Visão geral das aulas de login
Junos OS as aulas de login definem os privilégios de acesso, as permissões para o uso de comandos e declarações da CLI e o tempo de sessão ocioso para os usuários designados para essa aula. Você (o administrador do sistema) pode aplicar uma aula de login a uma conta de usuário individual, atribuindo assim certos privilégios e permissões ao usuário.
Visão geral das aulas de login
Todos os usuários que podem fazer login em um dispositivo em execução Junos OS devem estar em uma aula de login. Cada aula de login define o seguinte:
-
Acesso a privilégios que os usuários têm quando fazem login no dispositivo de rede
-
Comandos que os usuários podem e não podem executar
-
Declarações de configuração que os usuários podem e não podem visualizar ou modificar
-
O tempo em que uma sessão de login pode ficar ociosa antes que o sistema desconecte o usuário
Você pode definir qualquer número de aulas de login. No entanto, você atribui apenas uma classe de login a uma conta de usuário individual.
Junos OS inclui aulas de login predefinidas, que estão listadas em Tabela 1. Você não pode modificar as aulas de login predefinidas.
Aula de login |
Conjunto de bandeiras de permissão |
---|---|
|
clara, rede, reset, rastreamento e visualização |
|
vista |
|
todo |
|
Nenhum |
Você não pode modificar um nome de classe de login predefinido. Se você emitir o
set
comando em um nome de classe predefinido, o dispositivo aplica-se-local
ao nome da classe de login e emite o seguinte aviso:warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
Você não pode emitir o
rename
ou ocopy
comando em uma aula de login predefinida. Isso resulta na seguinte mensagem de erro:error: target '<class-name>' is a predefined class
Bits de permissão
Cada comando CLI de alto nível e cada declaração de configuração tem um nível de privilégio de acesso associado a ele. Os usuários só podem executar esses comandos e configurar e visualizar apenas aquelas declarações para as quais eles têm privilégios de acesso. Cada classe de login define um ou mais bits de permissão que determinam os privilégios de acesso.
Dois formulários para as permissões controlam se um usuário pode visualizar ou modificar as partes individuais da configuração:
-
Formulário "simples" — fornece recursos somente de leitura para esse tipo de permissão. Um exemplo é
interface
. -
-control
formulário — fornece recursos de leitura e gravação para esse tipo de permissão. Um exemplo éinterface-control
.
Tabela 2 descreve as bandeiras de permissão e privilégios de acesso associados.
Bandeira de permissão |
Descrição |
---|---|
Pode visualizar a configuração de acesso no modo operacional ou modo de configuração. |
|
Pode visualizar e configurar informações de acesso no nível de |
|
Pode visualizar as informações da conta do usuário no modo operacional ou modo de configuração. |
|
Pode visualizar as informações da conta do usuário e configurá-la no nível de |
|
Pode acessar todos os comandos de modo operacional e comandos de modo de configuração. Pode modificar a configuração em todos os níveis de hierarquia de configuração. |
|
Pode limpar (deletar) informações que o dispositivo aprende com a rede e armazena em vários bancos de dados de rede (usando os |
|
Pode entrar no modo de configuração (usando o |
|
Pode realizar todas as operações de nível de controle — todas as operações configuradas com as bandeiras de |
|
Pode visualizar comandos de depuração de campo. Reservado para suporte de depuração. |
|
Pode visualizar a configuração do filtro de firewall no modo operacional ou modo de configuração. |
|
Pode visualizar e configurar informações de filtro de firewall no nível de |
|
Pode ler e escrever para a mídia removível. |
|
Pode visualizar a configuração da torneira de fluxo no modo operacional ou modo de configuração. |
|
Pode visualizar e configurar informações de fluxo-tap no nível de |
|
Pode fazer solicitações de flow-tap para o roteador ou switch. Por exemplo, um cliente do Dynamic Tasking Control Protocol (DTCP) deve ter Nota:
A opção |
|
Pode visualizar dados do profiler. |
|
É possível visualizar a configuração da interface no modo operacional e no modo de configuração. |
|
Pode visualizar chassis, classe de serviço (CoS), grupos, opções de encaminhamento e informações de configuração de interfaces. Pode modificar a configuração nos seguintes níveis de hierarquia:
|
|
Pode realizar a manutenção do sistema, incluindo iniciar uma concha local no dispositivo e se tornar o superusuário na concha (usando o |
|
Pode acessar a rede usando os |
|
Pode visualizar a configuração de espelhamento de |
|
Pode modificar a configuração de |
|
Pode reiniciar processos de software usando o |
|
Pode usar o |
|
É possível visualizar informações gerais de roteamento, protocolo de roteamento e configuração de políticas de roteamento no modo de configuração e modo operacional. |
|
Pode visualizar e configurar o roteamento geral no nível de |
|
Pode visualizar senhas e outras chaves de autenticação na configuração. |
|
Pode visualizar e modificar senhas e outras chaves de autenticação na configuração. |
|
É possível visualizar as informações de configuração de segurança no modo operacional e no modo de configuração. |
|
Pode visualizar e configurar informações de segurança no nível de |
|
Pode iniciar uma concha local no roteador ou switch usando o |
|
É possível visualizar informações de configuração do Simple Network Management Protocol (SNMP) no modo operacional ou modo de configuração. |
|
Pode visualizar e modificar as informações de configuração de SNMP no nível de |
|
|
Pode visualizar as informações de configuração de armazenamento do Fiber Channel no nível de |
|
Pode modificar as informações de configuração de armazenamento do Fiber Channel no nível hierárquico |
Pode visualizar informações de nível de sistema no modo operacional ou modo de configuração. |
|
Pode visualizar e modificar informações de configuração no nível do sistema no nível de |
|
Pode visualizar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento. |
|
Pode modificar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento. |
|
|
Pode visualizar a configuração de borda unificada na |
|
Pode modificar a configuração unificada relacionada à borda na |
Pode usar vários comandos para exibir a tabela de roteamento em todo o sistema e valores e estatísticas específicos do protocolo. Não é possível visualizar a configuração secreta. |
|
Pode visualizar toda a configuração, sem segredos, scripts de sistema e opções de eventos. Nota:
Somente usuários com permissão |
Negar ou permitir comandos individuais e hierarquias de declaração
Por padrão, todos os comandos e declarações de CLI de alto nível associaram níveis de privilégio de acesso. Os usuários só podem executar esses comandos e visualizar e configurar apenas aquelas declarações para as quais eles têm privilégios de acesso. Para cada aula de login, você pode negar explicitamente ou permitir aos usuários o uso de comandos de modo operacional e comandos de modo de configuração e hierarquias de declaração de configuração que são permitidas ou negadas por um bit de permissão.
Exemplo: Crie aulas de login com privilégios específicos
Você define aulas de login para atribuir determinadas permissões ou restrições a grupos de usuários, garantindo que comandos sensíveis só sejam acessíveis aos usuários apropriados. Por padrão, os dispositivos da Juniper Networks têm quatro tipos de aulas de login com permissões predefinidas: operador, somente leitura, superusuário ou superusuário, e não autorizado.
Você pode criar aulas de login personalizadas para definir diferentes combinações de permissões que não são encontradas nas aulas de login padrão. O exemplo a seguir mostra três aulas de login personalizadas, cada uma com privilégios específicos e temporizantes de inatividade. Os temporizantes de inatividade ajudam a proteger a segurança da rede desconectando um usuário da rede se o usuário estiver inativo por muito tempo. A desconexão do usuário evita riscos potenciais de segurança que resultam quando um usuário deixa uma conta autônoma conectada a um switch ou roteador. As permissões e os temporizantes de inatividade mostrados aqui são apenas exemplos; você deve personalizar os valores para a sua organização.
As três aulas de login e seus privilégios são os seguintes. Todas as três aulas de login usam o mesmo temporizador de inatividade de 5 minutos.
observation
— Só é possível visualizar estatísticas e a configuraçãooperation
— Pode visualizar e modificar a configuraçãoengineering
— Acesso e controle ilimitados
[edit] system { login { class observation { idle-timeout 5; permissions [ view ]; } class operation { idle-timeout 5; permissions [ admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback ]; } class engineering { idle-timeout 5; permissions all; } } }
Entenda os privilégios exatos de acesso a partidas para aulas de login
Os privilégios exatos de acesso à correspondência permitem ou negam explicitamente strings de configuração exatos para definir regras de controle de acesso para aulas de login. A partir do Junos OS e junos OS Evolved Release 23.4R1, você pode usar as declarações e deny-configuration-exact-match
configuração allow-configuration-exact-match
para controlar privilégios exatos de acesso de correspondência.
Benefícios
-
Restrinja a exclusão de hierarquias de configuração de nível superior ao mesmo tempo em que permite a exclusão de sub-hierarquias específicas. Isso oferece suporte a uma autorização de comando mais direcionada.
-
Garanta que
set
os comandos permaneçam permitidos em uma hierarquia, mesmo que a exclusão seja negada. Essa separação de autorização permiteset
controlesdelete
de acesso mais flexíveis. -
Permitir ou negar strings de comando de configuração precisas, além de expressões regulares. Isso oferece suporte à configuração de regras de acesso altamente específicas quando necessário.
-
Aproveite regras avançadas de autorização de servidores TACACS+ externos, além de regras locais. Isso facilita o gerenciamento centralizado de políticas.
Você pode configurar privilégios exatos de acesso de correspondência com as allow-configuration-exact-match
declarações de configuração e deny-configuration-exact-match
no nível de [edit system login class name]
hierarquia. Use strings hierárquicos a partir de um dos seguintes operadores:
set
delete
active
deactivate
Personagens curingas também são suportados. Por exemplo, a deny-configuration-exact-match delete interfaces*
declaração usa o caractere curinga * para especificar todas as interfaces.
Se delete
ou deactivate
for negado para uma determinada hierarquia de configuração, então set
ou activate
comandos ainda podem ser permitidos usando allow-configuration-exact-match
. Se você configurar ambos allow-configuration-exact-match
e deny-configuration-exact-match
com a mesma operadora e configuração, o acesso de configuração será negado.
As novas regras exatas de correspondência podem ser configuradas localmente ou em servidores TACACS+ externos.