Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Anmeldungsklassen – Übersicht

Junos OS Evolved-Anmeldeklassen definieren die Zugriffsrechte, Berechtigungen für die Verwendung von CLI-Befehlen und -Anweisungen sowie die Ruhezeit der Sitzung für die Benutzer, die dieser Klasse zugewiesen sind. Sie (der Systemadministrator) können eine Anmeldeklasse auf ein individuelles Benutzerkonto anwenden und dem Benutzer bestimmte Berechtigungen und Berechtigungen zuweisen.

Anmeldungsklassen – Übersicht

Alle Benutzer, die sich bei einem Gerät mit Junos OS Evolved anmelden können, müssen in einer Anmeldeklasse sein. Jede Anmeldeklasse definiert Folgendes:

  • Zugriffsrechte, die Benutzer haben, wenn sie sich bei dem Netzwerkgerät anmelden

  • Befehle, die Benutzer ausführen können und nicht

  • Konfigurationsanweisungen, die Benutzer anzeigen oder ändern können

  • Die Zeit, in der eine Anmeldesitzung nicht unterbrochen werden kann, bevor das System den Benutzer trennt

Sie können eine beliebige Anzahl von Anmeldeklassen definieren. Sie weisen jedoch nur eine Anmeldeklasse einem individuellen Benutzerkonto zu.

Junos OS Evolved enthält vordefinierte Anmeldeklassen, die in Tabelle 1 aufgeführt sind. Sie können die vordefinierten Anmeldeklassen nicht ändern.

Tabelle 1: Vordefinierte Systemanmeldungsklassen

Login-Klasse

Berechtigungs-Flag-Set

operator

Clear, Netzwerk, Reset, Trace und View

read-only

ansehen

superuser Oder super-user

Alle

unauthorized

Nichts
Hinweis:

  • Sie können einen vordefinierten Anmeldeklassennamen nicht ändern. Wenn Sie den set Befehl für einen vordefinierten Klassennamen ausstellen, hängt -local das Gerät an den Anmeldeklassennamen an und gibt die folgende Warnung aus:

  • Sie können den rename Befehl für copy eine vordefinierte Anmeldeklasse nicht ausstellen. Dadurch wird die folgende Fehlermeldung angezeigt:

Berechtigungsbits

Jedem CLI-Befehl der obersten Ebene und jeder Konfigurationsaussage ist eine Zugriffsberechtigungsstufe zugeordnet. Benutzer können nur diese Befehle ausführen und nur die Anweisungen konfigurieren und anzeigen, für die sie Zugriffsrechte haben. Jede Anmeldeklasse definiert ein oder mehrere Berechtigungsbits, die die Zugriffsrechte bestimmen.

Zwei Formulare für die Berechtigungen steuern, ob ein Benutzer die einzelnen Teile der Konfiguration anzeigen oder ändern kann:

  • Formular "Plain": Bietet schreibgeschützte Funktionen für diesen Berechtigungstyp. Ein Beispiel ist interface.

  • -control form: Bietet Lese- und Schreibfunktionen für diesen Berechtigungstyp. Ein Beispiel ist interface-control.

Tabelle 2 enthält die Berechtigungs-Flags und die zugehörigen Zugriffsrechte.

Tabelle 2: Berechtigungsflaggen für Anmeldeklassen

Berechtigungsflagge

Beschreibung

access

Kann die Zugriffskonfiguration im Betriebs- oder Konfigurationsmodus anzeigen.

access-control

Kann Zugriffsinformationen auf [edit access] Hierarchieebene anzeigen und konfigurieren.

admin

Kann Benutzerkontoinformationen im Betriebs- oder Konfigurationsmodus anzeigen.

admin-control

Kann Benutzerkontoinformationen anzeigen und auf [edit system] Hierarchieebene konfigurieren.

all

Kann auf alle Betriebsmodusbefehle und Konfigurationsmodusbefehle zugreifen. Kann die Konfiguration in allen Konfigurationshierarchieebenen ändern.

clear

Kann Informationen löschen (löschen), die das Gerät aus dem Netzwerk lernt und (mithilfe der clear Befehle) in verschiedenen Netzwerkdatenbanken speichert.

configure

Kann in den Konfigurationsmodus (mit dem configure Befehl) und Commit-Konfigurationen (mit dem commit Befehl) gehen.

control

Kann alle Vorgänge auf Steuerungsebene durchführen – alle Vorgänge mit den -control Berechtigungs-Flags konfiguriert.

field

Kann Befehle zum Debuggen von Felden anzeigen. Für Debugging-Unterstützung reserviert.

firewall

Kann die Firewall-Filterkonfiguration im Betriebs- oder Konfigurationsmodus anzeigen.

firewall-control

Kann Firewall-Filterinformationen auf [edit firewall] Hierarchieebene anzeigen und konfigurieren.

floppy

Kann von den Wechselmedien lesen und darauf schreiben.

flow-tap

Kann die Fluss-Tap-Konfiguration im Betriebs- oder Konfigurationsmodus anzeigen.

flow-tap-control

Kann Datenfluss-Tap-Informationen auf [edit services flow-tap] Hierarchieebene anzeigen und konfigurieren.

flow-tap-operation

Kann Datenstrom-Tap-Anforderungen an den Router oder Switch stellen. Ein DTCP-Client (Dynamic Tasking Control Protocol) muss flow-tap-operation beispielsweise über die Berechtigung verfügen, sich als Administrator bei Junos OS Evolved zu authentifizieren.

Hinweis:

Die flow-tap-operation Option ist nicht im Berechtigungs-Flag all-control enthalten.

idp-profiler-operation

Kann Profiler-Daten anzeigen.

interface

Kann die Schnittstellenkonfiguration im Betriebs- und Konfigurationsmodus anzeigen.

interface-control

Kann Gehäuse, Class of Service (CoS), Gruppen, Weiterleitungsoptionen und Konfigurationsinformationen für Schnittstellen anzeigen. Kann die Konfiguration auf den folgenden Hierarchieebenen ändern:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

Kann Systemwartung durchführen, einschließlich des Startens einer lokalen Shell auf dem Gerät und der Superuser in der Shell (mit dem su root Befehl) und Anhalten und Neustart des Geräts (mit den request system Befehlen).

network

Kann mithilfe von , ssh, und traceroute telnetBefehlen auf das pingNetzwerk zugreifen.

pgcp-session-mirroring

Kann die Sitzungsspiegelungskonfiguration pgcp anzeigen.

pgcp-session-mirroring-control

Kann die Konfiguration der Sitzungsspiegelung pgcp ändern.

reset

Kann Softwareprozesse mit dem restart Befehl neu starten.

rollback

Kann den rollback Befehl verwenden, um zu einer zuvor festgelegten Konfiguration zurückzukehren.

routing

Kann allgemeine Routing-, Routing-Protokoll- und Routingrichtlinienkonfigurationsinformationen im Konfigurations- und Betriebsmodus anzeigen.

routing-control

Kann allgemeines Routing auf Hierarchieebene [edit routing-options] , Routing-Protokolle auf [edit protocols] Hierarchieebene und Routing-Richtlinieninformationen auf [edit policy-options] Hierarchieebene anzeigen und konfigurieren.

secret

Kann Passwörter und andere Authentifizierungsschlüssel in der Konfiguration anzeigen.

secret-control

Kann Kennwörter und andere Authentifizierungsschlüssel in der Konfiguration anzeigen und ändern.

security

Kann Sicherheitskonfigurationsinformationen im Betriebs- und Konfigurationsmodus anzeigen.

security-control

Kann Sicherheitsinformationen auf [edit security] Hierarchieebene anzeigen und konfigurieren.

shell

Kann eine lokale Shell auf dem Router oder Switch mit dem start shell Befehl starten.

snmp

Kann SNMP-Konfigurationsinformationen (Simple Network Management Protocol) im Betriebs- oder Konfigurationsmodus anzeigen.

snmp-control

Kann SNMP-Konfigurationsinformationen auf [edit snmp] Hierarchieebene anzeigen und ändern.

system

Kann Informationen auf Systemebene im Betriebs- oder Konfigurationsmodus anzeigen.

system-control

Kann Konfigurationsinformationen auf Systemebene auf [edit system] Hierarchieebene anzeigen und ändern.

trace

Kann Trace-Dateieinstellungen anzeigen und Trace-Dateieigenschaften konfigurieren.

trace-control

Kann Trace-Dateieinstellungen ändern und Trace-Dateieigenschaften konfigurieren.

view

Kann verschiedene Befehle verwenden, um die aktuelle systemweite Routing-Tabelle sowie protokollspezifische Werte und Statistiken anzuzeigen. Die geheime Konfiguration kann nicht angezeigt werden.

view-configuration

Kann alle Konfigurationen mit Ausnahme von geheimnissen, Systemskripten und Ereignisoptionen anzeigen.

Hinweis:

Nur Benutzer mit der maintenance Berechtigung können Commit-Skript-, Op-Skript- oder Ereignisskriptkonfiguration anzeigen.

Einzelne Befehle und Anweisungshierarchien ablehnen oder zulassen

Standardmäßig verfügen alle CLI-Befehle und -Anweisungen der obersten Ebene über entsprechende Zugriffsberechtigungsstufen. Benutzer können nur diese Befehle ausführen und nur die Anweisungen anzeigen und konfigurieren, für die sie Zugriffsrechte haben. Für jede Anmeldeklasse können Sie Benutzern explizit die Verwendung von Betriebsmodusbefehlen, Konfigurationsmodusbefehlen und Konfigurationsbefehlen sowie Konfigurationsaussagenhierarchien, die anderweitig durch ein Berechtigungsbit zulässig oder verweigert werden, verweigern.

Beispiel: Erstellen von Anmeldeklassen mit spezifischen Berechtigungen

Sie definieren Anmeldeklassen, um Bestimmten Berechtigungen oder Einschränkungen Gruppen von Benutzern zuzuweisen und sicherzustellen, dass sensible Befehle nur für die entsprechenden Benutzer zugänglich sind. Standardmäßig verfügen Geräte von Juniper Networks über vier Arten von Anmeldeklassen mit voreingestellten Berechtigungen: Betreiber, schreibgeschützter Benutzer, Superuser oder Superbenutzer und nicht autorisierte.

Sie können benutzerdefinierte Anmeldeklassen erstellen, um verschiedene Kombinationen von Berechtigungen zu definieren, die in den Standardanmeldungsklassen nicht gefunden werden. Das folgende Beispiel zeigt drei benutzerdefinierte Anmeldeklassen mit jeweils spezifischen Berechtigungen und Inaktivitäts-Timern. Inaktivitäts-Timer tragen zum Schutz der Netzwerksicherheit bei, indem sie einen Benutzer vom Netzwerk trennen, wenn der Benutzer zu lange inaktiv ist. Die Trennung des Benutzers verhindert potenzielle Sicherheitsrisiken, die entstehen, wenn ein Benutzer ein unbeaufsichtigtes Konto an einem Switch oder Router anmeldet. Die hier gezeigten Berechtigungen und Inaktivitäts-Timer sind nur Beispiele. sollten Sie die Werte an Ihr Unternehmen anpassen.

Die drei Anmeldeklassen und ihre Berechtigungen sind wie folgt. Alle drei Anmeldeklassen verwenden den gleichen Inaktivitäts-Timer von 5 Minuten.

  • observation— Kann nur Statistiken und die Konfiguration anzeigen
  • operation— Kann die Konfiguration anzeigen und ändern
  • engineering— Uneingeschränkter Zugriff und uneingeschränkte Kontrolle