Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

登录类概述

Junos OS 登录类定义分配给该类的用户的访问权限、使用 CLI 命令和语句的权限以及会话空闲时间。您(系统管理员)可以将登录类应用于单个用户帐户,从而为该用户分配某些特权。

登录类概述

所有可以登录到正在运行 Junos OS 的设备的用户都必须在登录类中。每个登录类定义以下内容:

  • 用户登录网络设备时拥有的访问权限

  • 用户可以执行和不能执行的命令

  • 用户可以和不能查看或修改的配置语句

  • 在系统断开用户连接之前,登录会话可以处于空闲状态的时间长度

您可以定义任意数量的登录类。但是,只能将一个登录类分配给单个用户帐户。

Junos OS 包括预定义的登录类,这些类列在 中 表 1。不能修改预定义的登录类。

表 1: 预定义的系统登录类

登录类

权限标志集

operator

清除、联网、重置、跟踪和查看

read-only

视图

superuser (也称为数字签名 super-user

全部

unauthorized

使用 operatorread-only 预定义的登录类时,SFTP 和 SCP 服务器功能将被禁用。

从 Junos OS 演化版 23.4R2 版开始, superuser 登录名类无法写入 /var/log/ 目录。root只有用户可以写入 /var/log/

权限位

每个顶级 CLI 命令和每个 配置语句 都有一个与之关联的访问权限级别。用户只能执行这些命令,并且只能配置和查看他们具有访问权限的语句。每个登录类定义一个或多个确定访问权限的权限位。

权限的两种形式控制用户是否可以查看或修改配置的各个部分:

  • “纯”表单 - 为该权限类型提供只读功能。例如 interface

  • -control form - 为该权限类型提供读写功能。例如 interface-control

表 2 概述了权限标志和关联的访问权限。

表 2: 登录类权限标志

权限标志

Description

access

可以在操作模式或配置模式下查看访问配置。

access-control

可以在层次结构级别查看 [edit access] 和配置访问信息。

admin

可以在操作模式或配置模式下查看用户帐户信息。

admin-control

可以查看用户帐户信息并在层次结构级别对其进行 [edit system] 配置。

all

可以访问所有操作模式命令和配置模式命令。可以修改所有配置层次结构级别的配置。

clear

可以清除(删除)设备从网络中学习并存储在各种网络数据库中的信息(使用 clear 命令)。

configure

可以进入配置模式(使用 configure 命令)并提交配置(使用 commit 命令)。

control

可以执行所有控件级操作 — 使用权限标志配置的所有 -control 操作。

field

可以查看字段调试命令。保留用于调试支持。

firewall

可以在操作模式或配置模式下查看 防火墙过滤器 配置。

firewall-control

可以在层次结构级别查看 [edit firewall] 和配置防火墙过滤器信息。

floppy

可以读取和写入可移动媒体。

flow-tap

可以在操作模式或配置模式下查看流水龙头配置。

flow-tap-control

可以在层次结构级别查看 [edit services flow-tap] 和配置流水龙头信息。

flow-tap-operation

可以向路由器或交换机发出流点请求。例如,动态任务控制协议 (DTCP) 客户端必须具有 flow-tap-operation 以管理用户身份对自身 Junos OS 进行身份验证的权限。

注:

该选项不包含在 flow-tap-operation 权限标志中 all-control

idp-profiler-operation

可以查看探查器数据。

interface

可以在操作模式和配置模式下查看接口配置。

interface-control

可以查看机箱、 服务等级 (CoS)、组、转发选项和接口配置信息。可以在以下层次结构级别修改配置:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

可以执行系统维护,包括在设备上启动本地 shell,成为 shell 中的超级用户(使用 su root 命令),以及停止和重新启动设备(使用 request system 命令)。

network

可以使用 、 sshtelnettraceroute命令访问ping网络。

pgcp-session-mirroring

可以查看 pgcp 会话镜像配置。

pgcp-session-mirroring-control

可以修改 pgcp 会话镜像配置。

reset

可以使用命令 restart 重新启动软件进程。

rollback

可以使用命令 rollback 返回到之前提交的配置。

routing

可以在配置模式和操作模式下查看常规路由、路由协议和路由策略配置信息。

routing-control

可以在层次结构级别查看 [edit routing-options] 和配置常规路由、层次结构级别的路由协议 [edit protocols] 以及层次结构级别的路由策略信息 [edit policy-options]

secret

可以在配置中查看密码和其他身份验证密钥。

secret-control

可以在配置中查看和修改密码和其他身份验证密钥。

security

可以在操作模式和配置模式下查看安全配置信息。

security-control

可以在层次结构级别查看 [edit security] 和配置安全信息。

shell

可以使用命令 start shell 在路由器或交换机上启动本地 shell。

snmp

可以在操作模式或配置模式下查看简单网络管理协议 (SNMP) 配置信息。

snmp-control

可以在层次结构级别查看 [edit snmp] 和修改 SNMP 配置信息。

可以在层次结构级别查看 [edit fc-fabrics] 光纤通道存储配置信息。

可以在层次结构级别修改 [edit fc-fabrics] 光纤通道存储配置信息。

system

可以在操作模式或配置模式下查看系统级信息。

system-control

可以在层次结构级别查看 [edit system] 和修改系统级配置信息。

trace

可以查看跟踪文件设置并配置跟踪文件属性。

trace-control

可以修改跟踪文件设置并配置跟踪文件属性。

可以查看层次结构的 [edit unified-edge] 统一边缘配置。

可以在层次结构中 [edit unified-edge] 修改统一的边缘相关配置。

view

可以使用各种命令显示当前系统范围、路由表和协议特定的值和统计信息。无法查看密钥配置。

view-configuration

可以查看除机密、系统脚本和事件选项之外的所有配置。

注:

只有具有该 maintenance 权限的用户才能查看提交脚本、操作脚本或事件脚本配置。

拒绝或允许单个命令和语句层次结构

默认情况下,所有顶级 CLI 命令和语句都具有关联的访问权限级别。用户只能执行这些命令,并且只能查看和配置他们具有访问权限的语句。对于每个登录类,您可以显式拒绝或允许用户使用操作模式命令以及配置模式命令和配置语句层次结构,否则权限位会允许或拒绝这些命令和配置语句层次结构。

示例:创建具有特定特权的登录类

您可以定义登录类以向用户组分配某些权限或限制,从而确保敏感命令仅可由适当的用户访问。默认情况下,瞻博网络设备有四种类型的登录类和预设权限:运算符、只读、超级用户或超级用户以及未授权。

您可以创建自定义登录类来定义缺省登录类中找不到的不同权限组合。以下示例显示三个自定义登录类,每个类都具有特定的特权和不活动计时器。不活动计时器通过在用户长时间处于非活动状态时断开用户与网络的连接来帮助保护网络安全。断开用户连接可防止用户将无人参与帐户登录到交换机或路由器时产生的潜在安全风险。此处显示的权限和非活动计时器只是示例;应为组织自定义值。

三个登录类及其权限如下所示。所有三个登录类都使用相同的 5 分钟不活动计时器。

  • observation—只能查看统计信息和配置
  • operation—可以查看和修改配置
  • engineering—无限制访问和控制

了解登录类的完全匹配访问权限

完全匹配访问权限允许您明确允许或拒绝精确配置字符串来定义登录类的访问控制规则。从 Junos OS 和 Junos OS 演化版 23.4R1 开始,您可以使用 allow-configuration-exact-match and deny-configuration-exact-match 配置语句来控制完全匹配访问权限。

优势

  • 限制删除上层配置层次结构,同时允许删除特定的子层次结构。这支持更有针对性的命令授权。

  • 确保 set 即使删除被拒绝,命令在层次结构中仍保持允许。这种delete授权set分离可实现更灵活的访问控制。

  • 除了正则表达式之外,允许或拒绝精确配置命令字符串。这支持在需要时配置高度特定的访问规则。

  • 除了本地规则外,还可利用来自外部 TACACS+ 服务器的高级授权规则。这有助于集中式策略管理。

您可以使用层次结构级别的 和allow-configuration-exact-matchdeny-configuration-exact-match配置语句[edit system login class name]配置完全匹配访问权限。使用以下列运算符之一开头的层次结构字符串:

  • set
  • delete
  • active
  • deactivate

还支持通配符。例如,该 deny-configuration-exact-match delete interfaces* 语句使用 * 通配符指定所有接口。

如果给定配置层次结构的 或 deactivate 被拒绝,setdelete仍可使用 来allow-configuration-exact-match允许 或 activate 命令。如果同时配置两者 allow-configuration-exact-matchdeny-configuration-exact-match 使用相同的操作员和配置,则配置访问将被拒绝。

新的完全匹配规则可以在本地配置,也可以在外部 TACACS+ 服务器上配置。