Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Funções administrativas

Junos OS permite que você defina um usuário do sistema para atuar como um tipo específico de administrador do sistema. Você pode designar uma função administrativa a um usuário configurando uma classe de login para ter os atributos da função administrativa. Você pode designar um dos atributos da função, como crypto-officer de auditoria, security-officer, ids-officer a um usuário administrativo.

Como projetar funções administrativas

Um usuário do sistema pode ser um membro de uma classe que permite que o usuário atue como um tipo específico de administrador para o sistema. Exigir uma função específica para exibir ou modificar um item restringe a extensão das informações que um usuário pode obter do sistema. Ele também limita o quanto do sistema está aberto a modificação ou observação por um usuário. Você (o administrador do sistema) deve usar as seguintes orientações ao projetar funções administrativas:

  • Não permita que nenhum usuário faça login no sistema como root .

  • Restrinja cada usuário ao menor conjunto de privilégios necessários para executar as funções do usuário.

  • Não permita que nenhum usuário faça parte de uma classe de login que contenha o shell sinal de permissão. O shell sinal de permissão permite que os usuários executem o comando a partir da start shell CLI.

  • Permita que os usuários tenham permissões de rebaixamento. As permissões de rebaixamento permitem que os usuários desfaçam uma ação executada por um administrador, mas não permitem que eles cometam as alterações.

Você pode designar uma função administrativa a um usuário configurando uma classe de login para ter os privilégios necessários para a função. Você pode configurar cada classe para permitir ou negar acesso a declarações de configuração e comandos por nome. Essas restrições sobrepõem e têm precedência sobre quaisquer bandeiras de permissão também configuradas na classe. Você pode atribuir um dos seguintes atributos de função a um usuário administrativo:

  • Crypto-administrator— Permite ao usuário configurar e monitorar dados criptográficos.

  • Security-administrator— Permite ao usuário configurar e monitorar dados de segurança.

  • Audit-administrator— Permite ao usuário configurar e monitorar dados de auditoria.

  • IDS-administrator— Permite ao usuário monitorar e limpar os logs de serviço de detecção de invasão (IDS) de segurança.

Cada função pode executar as seguintes funções de gerenciamento específicas:

  • Cryptographic Administrator

    • Configura o auto-teste criptográfico.

    • Modifica os parâmetros de dados de segurança criptográficos.

  • Audit Administrator

    • Configura e elimina o recurso de pesquisa e classificação de revisão de auditoria.

    • Pesquisa e classifica registros de auditoria.

    • Configura parâmetros de pesquisa e classificação.

    • Exclui manualmente os logs de auditoria.

  • Security Administrator

    • Invoca, determina e modifica o comportamento de auto-teste criptográfico.

    • Ativa, desativa, determina e modifica as funções de seleção de auditoria e análise de auditoria e configura o dispositivo para excluir automaticamente os logs de auditoria.

    • Ativa ou desativa os alarmes de segurança.

    • Especifica limites para cotas em conexões Camada de Transporte conexões.

    • Especifica os limites, os identificadores de rede e os períodos de tempo para cotas em recursos controlados orientados a conexão.

    • Especifica os endereços de rede autorizados a usar o Protocolo de Mensagem de Controle da Internet (ICMP) ou o Protocolo de Resolução de Endereços (ARP).

    • Configura a hora e a data usadas nos selos de tempo.

    • Consultas, modificações, exclusões e cria as regras e atributos de controle de acesso ou fluxo de informações para a política de função de segurança do fluxo de informações (SFP), a política de função de segurança do fluxo de informações autenticada, os serviços de dispositivo não autenticados e a política de controle de acesso discricionário.

    • Especifica valores iniciais que sobrepõem valores padrão quando informações de objeto são criadas sob SFP de fluxo de informações não autenticada, o SFP do fluxo de informações autenticados, o alvo não autenticado de serviços de avaliação (TOE) e a política de controle de acesso discricionário.

    • Cria, exclui ou modifica as regras que controlam o endereço a partir das quais sessões de gerenciamento podem ser estabelecidas.

    • Especifica e revoga atributos de segurança associados a usuários, sujeitos e objetos.

    • Especifica a porcentagem da capacidade de armazenamento da auditoria na qual o dispositivo alerta os administradores.

    • Lida com falhas de autenticação e modifica o número de tentativas de autenticação falhadas por meio de SSH ou da CLI que podem ocorrer antes que o estrangulamento progressivo seja imposto para mais tentativas de autenticação e antes da conexão ser lançada.

    • Gerencia a configuração básica de rede do dispositivo.

  • IDS Administrator— Especifica IDS segurança, alarmes de intrusão, seleções de auditoria e dados de auditoria.

Você deve definir o atributo da função de segurança nas classes criadas para essas funções administrativas. Esse atributo restringe quais usuários podem mostrar e limpar os logs de segurança, ações que não podem ser executadas apenas pela configuração.

Por exemplo, você deve definir o atributo da função de segurança na classe criada para IDS função de administrador se você quiser restringir IDS limpar e mostrar logs de IDS para a função ids-admin IDS administrador. Da mesma forma, você deve definir a função de segurança em um dos outros valores de administrador para restringir que essa classe seja capaz de limpar e mostrar logs não IDS somente.

Nota:

Quando um usuário exclui uma configuração existente, as declarações de configuração no nível de hierarquia da configuração excluído (os objetos-filho que o usuário não tem permissão para modificar) permanecem no dispositivo.

Exemplo: Como configurar funções administrativas

Este exemplo mostra como configurar funções administrativas individuais para um conjunto exclusivo de privilégios, além de todas as outras funções administrativas.

Requisitos

Nenhuma ação além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo ilustra como configurar quatro funções de usuário de administrador:

  • audit-officer da turma audit-admin

  • crypto-officer da turma crypto-admin

  • security-officer da turma security-admin

  • ids-officer da turma ids-admin

Quando uma security-admin classe está configurada, os privilégios para criar administradores são anulados do usuário que criou a security-admin classe. A criação de novos usuários e logins fica a critério do security-officer .

Neste exemplo, você cria as quatro funções administrativas de usuário mostradas na lista anterior (administrador de auditoria, administrador de criptografia, administrador de segurança e administrador de ids). Para cada função, você designa bandeiras de permissão relevantes para a função. Em seguida, você permite ou nega o acesso a declarações de configuração e comandos por nome de cada função administrativa. Essas restrições específicas têm precedência sobre os flags de permissão configurados na classe. Por exemplo, somente o comando pode ser executado, o que requer o sinal crypto-admin de permissão para request system set-encryption-keysecurity acessá-lo. Somente a security-admin declaração pode ser system time-zone incluida na configuração, o que requer o system-control sinal de permissão.

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e insira o modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar funções administrativas:

  1. Crie a classe audit-admin de login.

  2. Configure as audit-admin restrições de classe de login.

  3. Crie a classe crypto-admin de login.

  4. Configure as crypto-admin restrições de classe de login.

  5. Crie a classe security-admin de login.

  6. Configure as security-admin restrições de classe de login.

  7. Crie a classe ids-admin de login.

  8. Configure as ids-admin restrições de classe de login.

  9. Atribua os usuários às funções.

  10. Configure senhas para os usuários.

Resultados

No modo de configuração, confirme sua configuração ao entrar no show system comando. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Depois de configurar o dispositivo, insira commit o modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar as permissões de login

Propósito

Verificar as permissões de login do usuário atual.

Ação

No modo operacional, insira o comando para verificar as permissões de show cli authorization login do usuário.

Essa saída sintetiza as permissões de login.

Como configurar uma conta de administrador local

Privilégios de superusuário dão a um usuário permissão para usar qualquer comando no roteador e são geralmente reservados para alguns poucos usuários, como administradores de sistema. Você (o administrador do sistema) precisa proteger a conta do administrador local com uma senha para evitar que usuários não autorizados tenham acesso a comandos de superusuário. Esses comandos de superusuário podem ser usados para alterar a configuração do sistema. Usuários com RADIUS autenticação também devem configurar uma senha local. Se RADIUS falha ou se torna inalcançável, o processo de login passa para autenticação de senha na conta do administrador local.

O exemplo a seguir mostra como configurar uma conta de administração local protegida por senha chamada admin com privilégios de superusuário: