配置用户访问控制概述
Junos Space 网络管理平台提供强大的用户访问控制机制系统,您可以通过 Junos Space 管理员在 Junos Space 系统上实施适当的访问策略。在 Junos Space 中,管理员可以担任不同的职能角色。CLI 管理员安装和配置 Junos Space 设备。维护模式管理员执行系统级任务,例如故障排除和数据库还原操作。安装和配置设备后,您可以创建用户并分配角色,以允许这些用户访问 Junos Space Platform 工作区并管理应用程序、用户、设备、服务、客户等。
表 1 显示了 Junos Space 管理员和可以执行的任务。
| Junos Space 管理员功能 | 描述 | 任务 |
CLI 管理员 |
负责从串行控制台设置 Junos Space 设备的系统设置的管理员 CLI 管理员名称为 admin。 可以从控制台系统设置菜单中更改 CLI 管理员密码。 |
|
维护模式管理员 |
负责在 Junos Space 网络管理平台上执行系统级维护的管理员 维护模式管理员名称为 维护。 维护模式密码是在首次配置 Junos Space 设备时从串行控制台配置的。 |
|
Junos Space 用户界面用户 |
分配有一个或多个预定义角色的 Junos Space 用户。分配给用户的每个角色都提供对 Junos Space 用户界面中工作区中可用的对象(应用程序、设备、用户、作业、服务和客户)的特定访问和管理权限。 |
有关可分配给 Junos Space 用户的预定义角色的详细信息,请参阅 配置用户访问控制概述。 |
您可以通过以下方式配置用户访问控制:
决定如何对用户进行身份验证和授权以访问 Junos Space 平台
根据允许用户访问的系统功能来隔离用户。您可以为不同的用户分配一组不同的角色。Junos Space 网络管理平台包含超过 25 个预定义的用户角色,允许您根据组织需求创建自定义角色。当用户登录到 Junos Space 时,用户可以访问的工作空间以及他们可以执行的任务由分配给该特定用户帐户的角色决定。
根据允许用户访问的域隔离用户。您可以使用 Junos Space 中的域功能将用户和设备分配到全局域并创建子域,然后将用户分配到其中一个或多个域。域是对象的逻辑分组,可以包括设备、模板、用户等。当用户登录到 Junos Space 时,允许他们查看的对象集基于已将该用户帐户分配到的域。
您可以使用多个域将地理位置较远的大型系统划分为更小、更易于管理的部分,并控制对各个系统的管理访问。您可以分配域管理员或用户来管理分配给其域的设备和对象。您可以设计域层次结构,使分配给一个域的用户不一定有权访问另一个域中的对象。您甚至可以限制分配到域的用户查看父域中的对象(在 Junos Space 13.3 版中,不得查看全局域中的对象)。
例如,一个小型组织可能只有一个域(全局域)用于其整个网络,而一个大型国际组织可能在全局域中有多个子域,以表示其遍布全球的每个区域办事处网络。
以下部分介绍如何配置用户访问控制机制:
身份验证和授权模式
要做出的第一个决定是关于所需的身份验证和授权模式。Junos Space 中的默认模式是本地身份验证和授权,这意味着您必须使用有效密码在 Junos Space 数据库中创建用户帐户,并分配分配给这些帐户的一组角色。用户会话基于此密码进行身份验证,分配给用户帐户的角色集确定用户可以执行的任务集。
如果您的组织依赖于一组集中式身份验证、授权和记帐 (AAA) 服务器,则可以通过导航到“管理”工作区(“网络管理平台>管理”)中的“身份验证服务器”页面,将 Junos Space 配置为使用这些服务器。
您必须具有超级管理员或系统管理员权限,才能配置 Junos Space 才能使用这些服务器。
您需要知道远程 AAA 服务器的 IP 地址、端口号和共享密钥,以便配置 Junos Space 来访问它们。我们建议您在 Junos Space 中添加服务器后,立即使用“连接”按钮测试 Junos Space 与 AAA 服务器之间的连接。这会立即让您知道配置的 IP 地址、端口或凭据是否存在任何问题。
您可以配置 AAA 服务器的有序列表。Junos Space 会按照您配置的顺序与他们联系;仅当无法访问第二台服务器时,才会联系第二台服务器,依此类推。
您可以通过密码身份验证协议 (PAP) 或质询握手身份验证协议 (CHAP) 配置 RADIUS 或 TACACS+ 服务器。您可以在 Junos Space 维护的 AAA 服务器有序列表中混合使用 RADIUS 和 TACACS+ 服务器。
有两种远程身份验证和授权模式:仅远程身份验证和远程本地。
仅限远程 — 身份验证和授权由一组远程 AAA 服务器(RADIUS 或 TACACS+)执行。
远程-本地 — 在这种情况下,如果未在远程身份验证服务器上配置用户、无法访问服务器或远程服务器拒绝用户访问,则使用本地密码(Junos Space 数据库中存在此类本地用户)。
如果您使用的是仅远程模式,则无需在 Junos Space 中创建任何本地用户帐户。相反,您必须在使用的 AAA 服务器中创建用户帐户,并将远程配置文件名称关联到每个用户帐户。远程配置文件是一组角色,用于定义允许用户在 Junos Space 中执行的一组功能。您可以在 Junos Space 中创建远程配置文件。有关远程配置文件的详细信息,请参阅 远程配置文件。远程配置文件名称可在 RADIUS 中配置为供应商特定属性 (VSA),在 TACACS+ 中配置为属性-值对 (AVP)。当 AAA 服务器成功验证用户会话时,远程配置文件名称将包含在发送回 Junos Space 的响应消息中。Junos Space 会根据此远程配置文件名称查找远程配置文件,并确定允许用户执行的功能集。
即使在仅远程模式下,在以下任一情况下,您也可能希望在 Junos Space 中创建本地用户帐户:
您希望确保即使所有 AAA 服务器都已关闭,也允许用户登录到 Junos Space。在这种情况下,如果 Junos Space 数据库中存在本地用户帐户,则会根据本地数据对用户会话进行身份验证和授权。你可以选择对几个重要的用户帐户执行此操作,即使在这种情况下,你也希望确保其访问权限。
您希望使用设备分区将设备划分为多个子组,并将这些子对象分配给不同的用户。您可以使用设备分区在多个子域之间共享物理接口、逻辑接口和物理清单元素。设备分区仅在 M 系列和 MX 系列路由器上受支持。有关更多信息,请参阅 Junos Space 网络管理平台工作区用户指南中的创建设备分区主题。
有关用户身份验证的详细信息,请参阅 Junos Space 身份验证模式概述主题(《Junos Space 网络管理平台工作区用户指南》)。
基于证书和基于证书参数的身份验证
Junos Space 网络管理平台支持对用户进行基于证书和证书参数的身份验证。从版本 15.2R1 开始,您还可以在基于证书参数的身份验证模式下对用户进行身份验证。使用基于证书和基于证书参数的身份验证,您可以根据用户的证书和证书参数对用户进行身份验证,而不是基于用户的凭据进行身份验证。这些身份验证模式被认为比基于密码的身份验证更安全。使用基于证书参数的身份验证,您最多可以定义四个在登录过程中进行身份验证的参数。通过 SSL 连接进行的基于证书和基于证书参数的身份验证可用于对各种服务器和用户之间的会话进行身份验证和授权。这些证书可以存储在智能卡、USB 驱动器或计算机的硬盘驱动器上。用户通常刷其智能卡以登录到系统,而无需输入其用户名和密码。
有关基于证书和基于证书参数的身份验证的详细信息,请参阅 Junos Space 网络管理平台工作区功能指南中的 证书管理概述 主题。
用户角色
配置 Junos Space 时,必须根据允许用户访问的系统功能来决定如何隔离用户。为此,可以将一组不同的角色分配给不同的用户。 角色 定义允许 Junos Space 用户访问的工作区集合,以及允许用户在每个工作区中执行的一组操作。要评估 Junos Space 网络管理平台支持的预定义用户角色,请导航到 “ 角色”页面(网络管理平台>基于角色的访问控制>角色)。此外,安装在 Junos Space 网络管理平台上的每个 Junos Space 应用程序都有其自己的预定义用户角色。“角色”页面列出了所有现有的 Junos Space 应用程序角色、其说明以及每个角色中包含的任务。
如果默认用户角色不能满足您的需求,您可以通过导航到 “创建 角色”页面(网络管理平台>基于角色的访问控制>角色>创建角色)来配置自定义角色。若要创建角色,请选择允许具有此角色的用户访问的工作区,然后为每个工作区选择用户可以从该工作区执行的任务集。
您可能需要经历创建用户角色的多次迭代,才能达到组织所需的最佳用户角色集。
定义用户角色后,可以将其分配给各种用户帐户(如果是在 Junos Space 中创建的本地用户帐户),也可以将其分配给用于远程授权的远程配置文件。
有关配置用户角色的详细信息,请参阅基于角色的访问控制概述主题(Junos Space 网络管理平台工作区用户指南)。
远程配置文件
远程配置文件用于远程授权。远程配置文件是一组角色,用于定义允许用户在 Junos Space 中执行的一组功能。默认情况下不会创建远程配置文件,您需要通过导航到 “创建远程配置文件 ”页面(网络管理平台>基于角色的访问控制>远程配置文件>创建远程配置文件)来创建远程配置文件。创建远程配置文件时,需要选择属于它的一个或多个角色。然后,您可以为远程 AAA 服务器中的一个或多个用户帐户配置远程配置文件的名称。
当 AAA 服务器成功验证用户会话时,AAA 服务器会在返回到 Junos Space 的响应消息中包含为该用户配置的远程配置文件名称。Junos Space 会根据此名称查找远程配置文件,并确定用户的角色集。然后,Junos Space 使用这些信息来控制用户可以访问的工作空间集以及允许用户执行的任务。
如果决定使用本地授权和远程身份验证,则无需配置任何远程配置文件。在这种情况下,必须创建本地用户帐户并为这些用户帐户分配角色。配置的 AAA 服务器执行身份验证,对于每个经过身份验证的会话,Junos Space 会根据为数据库中的用户帐户本地配置的角色执行授权。
域
您可以从“域”页面(“基于角色的访问控制”>域)中添加、修改或删除域。仅当您登录到全局域时,才能访问此页面,这意味着您只能从全局域添加、修改或删除域。默认情况下,您创建的任何域都将添加到全局域下。添加网域时,您可以选择允许此网域中的用户对父网域具有只读访问权限。如果您选择这样做,则子域中的所有用户都可以以只读模式查看父域的对象。
仅支持两个级别的层次结构:全局域和可能在全局域下添加的任何其他域。
用户帐户
在以下情况下,您需要在 Junos Space 中创建用户帐户:
执行本地身份验证和授权 — 您可以在 Junos Space 中创建用户帐户。每个用户帐户必须包含一个有效的密码和一组用户角色。要创建用户帐户,请导航到“创建用户”页面(网络管理平台>基于角色的访问控制>用户帐户>“创建用户”)。
要执行远程身份验证和本地授权 - 您可以为系统的每个用户创建一个用户帐户,并确保为每个用户帐户分配一组角色。不强制输入用户帐户的密码,因为身份验证是远程执行的。
要执行远程身份验证和授权并允许某些用户访问 Junos Space(即使所有 AAA 服务器都已关闭或无法从 Junos Space 访问),请使用有效密码为这些用户创建本地用户帐户。系统会强制您为这些用户配置至少一个角色。但是,将根据 AAA 服务器提供的远程配置文件名称执行授权。
要执行远程身份验证和授权,同时覆盖指定用户的远程身份验证故障并允许他们访问 Junos Space — 一种典型情况是,您需要创建新的 Junos Space 用户,但没有立即访问权限来在远程 AAA 服务器上配置该用户。您必须使用有效密码和一组有效角色为此类用户创建本地用户帐户。
要执行远程身份验证和授权,还要根据域在用户之间隔离设备 — 由于必须将域分配给 Junos Space 中的用户对象,因此您必须在 Junos Space 中创建远程配置文件,并为这些配置文件分配角色和域。
注意:如果决定使用本地授权和远程身份验证,则无需配置任何远程配置文件。在这种情况下,必须创建本地用户帐户并为这些用户帐户分配角色。配置的 AAA 服务器执行身份验证,对于每个经过身份验证的会话,Junos Space 会根据为数据库中的用户帐户本地配置的角色执行授权。
Junos Space 对有效密码强制执行某些规则。您可以在“ 应用程序 ”页面(“网络管理平台”>“管理”>“应用程序”)中将这些规则配置为网络管理平台设置的一部分。右键单击应用程序,然后选择 “修改应用程序设置”。然后选择窗口 左侧的密码。 在后续页面上,您可以查看和修改当前设置。
有关创建用户帐户的详细信息,请参阅在 Junos Space 网络管理平台中创建用户主题(《Junos Space 网络管理平台工作区用户指南》)。