny-commands declarações e as declarações são allow/deny-commands-regexps mutuamente exclusivas e não podem ser configuradas juntas para uma classe de login. Em um determinado ponto do tempo, uma classe de login pode incluir as allow/deny-commands declarações ou as allow/deny-commands-regexps declarações. Se você tiver configurações existentes usando as declarações, usar as mesmas opções de configuração com as declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e de combinação diferem nas duas formas dessas allow/deny-commandsallow/deny-commands-regexps declarações.

As autorizações também podem ser configuradas remotamente especificando Juniper Networks atributos TACACS+ específicos do fornecedor na configuração do seu servidor de autenticação. Para um usuário remoto, quando os parâmetros de autorização estão configurados remotamente e localmente, os parâmetros de autorização configurados remotamente e localmente são considerados juntos para autorização. Para um usuário local, apenas os parâmetros de autorização configurados localmente para a classe são considerados.

  • Padrão: Caso você não configure autorizações para comandos do modo operacional usando ou, os usuários poderão editar apenas os comandos para os quais tenham privilégios de acesso allow/deny-commandsallow/deny-commands-regexps definidos com a permissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna) definida em POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Insira o máximo de expressões necessárias.

(negação de configuração | deny-configuration-regexps)

Especifique uma ou mais expressões regulares para negar explicitamente aos usuários desta classe o acesso aos níveis especificados na hierarquia de configuração, mesmo que as permissões definidas com a instrução concedam permissions esse acesso. Observe que o usuário não pode exibir uma hierarquia específica se o acesso à configuração for negado por essa hierarquia.

Para a declaração, cada expressão separada por um símbolo de pipe (|) deve ser uma expressão autônoma completa, e deve ser fechada entre deny-configuration parênteses ( ). Não use espaços entre expressões regulares separadas por parênteses e conectadas ao símbolo | pipe.

Para a declaração, você configura um conjunto de strings nas quais cada string é uma expressão regular, fechada em citações duplas e separada deny-configuration-regexps por um operador de espaço. Cada string é avaliada de acordo com o caminho completo do comando, que fornece correspondência mais rápida do que as allow/deny-configuration declarações. Você também pode incluir valores para variáveis nas expressões regulares, que não são suportados usando as allow/deny-configuration declarações.

Expressões configuradas com precedência sobre expressões configuradas com se as duas declarações são deny-configuration/deny-configuration-regexpsallow-configuration/allow-configuration-regexps usadas na mesma definição de classe de login.

Nota:

As allow/deny-configuration declarações e as declarações são allow/deny-configuration-regexps mutuamente exclusivas e não podem ser configuradas juntas para uma classe de login. Em um determinado ponto do tempo, uma classe de login pode incluir as allow/deny-configuration declarações ou as allow/deny-configuration-regexps declarações. Se você tiver configurações existentes usando as declarações, usar as mesmas opções de configuração com as declarações pode não produzir os mesmos resultados, pois os métodos de pesquisa e de combinação diferem nas duas formas dessas allow/deny-configurationallow/deny-configuration-regexps declarações.

  • Padrão: Se você omitir a declaração e a declaração, os usuários poderão editar esses níveis na hierarquia de configuração para os quais tenham privilégios de deny-configuration/deny-configuration-regexps acesso por meio da allow-configuration/allow-configuration-regexpspermissions declaração.

  • Sintaxe: regular-expression— Expressão regular estendida (moderna) definida em POSIX 1003.2. Se a expressão regular contiver espaços, operadores ou caracteres de caracteres curinga, estendo-a entre aspas. Insira o máximo de expressões necessárias.

fontes de negação [endereços de origem]

Nunca permita o acesso remoto a partir desses hosts. Os endereços de origem podem ser endereços IPv4 ou IPv6, comprimentos de prefixo ou nomes de host.

tempos de negação [tempos]

Nunca permita o acesso remoto durante esses momentos.

tempo de inativo

Para uma classe de login, configure o tempo máximo em minutos em que uma sessão pode ficar inativa antes do horário de sessão sair e o usuário sair do dispositivo. Os tempos de sessão se esvaem após permanecerem no modo operacional CLI solicitam o tempo especificado.

Nota:

Depois que o usuário faz login em um dispositivo a partir de um alerta de shell, como csh, se o usuário iniciar outro programa a ser executado no primeiro plano da CLI, o controle de temporizador ocioso é impedido de ser computado. O cálculo do tempo inativo da sessão de CLI é reinicializado somente após a saída do processo de primeiro plano e o controle é devolvido ao pronto-aviso de shell. Quando ocorre a reinicialização do controle de tempo de inatividade, caso não ocorra interação do usuário no shell, o usuário é logorgado automaticamente após o tempo definido nesta instrução.

  • Padrão: Se você omitir essa declaração, um usuário nunca será obrigado a sair do sistema após períodos ociosos estendidos.

  • Sintaxe: minutes— Tempo máximo em minutos em que uma sessão pode ficar inativa antes de um usuário ser registrado.

  • Gama: Gama: De 0 a 4294967295 minutos

    Nota:

    O recurso de tempo de inativo é desabilitado se o valor de minutos for definido como 0.

alarmes de login

Exibe os alarmes do sistema quando um usuário admin com permissões faz login no dispositivo. Para obter mais informações sobre a configuração desta declaração, consulte Configurar os alarmes do sistema para aparecer automaticamente ao fazer o login.

script de login

Execute o script op especificado quando um usuário que pertence à classe faz login na CLI. O script precisa ser ativado na configuração.

sistema lógico

Atribua os usuários nesta classe de login a um sistema lógico. Se você especificar um sistema lógico, você não pode incluir a instrução de configuração de satélite na configuração desta classe de login.

login-tip

Exibir dicas de CLI ao fazer login.

  • Padrão: Caso essa declaração não seja configurada, as dicas de CLI não serão exibidas.

sem comandos ocultos

Negar todos os comandos ocultos, exceto os especificados, para usuários nesta classe de login. Cada comando indicado como exceção deve ser incluído entre aspas.

  • Padrão: Comandos ocultos são ativados por padrão.

  • Sintaxe: exceto ["comando 1" "comando 2"...]

no-scp-server

Desative as conexões SCP próximas para esta classe de login.

servidor sem sftp

Desative as conexões SFTP próximas para esta classe de login.

Permissões

Especifique privilégios de acesso de login para a classe de login.

  • Sintaxe: permissions— Um ou mais sinalizadores de permissão, que, juntos, especificam os privilégios de acesso da classe de login. As bandeiras de permissão não são acumuladas, portanto, para cada classe, você deve listar todas as bandeiras de permissão necessárias, incluindo a exibição de informações e o modo viewconfigure de configuração. Para obter uma lista de bandeiras de permissão, consulte Logon Class Permission Flags.

Satélite

Especifique o acesso Junos Fusion dispositivos de satélite para a classe de login. Todos os usuários atribuídos à classe de login são usuários de satélite. Se você incluir essa declaração, você não pode incluir a instrução de configuração do sistema lógico na configuração desta classe de login.

  • Valores:

    • all — Especifique todos os Junos Fusion satélite.

função de segurança

Especifique um ou mais critérios de segurança (ISO/IEC 15408) para a classe de login.

  • Valores:

    audit-administrator

    Especifique quais usuários são responsáveis pela revisão regular de dados de auditoria (TOE) específicos de metas de avaliação e exclusão da trilha de auditoria. Os administradores de auditoria também podem invocar o auto-teste não criptográfico.

    crypto-administrator

    Especifique quais usuários são responsáveis pela configuração e manutenção de elementos criptográficos relacionados ao estabelecimento de conexões seguras de e para os dados de auditoria do TOE.

    ids-administrator

    Especifique quais usuários podem serviço de detecção de invasão administradores (IDS) responsáveis por todas as atividades relacionadas ao gerenciamento de identidade e acesso dos funcionários da organização.

    security-administrator

    Especifique quais usuários são responsáveis por garantir a adoção da política de segurança da organização.

Inquilino

Atribua os usuários desta classe a um sistema de tenant. Sistemas de locatários são usados quando você precisa separar departamentos, organizações ou clientes, e cada um deles pode ser limitado a um roteador virtual. A principal diferença entre um sistema lógico e um sistema de tenant é que um sistema lógico aceita funcionalidades avançadas de roteamento usando várias instâncias de roteamento. Em comparação, um sistema de tenant tem suporte para apenas uma instância de roteamento, mas aceita a implantação de significativamente mais locatários por sistema.

Required Privilege Level

admin — Para exibir essa instrução na configuração.

controle de administrador — para adicionar essa instrução à configuração.

Release Information

As declarações e as declarações foram introduzidas antes da versão classallow-commandsdeny-commandsallow-configurationdeny-configurationidle-timeoutlogin-alarmslogin-tippermissions 7.4 do Junos OS.

Todas as declarações citadas anteriormente foram introduzidas na Versão 9.0 do Junos OS para a Série EX.

A login-script declaração foi introduzida na versão 9.5 do Junos OS.

As access-end declarações e as declarações foram access-startallowed-days introduzidas na versão 10.1 do Junos OS.

Todas as declarações citadas anteriormente foram introduzidas na Versão 11.1 do Junos OS para a Série QFX.

Todas as declarações citadas anteriormente foram introduzidas na Versão 11.2 do Junos OS para a Série SRX.

As allow-configuration-regexps declarações e as declarações foram deny-configuration-regexpssecurity-role introduzidas na versão 11.2 do Junos OS.

A configuration-breadcrumbs declaração foi introduzida na versão 12.2 do Junos OS.

Todas as declarações citadas anteriormente foram introduzidas na versão 14.1X53-D20 Junos OS para a Série OCX.

Todas as declarações citadas anteriormente foram introduzidas no Junos OS Release 15.1X49-D70 para dispositivos vSRX, SRX4100, SRX4200 e SRX1500.

Todas as declarações citadas anteriormente foram introduzidas na Versão 16.1 do Junos OS para a Série MX e a Série PTX.

As allow-hidden-commands declarações e as declarações foram confirm-commandsno-hidden-commandssatellite introduzidas na Versão 16.1 do Junos OS.

A cli declaração foi introduzida na versão 17.3 do Junos OS.

As allow-commands-regexps e declarações foram deny-commands-regexps introduzidas na Versão 18.1 do Junos OS.

A tenant declaração foi lançada no Junos OS 18.4.

As no-scp-server e declarações foram no-sftp-server introduzidas na Versão 19.2 do Junos OS.