登录课程概述
Junos OS 登录 类可定义访问权限、使用 CLI 命令和语句的权限,以及分配给该类的用户的会话空闲时间。您(系统管理员)可以将登录类应用于单个用户帐户,从而为用户分配某些权限和权限。
登录课程概述
可以登录到运行 Junos OS 的设备的所有用户都必须属于登录类。每个登录类都定义以下内容:
-
用户登录网络设备时拥有的访问权限
-
用户可以执行和不能执行的命令
-
用户可以和不能查看或修改的配置语句
-
在系统断开用户连接之前,登录会话可以处于空闲状态的时间量
您可以定义任意数量的登录类。但是,您只能为单个用户帐户分配一个登录类。
Junos OS 包括预定义的登录类,如 表 1 中所列。您无法修改预定义的登录类。
| 登录等级 |
权限标志集 |
|---|---|
|
|
清除、网络、重置、追踪和查看 |
|
|
视图 |
|
|
全部 |
|
|
无 |
使用 operator read-only 或 预定义登录类时,SFTP 和 SCP 服务器功能将被禁用。
从 Junos OS 演化版 23.4R2 开始, superuser 登录类无法写入 /var/log/ 目录。只有 root 用户可以写入 /var/log/。
许可位
每个顶级 CLI 命令和每个 配置语句 都有一个与之关联的访问权限级别。用户只能执行这些命令,并且只能配置和查看他们具有访问权限的语句。每个登录类都定义了一个或多个决定访问权限的权限位。
权限的两种形式控制用户是否可以查看或修改配置的各个部分:
-
“纯”表单 — 为该权限类型提供只读功能。一个例子是
interface。 -
-controlform - 为该权限类型提供读写功能。一个例子是interface-control。
表 2 概述了权限标志和关联的访问权限。
| 权限标志 |
描述 |
|---|---|
| 可以在操作模式或配置模式下查看接入配置。 |
|
| 可以在层次结构级别查看 |
|
| 可以在操作模式或配置模式下查看用户帐户信息。 |
|
| 可以查看用户帐户信息并在层次结构级别进行 |
|
| 可以访问所有操作模式命令和配置模式命令。可以修改所有配置层级中的配置。 |
|
| 可以清除(删除)设备从网络中学习并存储在各种网络数据库中的信息(使用命令 |
|
| 可以进入配置模式(使用 |
|
| 可以执行所有控制级别操作 - 使用 |
|
| 可以查看现场调试命令。保留用于调试支持。 |
|
| 可以在操作模式或配置模式下查看 防火墙过滤器 配置。 |
|
| 可以在层次结构级别查看 |
|
| 可以读取可移动介质并写入可移动介质。 |
|
| 可以在操作模式或配置模式下查看流分流器配置。 |
|
| 可以在层次结构级别查看 |
|
| 可以向路由器或交换机发出流点击请求。例如,动态任务控制协议 (DTCP) 客户端必须有
注意:
该 |
|
| 可以查看分析器数据。 |
|
| 可以在操作模式和配置模式下查看接口配置。 |
|
| 可以查看机箱、 服务等级 (CoS)、组、转发选项和接口配置信息。可以在以下层级修改配置:
|
|
| 可以执行系统维护,包括在设备上启动本地 shell 并成为 shell 中的超级用户(使用 |
|
| 可以使用 、 |
|
| 可以查看 |
|
| 可以修改 |
|
| 可以使用命令 |
|
| 可以使用命令 |
|
| 可以在配置模式和操作模式下查看常规路由、路由协议和路由策略配置信息。 |
|
| 可以在层次结构级别查看和配置常规路由 |
|
| 可以查看配置中的密码和其他身份验证密钥。 |
|
| 可以查看和修改配置中的密码和其他身份验证密钥。 |
|
| 可以在操作模式和配置模式下查看安全配置信息。 |
|
| 可以在层次结构级别查看 |
|
| 可以使用命令在路由器或交换机 |
|
| 可以在操作模式或配置模式下查看简单网络管理协议 (SNMP) 配置信息。 |
|
| 可以在层次结构级别查看和修改 SNMP 配置信息 |
|
|
|
可以在层次结构级别查看 |
storage-control |
可以在层次结构级别修改 |
| 可以在操作模式或配置模式下查看系统级信息。 |
|
| 可以在层次结构级别查看 |
|
| 可以查看跟踪文件设置。 |
|
| 可以修改跟踪文件设置并配置跟踪文件属性。 |
|
unified-edge |
可以在层次结构中 |
unified-edge-control |
可以在层次结构中 |
| 可以使用各种命令显示当前系统范围的路由表以及特定于协议的值和统计信息。无法查看密钥配置。 |
|
| 可以查看所有配置,但不包括机密、系统脚本和事件选项。
注意:
只有具有该 |
拒绝或允许单个命令和语句层次结构
默认情况下,所有顶级 CLI 命令和语句都有关联的访问权限级别。用户只能执行这些命令,并且只能查看和配置他们具有访问权限的语句。对于每个登录类,您可以显式拒绝或允许用户使用操作模式命令、配置模式命令和配置语句层次结构,否则权限位会允许或拒绝这些命令和配置语句层次结构。
示例:创建具有特定权限的登录类
您可以定义登录类以将某些权限或限制分配给用户组,从而确保只有适当的用户才能访问敏感命令。默认情况下,瞻博网络设备有四种类型的具有预设权限的登录等级:操作员、只读、超级用户或超级用户以及未经授权。
您可以创建自定义登录类,以定义默认登录类中找不到的不同权限组合。以下示例显示了三个自定义登录类,每个类都有特定的权限和非活动计时器。如果用户长时间不活动,非活动计时器会断开用户与网络的连接,从而帮助保护网络安全。断开用户连接可防止当用户使用无人值守的帐户登录到交换机或路由器时导致潜在的安全风险。此处显示的权限和不活动计时器仅为示例;您应该为组织自定义值。
三种登录等级及其权限如下。所有三个登录类都使用相同的 5 分钟非活动计时器。
observation— 只能查看统计信息和配置operation— 可以查看和修改配置engineering—无限制的访问和控制
[edit]
system {
login {
class observation {
idle-timeout 5;
permissions [ view ];
}
class operation {
idle-timeout 5;
permissions [ admin clear configure interface interface-control network
reset routing routing-control snmp snmp-control trace-control
firewall-control rollback ];
}
class engineering {
idle-timeout 5;
permissions all;
}
}
}
了解登录类的完全匹配访问权限
完全匹配访问权限允许您显式允许或拒绝精确的配置字符串来定义登录类的访问控制规则。从 Junos OS 和 Junos OS 演化版 23.4R1 版开始,您可以使用 allow-configuration-exact-match deny-configuration-exact-match 和 configuration 语句来控制完全匹配的访问权限。
优势
-
限制删除上层配置层次结构,同时允许删除特定子层次结构。这支持更有针对性的命令授权。
-
确保
set即使删除被拒绝,在层次结构中仍然允许命令。这种授权setdelete的分离,并支持更灵活的访问控制。 -
允许或拒绝精确配置命令字符串以及正则表达式。这支持在需要时配置高度具体的访问规则。
-
除了本地规则外,还可以利用来自外部TACACS+服务器的高级授权规则。这样便于集中式策略管理。
您可以在层次结构级别使用[edit system login class name]和 allow-configuration-exact-match deny-configuration-exact-match configuration 语句配置完全匹配访问权限。使用以以下运算符之一开头的层次结构字符串:
setdeleteactivedeactivate
还支持通配符字符。例如,该 deny-configuration-exact-match delete interfaces* 语句使用 * 通配符来指定所有接口。
如果给定的配置层次结构中拒绝了 ordeactivate,则activate delete set仍可使用 allow-configuration-exact-match或命令。如果同时配置两者allow-configuration-exact-matchdeny-configuration-exact-match,并且使用相同的运算符和配置,则配置访问将被拒绝。
可以在本地或外部 TACACS+ 服务器上配置新的完全匹配规则。