Visão geral das aulas de login
Junos OS as aulas de login definem os privilégios de acesso, as permissões para o uso de comandos e declarações da CLI e o tempo de sessão ocioso para os usuários designados para essa aula. Você (o administrador do sistema) pode aplicar uma aula de login a uma conta de usuário individual, atribuindo assim certos privilégios e permissões ao usuário.
Visão geral das aulas de login
Todos os usuários que podem fazer login em um dispositivo em execução Junos OS devem estar em uma aula de login. Cada aula de login define o seguinte:
-
Acesso a privilégios que os usuários têm quando fazem login no dispositivo de rede
-
Comandos que os usuários podem e não podem executar
-
Declarações de configuração que os usuários podem e não podem visualizar ou modificar
-
O tempo em que uma sessão de login pode ficar ociosa antes que o sistema desconecte o usuário
Você pode definir qualquer número de aulas de login. No entanto, você atribui apenas uma classe de login a uma conta de usuário individual.
Junos OS inclui aulas de login predefinidas, que estão listadas em .Tabela 1 Você não pode modificar as aulas de login predefinidas.
Aula de login |
Conjunto de bandeiras de permissão |
|---|---|
|
clara, rede, reset, rastreamento e visualização |
|
Ver |
|
Todos |
|
Nenhum |
Você não pode modificar um nome de classe de login predefinido. Se você emitir o comando em um nome de classe predefinido, o dispositivo aplica-se ao nome da classe de login e emite o seguinte aviso:
set-localwarning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
Você não pode emitir o ou o comando em uma aula de login predefinida.
renamecopyIsso resulta na seguinte mensagem de erro:error: target '<class-name>' is a predefined class
Bits de permissão
Cada comando CLI de alto nível e cada declaração de configuração tem um nível de privilégio de acesso associado a ele. Os usuários só podem executar esses comandos e configurar e visualizar apenas aquelas declarações para as quais eles têm privilégios de acesso. Cada classe de login define um ou mais bits de permissão que determinam os privilégios de acesso.
Dois formulários para as permissões controlam se um usuário pode visualizar ou modificar as partes individuais da configuração:
-
Formulário "simples" — fornece recursos somente de leitura para esse tipo de permissão. Um exemplo é .
interface -
-controlformulário — fornece recursos de leitura e gravação para esse tipo de permissão. Um exemplo é .interface-control
Tabela 2 descreve as bandeiras de permissão e privilégios de acesso associados.
|
Bandeira de permissão |
Descrição |
|---|---|
|
Pode visualizar a configuração de acesso no modo operacional ou modo de configuração. |
|
|
Pode visualizar e configurar informações de acesso no nível de hierarquia. |
|
|
Pode visualizar as informações da conta do usuário no modo operacional ou modo de configuração. |
|
|
Pode visualizar as informações da conta do usuário e configurá-la no nível de hierarquia. |
|
|
Pode acessar todos os comandos de modo operacional e comandos de modo de configuração. Pode modificar a configuração em todos os níveis de hierarquia de configuração. |
|
|
Pode limpar (deletar) informações que o dispositivo aprende com a rede e armazena em vários bancos de dados de rede (usando os comandos). |
|
|
Pode entrar no modo de configuração (usando o comando) e confirmar configurações (usando o comando). |
|
|
Pode realizar todas as operações de nível de controle — todas as operações configuradas com as bandeiras de permissão. |
|
|
Pode visualizar comandos de depuração de campo. Reservado para suporte de depuração. |
|
|
Pode visualizar a configuração do filtro de firewall no modo operacional ou modo de configuração. |
|
|
Pode visualizar e configurar informações de filtro de firewall no nível de hierarquia. |
|
|
Pode ler e escrever para a mídia removível. |
|
|
Pode visualizar a configuração da torneira de fluxo no modo operacional ou modo de configuração. |
|
|
Pode visualizar e configurar informações de fluxo-tap no nível de hierarquia. |
|
|
Pode fazer solicitações de flow-tap para o roteador ou switch. Por exemplo, um cliente do Dynamic Tasking Control Protocol (DTCP) deve ter permissão para se autenticar como um usuário administrativo. Nota:
A opção não está incluída na bandeira de permissões. |
|
|
Pode visualizar dados do profiler. |
|
|
É possível visualizar a configuração da interface no modo operacional e no modo de configuração. |
|
|
Pode visualizar chassis, classe de serviço (CoS), grupos, opções de encaminhamento e informações de configuração de interfaces. Pode modificar a configuração nos seguintes níveis de hierarquia:
|
|
|
Pode realizar a manutenção do sistema, incluindo iniciar uma concha local no dispositivo e se tornar o superusuário na concha (usando o comando) e parar e reiniciar o dispositivo (usando os comandos). |
|
|
Pode acessar a rede usando os comandos e os comandos. |
|
|
Pode visualizar a configuração de espelhamento de sessão. |
|
|
Pode modificar a configuração de espelhamento de sessão. |
|
|
Pode reiniciar processos de software usando o comando. |
|
|
Pode usar o comando para retornar a uma configuração previamente comprometida. |
|
|
É possível visualizar informações gerais de roteamento, protocolo de roteamento e configuração de políticas de roteamento no modo de configuração e modo operacional. |
|
|
Pode visualizar e configurar o roteamento geral no nível de hierarquia, protocolos de roteamento no nível de hierarquia e roteamento de informações de políticas no nível hierárquicos . |
|
|
Pode visualizar senhas e outras chaves de autenticação na configuração. |
|
|
Pode visualizar e modificar senhas e outras chaves de autenticação na configuração. |
|
|
É possível visualizar as informações de configuração de segurança no modo operacional e no modo de configuração. |
|
|
Pode visualizar e configurar informações de segurança no nível de hierarquia. |
|
|
Pode iniciar uma concha local no roteador ou switch usando o comando. |
|
|
É possível visualizar informações de configuração do Simple Network Management Protocol (SNMP) no modo operacional ou modo de configuração. |
|
|
Pode visualizar e modificar as informações de configuração de SNMP no nível de hierarquia. |
|
|
|
Pode visualizar as informações de configuração de armazenamento do Fiber Channel no nível de hierarquia. |
|
|
Pode modificar as informações de configuração de armazenamento do Fiber Channel no nível hierárquico . |
|
Pode visualizar informações de nível de sistema no modo operacional ou modo de configuração. |
|
|
Pode visualizar e modificar informações de configuração no nível do sistema no nível de hierarquia. |
|
|
Pode visualizar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento. |
|
|
Pode modificar configurações de arquivo de rastreamento e configurar propriedades de arquivo de rastreamento. |
|
|
|
Pode visualizar a configuração de borda unificada na hierarquia. |
|
|
Pode modificar a configuração unificada relacionada à borda na hierarquia. |
|
Pode usar vários comandos para exibir a tabela de roteamento em todo o sistema e valores e estatísticas específicos do protocolo. Não é possível visualizar a configuração secreta. |
|
|
Pode visualizar toda a configuração, sem segredos, scripts de sistema e opções de eventos. Nota:
Somente usuários com permissão podem visualizar scripts de confirmação, script de operações ou configuração de script de eventos. |
Negar ou permitir comandos individuais e hierarquias de declaração
Por padrão, todos os comandos e declarações de CLI de alto nível associaram níveis de privilégio de acesso. Os usuários só podem executar esses comandos e visualizar e configurar apenas aquelas declarações para as quais eles têm privilégios de acesso. Para cada aula de login, você pode negar explicitamente ou permitir aos usuários o uso de comandos de modo operacional e comandos de modo de configuração e hierarquias de declaração de configuração que são permitidas ou negadas por um bit de permissão.
Exemplo: Crie aulas de login com privilégios específicos
Você define aulas de login para atribuir determinadas permissões ou restrições a grupos de usuários, garantindo que comandos sensíveis só sejam acessíveis aos usuários apropriados. Por padrão, os dispositivos da Juniper Networks têm quatro tipos de aulas de login com permissões predefinidas: operador, somente leitura, superusuário ou superusuário, e não autorizado.
Você pode criar aulas de login personalizadas para definir diferentes combinações de permissões que não são encontradas nas aulas de login padrão. O exemplo a seguir mostra três aulas de login personalizadas, cada uma com privilégios específicos e temporizantes de inatividade. Os temporizantes de inatividade ajudam a proteger a segurança da rede desconectando um usuário da rede se o usuário estiver inativo por muito tempo. A desconexão do usuário evita riscos potenciais de segurança que resultam quando um usuário deixa uma conta autônoma conectada a um switch ou roteador. As permissões e os temporizantes de inatividade mostrados aqui são apenas exemplos; você deve personalizar os valores para a sua organização.
As três aulas de login e seus privilégios são os seguintes. Todas as três aulas de login usam o mesmo temporizador de inatividade de 5 minutos.
observation— Só é possível visualizar estatísticas e a configuraçãooperation— Pode visualizar e modificar a configuraçãoengineering— Acesso e controle ilimitados
[edit]
system {
login {
class observation {
idle-timeout 5;
permissions [ view ];
}
class operation {
idle-timeout 5;
permissions [ admin clear configure interface interface-control network
reset routing routing-control snmp snmp-control trace-control
firewall-control rollback ];
}
class engineering {
idle-timeout 5;
permissions all;
}
}
}
Entenda os privilégios exatos de acesso a partidas para aulas de login
Os privilégios exatos de acesso à correspondência permitem ou negam explicitamente strings de configuração exatos para definir regras de controle de acesso para aulas de login. A partir do Junos OS e junos OS Evolved Release 23.4R1, você pode usar as declarações e configuração para controlar privilégios exatos de acesso de correspondência.allow-configuration-exact-matchdeny-configuration-exact-match
Benefícios
-
Restrinja a exclusão de hierarquias de configuração de nível superior ao mesmo tempo em que permite a exclusão de sub-hierarquias específicas. Isso oferece suporte a uma autorização de comando mais direcionada.
-
Garanta que os comandos permaneçam permitidos em uma hierarquia, mesmo que a exclusão seja negada.
setEssa separação de autorização permite controles de acesso mais flexíveis.setdelete -
Permitir ou negar strings de comando de configuração precisas, além de expressões regulares. Isso oferece suporte à configuração de regras de acesso altamente específicas quando necessário.
-
Aproveite regras avançadas de autorização de servidores TACACS+ externos, além de regras locais. Isso facilita o gerenciamento centralizado de políticas.
Você pode configurar privilégios exatos de acesso de correspondência com as declarações de configuração e no nível de hierarquia.allow-configuration-exact-matchdeny-configuration-exact-match[edit system login class name] Use strings hierárquicos a partir de um dos seguintes operadores:
setdeleteactivedeactivate
Personagens curingas também são suportados. Por exemplo, a declaração usa o caractere curinga * para especificar todas as interfaces.deny-configuration-exact-match delete interfaces*
Se ou for negado para uma determinada hierarquia de configuração, então ou comandos ainda podem ser permitidos usando .deletedeactivatesetactivateallow-configuration-exact-match Se você configurar ambos e com a mesma operadora e configuração, o acesso de configuração será negado.allow-configuration-exact-matchdeny-configuration-exact-match
As novas regras exatas de correspondência podem ser configuradas localmente ou em servidores TACACS+ externos.