Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral das aulas de login

Junos OS as aulas de login definem os privilégios de acesso, as permissões para o uso de comandos e declarações da CLI e o tempo de sessão ocioso para os usuários designados para essa aula. Você (o administrador do sistema) pode aplicar uma aula de login a uma conta de usuário individual, atribuindo assim certos privilégios e permissões ao usuário.

Visão geral das aulas de login

Todos os usuários que podem fazer login em um dispositivo em execução Junos OS devem estar em uma aula de login. Cada aula de login define o seguinte:

  • Acesso a privilégios que os usuários têm quando fazem login no dispositivo de rede

  • Comandos que os usuários podem e não podem executar

  • Declarações de configuração que os usuários podem e não podem visualizar ou modificar

  • O tempo em que uma sessão de login pode ficar ociosa antes que o sistema desconecte o usuário

Você pode definir qualquer número de aulas de login. No entanto, você atribui apenas uma classe de login a uma conta de usuário individual.

Junos OS inclui aulas de login predefinidas, que estão listadas em Tabela 1. Você não pode modificar as aulas de login predefinidas.

Tabela 1: Aulas de login de sistema predefinidas

Aula de login

Conjunto de bandeiras de permissão

operator

clara, rede, reset, rastreamento e visualização

read-only

vista

superuser ou super-user

todo

unauthorized

Nenhum

Nota:
  • Você não pode modificar um nome de classe de login predefinido. Se você emitir o set comando em um nome de classe predefinido, o dispositivo aplica-se -local ao nome da classe de login e emite o seguinte aviso:

  • Você não pode emitir o rename ou o copy comando em uma aula de login predefinida. Isso resulta na seguinte mensagem de erro:

Bits de permissão

Cada comando CLI de alto nível e cada declaração de configuração tem um nível de privilégio de acesso associado a ele. Os usuários só podem executar esses comandos e configurar e visualizar apenas aquelas declarações para as quais eles têm privilégios de acesso. Cada classe de login define um ou mais bits de permissão que determinam os privilégios de acesso.

Dois formulários para as permissões controlam se um usuário pode visualizar ou modificar as partes individuais da configuração:

  • Formulário "simples" — fornece recursos somente de leitura para esse tipo de permissão. Um exemplo é interface.

  • -control formulário — fornece recursos de leitura e gravação para esse tipo de permissão. Um exemplo é interface-control.

Tabela 2 descreve as bandeiras de permissão e privilégios de acesso associados.

Tabela 2: Bandeiras de permissão de classe de login

Bandeira de permissão

Descrição

access

Pode visualizar a configuração de acesso no modo operacional ou modo de configuração.

access-control

Pode visualizar e configurar informações de acesso no nível de [edit access] hierarquia.

admin

Pode visualizar as informações da conta do usuário no modo operacional ou modo de configuração.

admin-control

Pode visualizar as informações da conta do usuário e configurá-la no nível de [edit system] hierarquia.

all

Pode acessar todos os comandos de modo operacional e comandos de modo de configuração. Pode modificar a configuração em todos os níveis de hierarquia de configuração.

clear

Pode limpar (deletar) informações que o dispositivo aprende com a rede e armazena em vários bancos de dados de rede (usando os clear comandos).

configure

Pode entrar no modo de configuração (usando o configure comando) e confirmar configurações (usando o commit comando).

control

Pode realizar todas as operações de nível de controle — todas as operações configuradas com as bandeiras de -control permissão.

field

Pode visualizar comandos de depuração de campo. Reservado para suporte de depuração.

firewall

Pode visualizar a configuração do filtro de firewall no modo operacional ou modo de configuração.

firewall-control

Pode visualizar e configurar informações de filtro de firewall no nível de [edit firewall] hierarquia.

floppy

Pode ler e escrever para a mídia removível.

flow-tap

Pode visualizar a configuração da torneira de fluxo no modo operacional ou modo de configuração.

flow-tap-control

Pode visualizar e configurar informações de fluxo-tap no nível de [edit services flow-tap] hierarquia.

flow-tap-operation

Pode fazer solicitações de flow-tap para o roteador ou switch. Por exemplo, um cliente do Dynamic Tasking Control Protocol (DTCP) deve ter flow-tap-operation permissão para se Junos OS autenticar como um usuário administrativo.

Nota:

A opção flow-tap-operation não está incluída na bandeira de all-control permissões.

idp-profiler-operation

Pode visualizar dados do profiler.

interface

É possível visualizar a configuração da interface no modo operacional e no modo de configuração.

interface-control

Pode visualizar chassis, classe de serviço (CoS), grupos, opções de encaminhamento e informações de configuração de interfaces. Pode modificar a configuração nos seguintes níveis de hierarquia:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

Pode realizar a manutenção do sistema, incluindo iniciar uma concha local no dispositivo e se tornar o superusuário na concha (usando o su root comando) e parar e reiniciar o dispositivo (usando os request system comandos).

network

Pode acessar a rede usando os pingcomandos sshtelnete traceroute os comandos.

pgcp-session-mirroring

Pode visualizar a configuração de espelhamento de pgcp sessão.

pgcp-session-mirroring-control

Pode modificar a configuração de pgcp espelhamento de sessão.

reset

Pode reiniciar processos de software usando o restart comando.

rollback

Pode usar o rollback comando para retornar a uma configuração previamente comprometida.

routing

É possível visualizar informações gerais de roteamento, protocolo de roteamento e configuração de políticas de roteamento no modo de configuração e modo operacional.

routing-control

Pode visualizar e configurar o roteamento geral no nível de [edit routing-options] hierarquia, protocolos de roteamento no nível de [edit protocols] hierarquia e roteamento de informações de políticas no nível hierárquicos [edit policy-options] .

secret

Pode visualizar senhas e outras chaves de autenticação na configuração.

secret-control

Pode visualizar e modificar senhas e outras chaves de autenticação na configuração.

security

É possível visualizar as informações de configuração de segurança no modo operacional e no modo de configuração.

security-control

Pode visualizar e configurar informações de segurança no nível de [edit security] hierarquia.

shell

Pode iniciar uma concha local no roteador ou switch usando o start shell comando.

snmp

É possível visualizar informações de configuração do Simple Network Management Protocol (SNMP) no modo operacional ou modo de configuração.

snmp-control

Pode visualizar e modificar as informações de configuração de SNMP no nível de [edit snmp] hierarquia.

Pode visualizar as informações de configuração de armazenamento do Fiber Channel no nível de [edit fc-fabrics] hierarquia.

Pode modificar as informações de configuração de armazenamento do Fiber Channel no nível hierárquico [edit fc-fabrics] .

system

Pode visualizar informações de nível de sistema no modo operacional ou modo de configuração.

system-control

Pode visualizar e modificar informações de configuração no nível do sistema no nível de [edit system] hierarquia.

trace

Pode visualizar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento.

trace-control

Pode modificar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento.

Pode visualizar a configuração de borda unificada na [edit unified-edge] hierarquia.

Pode modificar a configuração unificada relacionada à borda na [edit unified-edge] hierarquia.

view

Pode usar vários comandos para exibir a tabela de roteamento em todo o sistema e valores e estatísticas específicos do protocolo. Não é possível visualizar a configuração secreta.

view-configuration

Pode visualizar toda a configuração, sem segredos, scripts de sistema e opções de eventos.

Nota:

Somente usuários com permissão maintenance podem visualizar scripts de confirmação, script de operações ou configuração de script de eventos.

Negar ou permitir comandos individuais e hierarquias de declaração

Por padrão, todos os comandos e declarações de CLI de alto nível associaram níveis de privilégio de acesso. Os usuários só podem executar esses comandos e visualizar e configurar apenas aquelas declarações para as quais eles têm privilégios de acesso. Para cada aula de login, você pode negar explicitamente ou permitir aos usuários o uso de comandos de modo operacional e comandos de modo de configuração e hierarquias de declaração de configuração que são permitidas ou negadas por um bit de permissão.

Exemplo: Crie aulas de login com privilégios específicos

Você define aulas de login para atribuir determinadas permissões ou restrições a grupos de usuários, garantindo que comandos sensíveis só sejam acessíveis aos usuários apropriados. Por padrão, os dispositivos da Juniper Networks têm quatro tipos de aulas de login com permissões predefinidas: operador, somente leitura, superusuário ou superusuário, e não autorizado.

Você pode criar aulas de login personalizadas para definir diferentes combinações de permissões que não são encontradas nas aulas de login padrão. O exemplo a seguir mostra três aulas de login personalizadas, cada uma com privilégios específicos e temporizantes de inatividade. Os temporizantes de inatividade ajudam a proteger a segurança da rede desconectando um usuário da rede se o usuário estiver inativo por muito tempo. A desconexão do usuário evita riscos potenciais de segurança que resultam quando um usuário deixa uma conta autônoma conectada a um switch ou roteador. As permissões e os temporizantes de inatividade mostrados aqui são apenas exemplos; você deve personalizar os valores para a sua organização.

As três aulas de login e seus privilégios são os seguintes. Todas as três aulas de login usam o mesmo temporizador de inatividade de 5 minutos.

  • observation— Só é possível visualizar estatísticas e a configuração
  • operation— Pode visualizar e modificar a configuração
  • engineering— Acesso e controle ilimitados

Entenda os privilégios exatos de acesso a partidas para aulas de login

Os privilégios exatos de acesso à correspondência permitem ou negam explicitamente strings de configuração exatos para definir regras de controle de acesso para aulas de login. A partir do Junos OS e junos OS Evolved Release 23.4R1, você pode usar as declarações e deny-configuration-exact-match configuração allow-configuration-exact-match para controlar privilégios exatos de acesso de correspondência.

Benefícios

  • Restrinja a exclusão de hierarquias de configuração de nível superior ao mesmo tempo em que permite a exclusão de sub-hierarquias específicas. Isso oferece suporte a uma autorização de comando mais direcionada.

  • Garanta que set os comandos permaneçam permitidos em uma hierarquia, mesmo que a exclusão seja negada. Essa separação de autorização permite set controles delete de acesso mais flexíveis.

  • Permitir ou negar strings de comando de configuração precisas, além de expressões regulares. Isso oferece suporte à configuração de regras de acesso altamente específicas quando necessário.

  • Aproveite regras avançadas de autorização de servidores TACACS+ externos, além de regras locais. Isso facilita o gerenciamento centralizado de políticas.

Você pode configurar privilégios exatos de acesso de correspondência com as allow-configuration-exact-match declarações de configuração e deny-configuration-exact-match no nível de [edit system login class name] hierarquia. Use strings hierárquicos a partir de um dos seguintes operadores:

  • set
  • delete
  • active
  • deactivate

Personagens curingas também são suportados. Por exemplo, a deny-configuration-exact-match delete interfaces* declaração usa o caractere curinga * para especificar todas as interfaces.

Se delete ou deactivate for negado para uma determinada hierarquia de configuração, então set ou activate comandos ainda podem ser permitidos usando allow-configuration-exact-match. Se você configurar ambos allow-configuration-exact-match e deny-configuration-exact-match com a mesma operadora e configuração, o acesso de configuração será negado.

As novas regras exatas de correspondência podem ser configuradas localmente ou em servidores TACACS+ externos.