Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Rollenbasierte Zugriffskontrolle – Überblick

Die Junos Space Network Managementplattform gewährt Zugriffs- und Verwaltungsrechten nur denjenigen Benutzern, die durch den Authentifizierungsprozess validiert und durch den Autorisierungsprozess Berechtigungen erhalten.

Ein Junos Space Super Administrator oder Benutzeradministrator erstellt Benutzer und weist ihnen dann eine oder mehrere Rollen zu, damit sie auf Aufgaben und Objekte in Arbeitsbereichen der Junos Space-Plattform zugreifen und verwalten können. Die Rollen bestimmen, auf welche Arbeitsbereiche oder Arbeitsbereiche ein Benutzer zugreifen kann und welche Aufgaben der Benutzer innerhalb des Arbeitsbereichs oder der Arbeitsbereiche ausführen kann.

Als Junos Space Super Administrator oder Benutzeradministrator können Sie auch API-Zugriffsprofile erstellen und zuweisen, um Benutzer daran zu hindern, RPC-Befehle (Remote Procedure Call) auszuführen, die für Ihr Netzwerk möglicherweise unsicher oder schädlich sind. Einem API-Zugriffsprofil werden Regeln als XPath-Ausdrücke hinzugefügt, die bestimmen, ob ein RPC-Befehl ausgeführt werden soll oder nicht.

Benutzerauthentifizierung

Durch Authentifizierung validiert die Junos Space Network Managementplattform Benutzer anhand von Kennwörtern oder Zertifikaten. Die Junos Space Network Managementplattform unterstützt sowohl die lokale als auch die Remote-Benutzerauthentifizierung. Wenn ein Benutzer versucht, auf die Junos Space Network Managementplattform zuzugreifen, kann der Benutzer lokal authentifiziert werden, indem er bestätigt, dass das vom Benutzer bei der Anmeldung eingegebene Kennwort mit dem in der Junos Space-Plattformdatenbank oder remote über einen RADIUS- oder TACACS+-Server gespeicherten Kennwort übereinstimmt. Informationen zur Konfiguration von RADIUS- und TACACS+-Servern für die Remote-Authentifizierung und -Autorisierung finden Sie unter Konfigurieren eines RADIUS-Servers für Authentifizierung und Autorisierung und Konfigurieren eines TACACS+-Servers für Authentifizierung und Autorisierung.

Die Junos Space Network Managementplattform unterstützt außerdem eine zertifikatsbasierte Benutzerauthentifizierung und eine auf X.509-Zertifikaten basierende, parameterbasierte Benutzerauthentifizierung. Anstatt einen Benutzer anhand der Anmeldeinformationen des Benutzers zu authentifizieren, können Sie einen Benutzer anhand des Benutzerzertifikats authentifizieren, das als sicherer gilt. Weitere Informationen zur zertifikatsbasierten Authentifizierung oder der auf Zertifikatparametern basierenden Authentifizierung finden Sie unter Übersicht über die Verwaltung von Zertifikaten.

RBAC-Durchsetzung

Mit rollenbasierter Zugriffskontrolle (RBAC) definiert ein Junos Space Super Administrator oder Benutzeradministrator die Arbeitsbereiche, auf die Benutzer zugreifen können, die Systemressourcen, die Benutzer anzeigen und verwalten können, und die Aufgaben, die Benutzern innerhalb eines Arbeitsbereichs zur Verfügung stehen. RBAC wird in der Navigationshierarchie der Junos Space-Benutzeroberfläche nach Arbeitsbereich, Aufgabengruppe und Aufgabe durchgesetzt. Ein Benutzer kann nur auf die Bereiche der Navigationshierarchie zugreifen, die explizit über Zugriffsrechte gewährt werden. In den folgenden Abschnitten wird das Verhalten der RBAC-Durchsetzung auf jeder Ebene der Navigationshierarchie der Benutzeroberfläche beschrieben.

RBAC-Durchsetzung nach Arbeitsbereich

Die Junos Space-Benutzeroberfläche bietet eine aufgabenorientierte Umgebung, in der eine Sammlung zugehöriger Aufgaben nach Arbeitsbereich organisiert wird. Der Arbeitsbereich "Benutzer" definiert beispielsweise die Gruppe von Aufgaben, die mit der Verwaltung von Benutzern und Rollen zusammenhängen. Zu diesen Aufgaben gehören das Erstellen, Ändern und Löschen von Benutzern und das Zuweisen von Rollen. Die Durchsetzung nach Arbeitsbereich stellt sicher, dass ein Benutzer nur die Arbeitsbereiche anzeigen kann, die die Aufgaben enthalten, die der Benutzer ausführen kann. Beispielsweise kann ein Benutzer, dem die Gerätemanagerrolle zugewiesen ist, die allen Aufgaben im Geräte-Arbeitsbereich Zugriffsrechte gewährt, nur auf den Geräte-Arbeitsbereich zugreifen. Für diesen Benutzer sind keine anderen Arbeitsbereiche sichtbar, es sei denn, diesem Benutzer werden andere Rollen zugewiesen. Wenn einem Benutzer eine Rolle zugewiesen wird, die einigen Aufgaben in einem Workspace Zugriffsrechte gewährt, kann der Benutzer alle Aufgaben im Workspace anzeigen, aber nur die Aufgaben ausführen, für die Berechtigungen erteilt wurden.

RBAC-Durchsetzung wird auf der Seite "Erste Schritte" nicht unterstützt

Die RBAC-Durchsetzung ist für den Inhalt der Seite Erste Schritte nicht aktiviert. Daher kann ein Benutzer, der über keine bestimmten Zugriffsrechte verfügt, weiterhin die auf der Seite Erste Schritte angezeigten Schritte anzeigen. Beispielsweise wird einem Benutzer ohne Rechte zur Geräte-Verwaltung immer noch der Schritt "Geräte entdecken" zu sehen. Wenn der Benutzer jedoch auf den Schritt klickt, zeigt die Junos Space Network Management Platform eine Fehlermeldung an, die angibt, dass der Benutzer nicht über die Berechtigung für den Zugriff auf den Arbeitsbereich oder die Aufgaben verfügen, mit denen der Schritt verknüpft ist.

Ähnliche Dokumentation