配置用户访问控制概述
Junos Space 网络管理平台提供了一个强大的用户访问控制机制系统,您可以通过该系统通过 Junos Space 管理员在 Junos Space 系统上实施适当的访问策略。在 Junos Space 中,管理员可以担任不同的职能角色。CLI 管理员安装和配置 Junos Space 设备。维护模式管理员执行系统级任务,如故障排除和数据库还原作。安装并配置设备后,您可以创建用户并分配角色,使这些用户能够访问 Junos Space 平台工作区并管理应用、用户、设备、服务、客户等。
表 1 显示了 Junos Space 管理员和可以执行的任务。
| Junos Space 管理员功能 | 描述 | 任务 |
CLI 管理员 |
负责从串行控制台设置和管理 Junos Space 设备系统设置的管理员 CLI 管理员名称为 admin。 可以从控制台系统设置菜单更改 CLI 管理员密码。 |
|
维护模式管理员 |
负责在 Junos Space 网络管理平台上执行系统级维护的管理员 维护模式管理员名称为 maintenance。 首次配置 Junos Space 设备时,将从串行控制台配置维护模式密码。 |
|
Junos Space 用户界面用户 |
分配了一个或多个预定义角色的 Junos Space 用户。分配给用户的每个角色都提供对 Junos Space 用户界面中工作区中可用的对象(应用程序、设备、用户、作业、服务和客户)的特定访问和管理特权。 |
有关可分配给 Junos Space 用户的预定义角色的详细信息,请参阅 配置用户访问控制概述。 |
您可以通过以下方式配置用户访问控制:
决定如何对用户进行身份验证和授权以访问 Junos Space 平台
根据允许用户访问的系统功能隔离用户。您可以为不同的用户分配一组不同的角色。Junos Space 网络管理平台包含超过 25 个预定义的用户角色,允许您根据组织需求创建自定义角色。当用户登录到 Junos Space 时,用户可以访问的工作区和可以执行的任务由分配给该特定用户帐户的角色决定。
根据允许用户访问的域隔离用户。您可以使用 Junos Space 中的“域”功能将用户和设备分配到全局域并创建子域,然后再将用户分配到其中的一个或多个域。域是对象的逻辑分组,可以包括设备、模板、用户等。当用户登录到 Junos Space 时,允许他们查看的对象集基于该用户帐户已分配到的域。
您可以使用多个域将地理上相距较远的大型系统分成更小、更易于管理的部分,并控制对各个系统的管理访问。您可以指派域管理员或用户来管理分配给其域的设备和对象。在设计域层次结构时,分配给一个域的用户不必有权访问另一个域中的对象。您甚至可以限制分配给域的用户查看父域中的对象(在 Junos Space 13.3 版中,禁止查看全局域中的对象)。
例如,一个小型组织可能只有一个域(全局域)用于其整个网络,而一个大型国际组织可能在全局域内有几个子域,以代表其在世界各地的每个区域办事处网络。
以下章节介绍如何配置用户访问控制机制:
身份验证和授权模式
要做出的第一个决定是关于您想要的身份验证和授权模式。Junos Space 中的默认模式是本地身份验证和授权,这意味着您必须使用有效密码在 Junos Space 数据库中创建用户帐户,并为这些帐户分配一组角色。用户会话将根据此密码进行身份验证,分配给用户帐户的角色集将确定用户可以执行的任务集。
如果您的组织依赖于一组集中式身份验证、授权和计费 (AAA) 服务器,则可以通过导航到“管理”工作区(网络管理平台>管理)中的“身份验证服务器”页,将Junos Space配置为使用这些服务器。
您必须具有超级管理员或系统管理员权限,才能将 Junos Space 配置为使用这些服务器。
您需要知道远程 AAA 服务器的 IP 地址、端口号和共享密钥,以便配置 Junos Space 进行访问。建议您在Junos Space中添加服务器后立即使用“连接”按钮测试Junos Space与 AAA 服务器之间的连接。这会立即让您知道配置的 IP 地址、端口或凭据是否存在任何问题。
您可以配置 AAA 服务器的有序列表。Junos Space 将按您配置的顺序与他们联系;仅当第一台服务器无法访问时,才会联系第二台服务器,依此类推。
您可以通过密码认证协议 (PAP) 或质询握手认证协议 (CHAP) 配置 RADIUS 或 TACACS+ 服务器。在 Junos Space 维护的有序 AAA 服务器列表中,您可以混合使用 RADIUS 和 TACACS+ 服务器。
远程身份验证和授权有两种模式:仅远程身份验证和远程本地身份验证。
仅限远程 — 身份验证和授权由一组远程 AAA 服务器(RADIUS 或 TACACS+)执行。
remote-local — 在这种情况下,如果远程认证服务器上未配置用户、服务器无法访问或者远程服务器拒绝用户访问,则如果 Junos Space 数据库中存在此类本地用户,则使用本地密码。
如果使用仅远程模式,则无需在 Junos Space 中创建任何本地用户帐户。相反,您必须在使用的 AAA 服务器中创建用户帐户,并将远程配置文件名称与每个用户帐户相关联。远程配置文件是一组角色,用于定义允许用户在 Junos Space 中执行的一组功能。您可以在 Junos Space 中创建远程配置文件。有关远程配置文件的详细信息,请参阅 远程配置文件。远程配置文件名称可在 RADIUS 中配置为供应商特定属性 (VSA),在 TACACS+ 中配置为属性值对 (AVP)。当 AAA 服务器成功验证用户会话时,远程配置文件名称将包含在发送回 Junos Space 的响应消息中。Junos Space 会根据此远程配置文件名称查找远程配置文件,并确定允许用户执行的功能集。
即使在仅远程模式下,在以下任一情况下,您也可能希望在 Junos Space 中创建本地用户帐户:
您希望确保即使所有 AAA 服务器都已关闭,也允许用户登录 Junos Space。在这种情况下,如果 Junos Space 数据库中存在本地用户帐户,则将根据本地数据对用户会话进行身份验证和授权。即使在这种情况下,您也可以选择为一些重要的用户帐户执行此作,您希望确保其访问权限。
您希望使用设备分区将设备划分为子组,并将这些子对象分配给不同的用户。您可以使用设备分区跨多个子域共享物理接口、逻辑接口和物理清单元素。设备分区仅在 M Series 和 MX 系列路由器上受支持。有关详细信息,请参阅《Junos Space 网络管理平台工作区用户指南》中的创建设备分区主题。
有关用户身份验证的详细信息,请参阅《Junos Space 网络管理平台工作区用户指南》中的“Junos Space 身份验证模式概述”主题)。
基于证书和基于证书参数的身份验证
Junos Space 网络管理平台支持对用户进行基于证书和基于证书参数的身份验证。从版本 15.2R1 开始,您还可以在基于证书参数的身份验证模式下对用户进行身份验证。使用基于证书和基于证书参数的身份验证时,您可以基于用户的证书和证书参数对用户进行身份验证,而不是基于用户的凭据来验证用户。这些身份验证模式被认为比基于密码的身份验证更安全。使用基于证书参数的身份验证,您最多可以定义四个参数,在登录过程中进行身份验证。通过 SSL 连接进行的基于证书和基于证书参数的身份验证可用于对各种服务器和用户之间的会话进行身份验证和授权。这些证书可以存储在智能卡、USB 驱动器或计算机的硬盘驱动器上。用户通常刷智能卡登录系统,而无需输入其用户名和密码。
有关基于证书和基于证书参数的身份验证的详细信息,请参阅《Junos Space 网络管理平台工作区功能指南》中的 “证书管理概述 ”主题。
用户角色
配置 Junos Space 时,必须根据允许用户访问的系统功能来决定如何隔离用户。您可以通过为不同的用户分配一组不同的角色来执行此作。 角色 定义允许 Junos Space 用户访问的工作区的集合,以及允许用户在每个工作区中执行的一组作。要评估Junos Space 网络管理平台支持的预定义用户角色,请导航到 “角色 ”页面(网络管理平台>“基于角色的访问控制”>角色)。此外,安装在 Junos Space 网络管理平台上的每个 Junos Space 应用都有其自己的预定义用户角色。角色页面列出了所有现有的 Junos Space 应用程序角色、其说明以及每个角色中包含的任务。
如果默认用户角色不能满足您的需求,可以通过导航到 “创建角色 ”页面(网络管理平台>基于角色的访问控制>角色>创建角色)来配置自定义角色。若要创建角色,请选择允许具有此角色的用户访问的工作区,然后对于每个工作区,选择用户可以从该工作区执行的任务集。
您可能需要经历创建用户角色的多次迭代,才能获得组织所需的最佳用户角色集。
定义用户角色后,可以将其分配给各种用户帐户(如果是在 Junos Space 中创建的本地用户帐户),也可以将其分配给用于远程授权的远程配置文件。
有关配置用户角色的详细信息,请参阅《Junos Space 网络管理平台工作区用户指南》中的基于角色的访问控制概述主题。
远程配置文件
在远程授权的情况下使用远程配置文件。远程配置文件是角色的集合,用于定义允许用户在 Junos Space 中执行的功能集。默认情况下不会创建远程配置文件,您需要通过导航到 “创建远程配置文件 ”页(网络管理平台>基于角色的访问控制>远程配置文件>创建远程配置文件)来创建这些配置文件。创建远程配置文件时,需要选择一个或多个属于它的角色。然后,您可以为远程 AAA 服务器中的一个或多个用户帐户配置远程配置文件的名称。
当 AAA 服务器成功验证用户会话时,AAA 服务器会在返回到 Junos Space 的响应消息中包含该用户配置的远程配置文件名称。Junos Space 会根据此名称查找远程配置文件,并确定用户的角色集。然后,Junos Space 使用这些信息来控制用户可以访问的工作区集以及允许用户执行的任务。
如果您决定在远程身份验证的同时使用本地授权,则无需配置任何远程配置文件。在这种情况下,必须创建本地用户帐户并为这些用户帐户分配角色。配置的 AAA 服务器执行身份验证,对于每个经过身份验证的会话,Junos Space 根据在数据库中为用户帐户本地配置的角色来执行授权。
有关创建远程配置文件的详细信息,请参阅“创建远程配置文件”主题(《Junos Space 网络管理平台工作区用户指南》中)。
域
您可以从 “域 ”页面(基于角色的访问控制>域)添加、修改或删除域。只有登录到全局域时才能访问此页面,这意味着您只能在全局域中添加、修改或删除域。默认情况下,您创建的任何域都会添加到全局域下。添加域时,您可以选择允许此域中的用户对父域具有只读访问权限。如果选择这样做,则子域中的所有用户都可以以只读模式查看父域的对象。
仅支持两个层次结构级别:全局域和可能在全局域下添加的任何其他域。
用户帐户
在以下情况下,您需要在 Junos Space 中创建用户帐户:
要执行本地身份验证和授权,请在 Junos Space 中创建用户帐户。每个用户帐户必须包含一个有效密码和一组用户角色。若要创建用户帐户,请导航到 “创建用户 ”页(网络管理平台>基于角色的访问控制>“用户帐户”>“创建用户”)。
执行远程身份验证和本地授权 - 为系统的每个用户创建一个用户帐户,并确保为每个用户帐户分配一组角色。输入用户帐户的密码不是强制性的,因为身份验证是远程执行的。
要执行远程身份验证和授权,并允许某些用户访问 Junos Space,即使所有 AAA 服务器都已关闭或无法从 Junos Space 访问,请使用有效密码为这些用户创建本地用户帐户。系统将强制您为这些用户配置至少一个角色。但是,将根据 AAA 服务器提供的远程配置文件名称执行授权。
要执行远程身份验证和授权,还要覆盖指定用户的远程身份验证故障并允许他们访问 Junos Space — 通常的情况是,您需要创建一个新的 Junos Space 用户,但无法立即访问该用户,无法在远程 AAA 服务器上配置该用户。您必须使用有效密码和一组有效角色为此类用户创建本地用户帐户。
要执行远程身份验证和授权,还要根据域在用户之间隔离设备 - 由于必须将域分配给 Junos Space 中的用户对象,因此您必须在 Junos Space 中创建远程配置文件,并为这些配置文件分配角色和域。
注意:如果您决定在远程身份验证的同时使用本地授权,则无需配置任何远程配置文件。在这种情况下,必须创建本地用户帐户并为这些用户帐户分配角色。配置的 AAA 服务器执行身份验证,对于每个经过身份验证的会话,Junos Space 根据在数据库中为用户帐户本地配置的角色来执行授权。
Junos Space 对有效密码强制执行某些规则。您可以在 “应用程序” 页面(网络管理平台>“管理”>“应用程序”)中将这些规则配置为网络管理平台设置的一部分。右键单击应用程序,然后选择 “修改应用程序设置”。然后选择窗口左侧的 密码 。在随后的页面上,您可以查看和修改当前设置。
有关创建用户帐户的详细信息,请参阅《Junos Space 网络管理平台工作区用户指南》中的“在 Junos Space 网络管理平台中创建用户”主题)。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。