Überblick über die Konfiguration von Benutzerzugriffssteuerungen
Die Junos Space Network Managementplattform bietet ein robustes System zur Benutzerzugriffssteuerung, mit dem Sie über Ihre Junos Space-Administratoren entsprechende Zugriffsrichtlinien im Junos Space-System durchsetzen können. In Junos Space können Administratoren verschiedene Funktionsbereiche übernehmen. Ein CLI-Administrator installiert und konfiguriert Junos Space-Appliances. Ein Administrator im Wartungsmodus führt Aufgaben auf Systemebene durch, wie z. B. Fehlerbehebung und Datenbankwiederherstellung. Nach der Installation und Konfiguration der Appliances können Sie Benutzer erstellen und Rollen zuweisen, die es diesen Benutzern ermöglichen, auf die Arbeitsbereiche der Junos Space-Plattform zuzugreifen und die Anwendungen, Benutzer, Geräte, Services, Kunden usw. zu verwalten.
Tabelle 1 zeigt die Junos Space-Administratoren und die auszuführenden Aufgaben.
| Junos Space Administratorfunktion | Beschreibung | Aufgaben |
CLI-Administrator |
Ein Administrator, der für das Einrichten und Verwalten von Systemeinstellungen für Junos Space-Appliances über die serielle Konsole verantwortlich ist Der Cli-Administratorname ist Admin. Das CLI-Administratorkennwort kann über das Menü Konsolensystemeinstellungen geändert werden. |
|
Administrator im Wartungsmodus |
Ein Administrator, der für die Systemwartung auf der Junos Space Network Managementplattform verantwortlich ist Der Administratorname im Wartungsmodus ist Maintenance. Das Kennwort für den Wartungsmodus wird über die serielle Konsole konfiguriert, wenn Sie zum ersten Mal eine Junos Space-Appliance konfigurieren. |
|
Benutzer der Junos Space-Benutzeroberfläche |
Einem Junos Space-Benutzer, dem eine oder mehrere vordefinierte Rollen zugewiesen wurden. Jede einem Benutzer zugewiesene Rolle bietet spezifische Zugriffs- und Verwaltungsrechte für die Objekte (Anwendungen, Geräte, Benutzer, Jobs, Services und Kunden), die über einen Arbeitsbereich in der Junos Space-Benutzeroberfläche verfügbar sind. |
Weitere Informationen zu den vordefinierten Rollen, die einem Junos Space-Benutzer zugewiesen werden können, finden Sie unter Konfigurieren von Benutzerzugriffssteuerungen – Übersicht. |
Sie können die Benutzerzugriffskontrolle folgendermaßen konfigurieren:
Entscheidung darüber, wie Benutzer authentifiziert und für den Zugriff auf die Junos Space-Plattform autorisiert werden
Trennung von Benutzern basierend auf der Systemfunktionalität, auf die sie zugreifen dürfen. Sie können verschiedenen Benutzern verschiedene Rollen zuweisen. Die Junos Space Network Managementplattform umfasst mehr als 25 vordefinierte Benutzerrollen und ermöglicht die Erstellung benutzerdefinierter Rollen, die auf die Anforderungen Ihres Unternehmens zugeschnitten sind. Wenn sich ein Benutzer bei Junos Space anmeldet, werden die Arbeitsbereiche, auf die der Benutzer zugreifen kann, und die Aufgaben, die er ausführen kann, von den Rollen bestimmt, die diesem bestimmten Benutzerkonto zugewiesen wurden.
Trennung von Benutzern anhand der Domänen, auf die sie zugreifen dürfen. Sie können die Domänenfunktion in Junos Space verwenden, um Benutzern und Geräten der globalen Domäne zuzuweisen und Subdomains zu erstellen und dann Benutzern einer oder mehreren dieser Domänen zuzuweisen. Eine Domäne ist eine logische Gruppierung von Objekten, die Geräte, Vorlagen, Benutzer usw. umfassen kann. Wenn sich ein Benutzer bei Junos Space anmeldet, basieren die Objekte, die sie sehen dürfen, auf den Domänen, denen dieses Benutzerkonto zugewiesen wurde.
Sie können mehrere Domänen verwenden, um große, geografisch entfernte Systeme in kleinere, besser verwaltbare Abschnitte zu trennen und den administrativen Zugriff auf einzelne Systeme zu steuern. Sie können Domänenadministratoren oder Benutzern die Verwaltung von Geräten und Objekten zuweisen, die deren Domänen zugewiesen sind. Sie können die Domänenhierarchie so gestalten, dass ein einer Domäne zugewiesener Benutzer nicht unbedingt Zugriff auf Objekte in einer anderen Domäne haben muss. Sie können sogar benutzer, die einer Domäne zugewiesen sind, daran hindern, Objekte in der übergeordneten Domäne (in Junos Space Version 13.3) von der Anzeige der Objekte in der globalen Domäne zu sehen.
Beispielsweise könnte eine kleine Organisation nur eine Domäne (die globale Domäne) für ihr gesamtes Netzwerk haben, während eine große, internationale Organisation möglicherweise mehrere Subdomains innerhalb der globalen Domäne hat, um jedes seiner regionalen Büronetzwerke auf der ganzen Welt zu repräsentieren.
In den folgenden Abschnitten wird die Konfiguration eines Benutzerzugriffskontrollmechanismus beschrieben:
Authentifizierungs- und Autorisierungsmodus
Die erste zu treffende Entscheidung betrifft den gewünschten Authentifizierungs- und Autorisierungsmodus. Der Standardmodus in Junos Space ist die lokale Authentifizierung und Autorisierung, was bedeutet, dass Sie Benutzerkonten in der Junos Space-Datenbank mit einem gültigen Kennwort erstellen und diesen Konten eine Reihe von Rollen zuweisen müssen. Benutzersitzungen werden basierend auf diesem Kennwort authentifiziert, und der Rollensatz, der dem Benutzerkonto zugewiesen ist, bestimmt den Aufgabensatz, den der Benutzer ausführen kann.
Wenn Sich Ihr Unternehmen auf eine Reihe zentraler Authentifizierungs-, Autorisierungs- und Accounting-Server (AAA) stützt, können Sie Junos Space für die Arbeit mit diesen Servern konfigurieren, indem Sie auf der Seite Authentifizierungsserver im Administrations-Arbeitsbereich (Network Management Platform > Administration) navigieren.
Sie müssen über Super administrator- oder Systemadministratorrechte verfügen, um Junos Space für die Arbeit mit diesen Servern zu konfigurieren.
Sie müssen die IP-Adressen, Portnummern und gemeinsam genutzten Geheimnisse der Remote-AAA-Server kennen, um Junos Space für den Zugriff zu konfigurieren. Wir empfehlen Ihnen, die Verbindungsschaltfläche zu verwenden, um die Verbindung zwischen Junos Space und dem AAA-Server zu testen, sobald Sie den Server in Junos Space hinzufügen. Auf diese Weise können Sie sofort wissen, ob ein Problem mit der konfigurierten IP-Adresse, dem Port oder den Anmeldeinformationen vorliegt.
Sie können eine geordnete Liste von AAA-Servern konfigurieren. Junos Space wendet sie in der von Ihnen konfigurierten Reihenfolge an; der zweite Server wird nur kontaktiert, wenn der erste nicht erreichbar ist usw.
Sie können RADIUS- oder TACACS+-Server über das Password Authentication Protocol (PAP) oder Challenge Handshake Authentication Protocol (CHAP) konfigurieren. Sie dürfen eine Mischung aus RADIUS- und TACACS+-Servern in der geordneten Liste der AAA-Server haben, die Junos Space verwaltet.
Es gibt zwei Modi für die Remote-Authentifizierung und -Autorisierung: remote-only und remote-local.
nur remote: Authentifizierung und Autorisierung werden von einer Reihe von Remote-AAA-Servern (RADIUS oder TACACS+) durchgeführt.
remote-lokal: Wenn ein Benutzer nicht auf den Remoteauthentifizierungsservern konfiguriert ist, die Server nicht erreichbar sind oder die Remoteserver den Benutzerzugriff verweigern, wird das lokale Kennwort verwendet, wenn ein solcher lokaler Benutzer in der Junos Space-Datenbank vorhanden ist.
Wenn Sie den Remote-Modus verwenden, müssen Sie keine lokalen Benutzerkonten in Junos Space erstellen. Stattdessen müssen Sie auf den AAA-Servern Benutzerkonten erstellen, die Sie verwenden, und jedem Benutzerkonto einen Entfernten Profilnamen zuweisen. Ein Remoteprofil ist eine Sammlung von Rollen, die den Funktionssatz definieren, den ein Benutzer in Junos Space ausführen darf. Sie erstellen die Remote-Profile in Junos Space. Weitere Informationen zu Remote-Profilen finden Sie unter Remote-Profile. Remote-Profilnamen können als anbieterspezifisches Attribut (VSA) in RADIUS und als Attribut-Wert-Paar (AVP) in TACACS+ konfiguriert werden. Wenn ein AAA-Server eine Benutzersitzung erfolgreich authentifiziert, ist der Name des Remoteprofils in der Antwortnachricht enthalten, die an Junos Space zurückgesendet wird. Junos Space prüft das Remoteprofil basierend auf diesem Namen des Remoteprofils und bestimmt den Funktionssatz, den der Benutzer ausführen darf.
Selbst im Remote-Modus können Sie in einem der folgenden Fälle lokale Benutzerkonten in Junos Space erstellen:
Sie möchten sicherstellen, dass sich ein Benutzer bei Junos Space anmelden darf, selbst wenn alle AAA-Server ausfallen. Wenn in diesem Fall ein lokales Benutzerkonto in der Junos Space-Datenbank vorhanden ist, wird die Benutzersitzung basierend auf den lokalen Daten authentifiziert und autorisiert. Möglicherweise wählen Sie dies für einige wichtige Benutzerkonten, für die Sie selbst in diesem Szenario den Zugriff sicherstellen möchten.
Sie möchten Gerätepartitionen verwenden, um ein Gerät in Untergruppen zu partitionieren und diese Unterobjekte verschiedenen Benutzern zuzuweisen. Sie verwenden Gerätepartitionen, um die physischen Schnittstellen, logischen Schnittstellen und physischen Inventarelemente über mehrere Subdomains hinweg gemeinsam zu nutzen. Gerätepartitionen werden nur auf Routern der M-Serie und MX-Serie unterstützt. Weitere Informationen finden Sie im Thema Gerätepartitionen erstellen im Benutzerhandbuch junos Space Network Management Platform Workspaces.
Weitere Informationen zur Benutzerauthentifizierung finden Sie im Thema Junos Space Authentication Modes Overview (im Junos Space Network Management Platform Workspaces User Guide).
Zertifikatsbasierte und zertifikatsparameterbasierte Authentifizierung
Die Junos Space Network Managementplattform unterstützt die auf Zertifikaten basierende und auf Zertifikatsparametern basierende Authentifizierung für einen Benutzer. Ab Version 15.2R1 können Sie Benutzer auch im auf Zertifikaten basierenden, parameterbasierten Authentifizierungsmodus authentifizieren. Mit einer zertifikatsbasierten und zertifikatsparameterbasierten Authentifizierung können Sie einen Benutzer nicht anhand der Anmeldeinformationen des Benutzers authentifizieren, sondern anhand des Zertifikats und der Zertifikatsparameter des Benutzers. Diese Authentifizierungsmodi gelten als sicherer als die kennwortbasierte Authentifizierung. Mit der zertifikatsparameterbasierten Authentifizierung können Sie maximal vier Parameter definieren, die während des Anmeldeprozesses authentifiziert werden. Die zertifikatsbasierte und zertifikatsparameterbasierte Authentifizierung über eine SSL-Verbindung kann zur Authentifizierung und Autorisierung von Sitzungen zwischen verschiedenen Servern und Benutzern verwendet werden. Diese Zertifikate können auf einer Smartcard, einem USB-Laufwerk oder der Festplatte eines Computers gespeichert werden. Die Benutzer wischen normalerweise ihre Smartcard aus, um sich beim System anzumelden, ohne ihren Benutzernamen und ihr Kennwort eingeben zu müssen.
Weitere Informationen zur zertifikatsbasierten und auf Zertifikatsparametern basierenden Authentifizierung finden Sie im Thema Zertifikatsverwaltungsübersicht im Funktionsleitfaden für Junos Space Network Management Platform Workspaces.
Benutzerrollen
Bei der Konfiguration von Junos Space müssen Sie entscheiden, wie Sie Benutzer anhand der Systemfunktionen trennen möchten, auf die Benutzer zugreifen dürfen. Dazu weisen Sie verschiedenen Benutzern unterschiedliche Rollen zu. Eine Rolle definiert eine Sammlung von Arbeitsbereichen, auf die ein Junos Space-Benutzer zugreifen darf, und eine Reihe von Aktionen, die der Benutzer innerhalb der einzelnen Arbeitsbereiche ausführen darf. Um die von der Junos Space Network Managementplattform unterstützten vordefinierten Benutzerrollen auszuwerten, navigieren Sie zur Seite Rollen (Network Management Platform > Role Based Access Control > Roles). Darüber hinaus verfügt jede Junos Space-Anwendung, die auf der Junos Space Network Managementplattform installiert ist, über eigene vordefinierte Benutzerrollen. Auf der Seite Rollen werden alle vorhandenen Junos Space-Anwendungsrollen, deren Beschreibungen und die Aufgaben aufgeführt, die in jeder Rolle enthalten sind.
Wenn die Standardbenutzerrollen Ihre Anforderungen nicht erfüllen, können Sie benutzerdefinierte Rollen konfigurieren, indem Sie auf der Seite Rollen erstellen (Network Management Platform > Role Based Access Control > Roles > Create Role) navigieren. Um eine Rolle zu erstellen, wählen Sie die Arbeitsbereiche aus, auf die ein Benutzer mit dieser Rolle zugreifen darf, und wählen für jeden Arbeitsbereich den Aufgabensatz aus, den der Benutzer über diesen Arbeitsbereich ausführen kann.
Möglicherweise müssen Sie mehrere Iterationen beim Erstellen von Benutzerrollen durchgehen, um die optimalen Benutzerrollen zu erreichen, die Ihr Unternehmen benötigt.
Nach der Definition der Benutzerrollen können sie verschiedenen Benutzerkonten zugewiesen werden (bei in Junos Space erstellten lokalen Benutzerkonten) oder remoten Profilen zugewiesen werden, die für die Remoteautorisierung verwendet werden sollen.
Weitere Informationen zur Konfiguration von Benutzerrollen finden Sie im Thema Rollenbasierte Zugriffssteuerung (im Benutzerhandbuch junos Space Network Management Platform Workspaces).
Remote-Profile
Remote-Profile werden im Falle einer Remote-Autorisierung verwendet. Ein Remoteprofil ist eine Sammlung von Rollen, die den Funktionssatz definieren, den ein Benutzer in Junos Space ausführen darf. Es werden standardmäßig keine Remote-Profile erstellt, und Sie müssen diese erstellen, indem Sie auf der Seite Remote-Profil erstellen (Network Management Platform > Role Based Access Control > Remote Profiles > Create Remote Profile) navigieren. Beim Erstellen eines Remoteprofils müssen Sie eine oder mehrere Rollen auswählen, die dazu gehören. Dann können Sie den Namen des Remoteprofils für ein oder mehrere Benutzerkonten auf den Remote-AAA-Servern konfigurieren.
Wenn ein AAA-Server eine Benutzersitzung erfolgreich authentifiziert, enthält der AAA-Server den konfigurierten Namen des Remoteprofils für den betreffenden Benutzer in der Antwortnachricht, die auf Junos Space zurückkommt. Junos Space prüft das Remoteprofil basierend auf diesem Namen und bestimmt den Rollensatz für den Benutzer. Junos Space verwendet diese Informationen dann, um den Satz von Arbeitsbereichen zu steuern, auf die der Benutzer zugreifen kann, und die Aufgaben, die der Benutzer ausführen darf.
Wenn Sie sich entscheiden, die lokale Autorisierung zusammen mit der Remoteauthentifizierung zu verwenden, müssen Sie keine Remote-Profile konfigurieren. In diesem Fall müssen Sie lokale Benutzerkonten erstellen und diesen Benutzerkonten Rollen zuweisen. Die konfigurierten AAA-Server führen eine Authentifizierung durch, und für jede authentifizierte Sitzung führt Junos Space die Autorisierung basierend auf den rollen aus, die lokal für das Benutzerkonto in der Datenbank konfiguriert wurden.
Weitere Informationen zum Erstellen von Remoteprofilen finden Sie im Thema Erstellen eines Remoteprofils (im Benutzerhandbuch junos Space Network Management Platform Workspaces).
Domänen
Sie können eine Domäne auf der Seite Domänen hinzufügen, ändern oder löschen (rollenbasierte Zugriffskontrolle > Domänen). Diese Seite ist nur zugänglich, wenn Sie in der globalen Domäne angemeldet sind, was bedeutet, dass Sie eine Domäne nur aus der globalen Domäne hinzufügen, ändern oder löschen können. Standardmäßig werden alle von Ihnen erstellten Domänen unter der globalen Domäne hinzugefügt. Wenn Sie eine Domäne hinzufügen, können Sie festlegen, dass Benutzer in dieser Domäne schreibgeschützten Zugriff auf die übergeordnete Domäne haben. Wenn Sie sich dafür entscheiden, können alle Benutzer in der Subdomain Objekte der übergeordneten Domäne im schreibgeschützten Modus anzeigen.
Es werden nur zwei Hierarchieebenen unterstützt: die globale Domäne und alle anderen Domänen, die Sie unter der globalen Domäne hinzufügen könnten.
Weitere Informationen zur Domänenverwaltung finden Sie im Thema Domänenübersicht (im Benutzerhandbuch junos Space Network Management Platform Workspaces).
Benutzerkonten
Sie müssen in den folgenden Fällen Benutzerkonten in Junos Space erstellen:
Um eine lokale Authentifizierung und Autorisierung durchzuführen: Sie erstellen Benutzerkonten in Junos Space. Jedes Benutzerkonto muss ein gültiges Kennwort und eine Reihe von Benutzerrollen enthalten. Um Benutzerkonten zu erstellen, navigieren Sie zur Seite Benutzer erstellen (Network Management Platform > Role Based Access Control> Benutzerkonten > Benutzer erstellen).
Remoteauthentifizierung und lokale Autorisierung: Sie erstellen für jeden Benutzer des Systems ein Benutzerkonto und stellen sicher, dass jedem Benutzerkonto eine Reihe von Rollen zugewiesen wird. Es ist nicht zwingend erforderlich, ein Kennwort für die Benutzerkonten einzugeben, da die Authentifizierung per Fernzugriff durchgeführt wird.
Um eine Remoteauthentifizierung und -autorisierung durchzuführen und bestimmten Benutzern den Zugriff auf Junos Space zu ermöglichen, auch wenn alle AAA-Server ausfallen oder von Junos Space nicht erreichbar sind: Sie erstellen lokale Benutzerkonten für diese Benutzer mit einem gültigen Kennwort. Das System zwingt Sie, mindestens eine Rolle für diese Benutzer zu konfigurieren. Die Autorisierung wird jedoch auf Der Grundlage des entfernten Profilnamens durchgeführt, den der AAA-Server bereitstellt.
Zur Durchführung von Remoteauthentifizierung und Autorisierung, aber auch zur Außerkraftsetzung von Remoteauthentifizierungsfehlern für bestimmte Benutzer und für den Zugriff auf Junos Space: Ein typisches Szenario wäre, wenn Sie einen neuen Junos Space-Benutzer erstellen müssen, aber keinen sofortigen Zugriff auf die Konfiguration des Benutzers auf den Remote-AAA-Servern haben. Sie müssen lokale Benutzerkonten für solche Benutzer mit einem gültigen Kennwort und einem gültigen Rollensatz erstellen.
Zur Durchführung von Remoteauthentifizierung und -autorisierung, aber auch zur Trennung von Geräten zwischen Benutzern basierend auf Domänen: Da Benutzerobjekten in Junos Space Domänen zugewiesen werden müssen, müssen Sie Remoteprofile in Junos Space erstellen und diesen Profilen Rollen und Domänen zuweisen.
Hinweis:Wenn Sie sich entscheiden, die lokale Autorisierung zusammen mit der Remoteauthentifizierung zu verwenden, müssen Sie keine Remote-Profile konfigurieren. In diesem Fall müssen Sie lokale Benutzerkonten erstellen und diesen Benutzerkonten Rollen zuweisen. Die konfigurierten AAA-Server führen eine Authentifizierung durch, und für jede authentifizierte Sitzung führt Junos Space die Autorisierung basierend auf den rollen aus, die lokal für das Benutzerkonto in der Datenbank konfiguriert wurden.
Junos Space setzt bestimmte Regeln für gültige Kennwörter durch. Sie konfigurieren diese Regeln als Teil der Einstellungen für die Netzwerkverwaltungsplattform auf der Seite Anwendungen (Network Management Platform > Administration > Applications). Klicken Sie mit der rechten Maustaste auf die Anwendung, und wählen Sie Anwendungseinstellungen ändern aus. Wählen Sie dann auf der linken Seite des Fensters Kennwort aus. Auf der nachfolgenden Seite können Sie die aktuellen Einstellungen anzeigen und ändern.
Weitere Informationen zum Erstellen von Benutzerkonten finden Sie im Thema Benutzer erstellen in der Junos Space Network Managementplattform (im Benutzerhandbuch junos Space Network Management Platform Workspaces).
Gerätepartitionen
Sie können ein Gerät auf der Seite Geräte partitionieren (Netzwerkverwaltungsplattform > Geräte > Geräteverwaltung). Sie können ein Gerät in Untergruppen partitionieren und diese Unterobjekte dann verschiedenen Benutzern zuweisen, indem Sie die Partitionen verschiedenen Domänen zuweisen. Einer Domäne kann nur eine Partition eines Geräts zugewiesen werden.
Gerätepartitionen werden nur auf Routern der M-Serie und MX-Serie unterstützt.
Weitere Informationen zu Gerätepartitionen finden Sie im Thema Gerätepartitionen erstellen (im Benutzerhandbuch Junos Space Network Management Platform Workspaces).