本页内容
登录等级概述
Junos OS 演化型 登录类定义分配给该类的用户的访问权限、使用 CLI 命令和语句的权限以及会话空闲时间。您(系统管理员)可以将登录类应用于单个用户帐户,从而为用户分配某些权限和权限。
登录等级概述
可以登录到运行 Junos OS Evolved 设备的所有用户都必须具有登录类。每个登录类都定义以下内容:
-
用户登录网络设备时拥有的访问权限
-
用户可以和无法执行的命令
-
用户可以和不能查看或修改的配置语句
-
系统断开用户连接之前登录会话可以空闲的时间
您可以定义任意数量的登录类。但是,您只能为单个用户帐户分配一个登录类。
Junos OS Evolved 包括预定义的登录类,如 表 1 中所示。您无法修改预定义的登录类。
登录类 |
权限标志集 |
---|---|
|
清除、网络、重置、跟踪和查看 |
|
视图 |
|
所有 |
|
没有 |
您不能修改预定义的登录类名称。如果对预定义的类名称发出
set
命令,设备将-local
追加到登录类名称并发出以下警告:warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
您无法对预定义的
rename
登录类发出或copy
命令。否则将导致以下错误消息:error: target '<class-name>' is a predefined class
权限位
每个顶级 CLI 命令和每个 配置语句 都有一个与之关联的访问权限级别。用户只能执行这些命令,并且只能配置和查看具有访问权限的语句。每个登录类都会定义一个或多个权限位,用于确定访问权限。
用于控制用户是否可以查看或修改配置的各个部分的权限的两种形式:
-
“普通”形式 — 为该权限类型提供只读功能。例如
interface
。 -
-control
form - 为该权限类型提供读写功能。例如interface-control
。
表 2 概述了权限标志和关联的访问权限。
权限标志 |
描述 |
---|---|
|
可以在操作模式或配置模式下查看访问配置。 |
|
可以查看和配置层次结构级别的访问信息 |
|
可以在操作模式或配置模式下查看用户帐户信息。 |
|
可以在层次结构级别查看和配置 |
|
可以访问所有操作模式命令和配置模式命令。可以修改所有配置层次结构级别的配置。 |
|
可以清除(删除)设备从网络学习的信息,并存储在各种网络数据库中(使用 |
|
可以进入配置模式(使用 |
|
可以执行所有控制级别操作—所有配置有 |
|
可以查看现场调试命令。保留用于调试支持。 |
|
可以在操作模式或配置模式下查看 防火墙过滤器 配置。 |
|
可以在层级查看和配置防火墙过滤器信息 |
|
可以从可拆卸介质中读取和写入内容。 |
|
可以在操作模式或配置模式下查看流插式配置。 |
|
可以在层级查看和配置流挖掘信息 |
|
可以向路由器或交换机发出流访问请求。例如,动态任务控制协议 (DTCP) 客户端必须有权
注意:
选项 |
|
可以查看分析器数据。 |
|
可以在操作模式和配置模式下查看接口配置。 |
|
可以查看机箱、 服务等级 (CoS)、组、转发选项和接口配置信息。可以在以下层级修改配置:
|
|
可执行系统维护,包括启动设备上的本地 shell,成为 shell 中的超级用户(使用 |
|
可使用 、 |
|
可以查看 |
|
可以修改 |
|
可以使用命令重新启动软件进程 |
|
可以使用 |
|
可以查看配置模式和操作模式下的常规路由、路由协议和路由策略配置信息。 |
|
可以查看和配置层级的 |
|
可以查看配置中的密码和其他身份验证密钥。 |
|
可以查看和修改配置中的密码和其他身份验证密钥。 |
|
可以在操作模式和配置模式下查看安全配置信息。 |
|
可以在层次结构级别查看和配置安全信息 |
|
可以使用命令在路由器或交换机 |
|
可以在操作模式或配置模式下查看简单网络管理协议 (SNMP) 配置信息。 |
|
可以查看和修改层级的 |
|
可以在操作模式或配置模式下查看系统级信息。 |
|
可以查看和修改层级的系统 |
|
可以查看追踪文件设置并配置追踪文件属性。 |
|
可以修改追踪文件设置和配置追踪文件属性。 |
|
可以使用各种命令来显示当前系统范围、路由表以及特定于协议的值和统计信息。无法查看密钥配置。 |
|
您可以查看所有配置,不包括密钥、系统脚本和事件选项。
注意:
只有有权限的用户 |
拒绝或允许单个命令和语句层次结构
默认情况下,所有顶级 CLI 命令和语句都有关联的访问权限级别。用户只能执行这些命令,并且只能查看和配置具有访问权限的语句。对于每个登录类,您可以显式拒绝或允许用户使用操作模式命令、配置模式命令以及配置语句层次结构,否则这些命令会受到权限位的允许或拒绝。
示例:创建具有特定权限的登录类
您可以定义登录类来为用户组分配某些权限或限制,从而确保敏感命令只有相应的用户访问。默认情况下,瞻博网络设备有四种具有预设权限的登录类:操作员、只读、超级用户或超级用户以及未授权。
您可以创建自定义登录类,以定义默认登录类中未找到的不同权限组合。以下示例显示了三个自定义登录类,每个类都有特定权限和不活动计时器。不活动计时器通过断开用户与网络的连接来帮助保护网络安全,前提是用户长时间处于不活动状态。断开用户连接可防止用户离开无人参与的帐户登录交换机或路由器时出现的潜在安全风险。此处显示的权限和不活动计时器仅示例;您应该为贵组织定制价值
这三个登录等级及其权限如下所示。所有三个登录类都使用相同的非活动计时器 5 分钟。
observation
—只能查看统计数据和配置operation
-可以查看和修改配置engineering
— 无限制的访问和控制
[edit] system { login { class observation { idle-timeout 5; permissions [ view ]; } class operation { idle-timeout 5; permissions [ admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback ]; } class engineering { idle-timeout 5; permissions all; } } }