Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Login-Einstellungen

Mit Junos OS Evolved können Sie verschiedene Einstellungen für Benutzer definieren, wenn sie sich bei einem Gerät anmelden. Sie (der Systemadministrator) können Folgendes konfigurieren:

  • Nachrichten oder Ankündigungen, die vor oder nach der Anmeldung angezeigt werden sollen
  • Ob Systemalarme bei der Anmeldung angezeigt werden sollen
  • Tipps zum Login
  • Timeout-Werte für Sitzungen im Leerlauf
  • Gibt an, ob ein Benutzerkonto nach einer Reihe fehlgeschlagener Authentifizierungsversuche gesperrt werden soll

Anzeige einer Systemanmeldeankündigung oder -meldung

Manchmal möchten Sie Ankündigungen nur für autorisierte Benutzer machen, nachdem sie sich bei einem Gerät angemeldet haben. Sie können z. B. ein bevorstehendes Wartungsereignis ankündigen. In anderen Fällen kann es angebracht sein, jedem Benutzer, der eine Verbindung mit dem Gerät herstellt, eine Meldung anzuzeigen, z. B. eine Sicherheitswarnung.

Standardmäßig zeigt Junos OS Evolved keine Anmeldemeldung oder -ansage an. Sie können das Gerät so konfigurieren, dass eine Anmeldemeldung oder -ankündigung angezeigt wird, indem Sie die message Anweisung oder die announcement Anweisung auf Hierarchieebene [edit system login] einfügen. Während das Gerät eine Anmeldung anzeigt, nachdem ein Benutzer eine Verbindung mit dem Gerät hergestellt hat, aber bevor sich der Benutzer anmeldet, wird erst dann eine announcement angezeigtmessage, nachdem sich der Benutzer erfolgreich am Gerät angemeldet hat.

Sie können den Nachrichten- oder Ankündigungstext mit den folgenden Sonderzeichen formatieren. Wenn der Text Leerzeichen enthält, schließen Sie ihn in Anführungszeichen ein:

  • \n—Neue Zeile

  • \t – Horizontale Registerkarte

  • \': Einfaches Anführungszeichen

  • \" – Doppeltes Anführungszeichen

  • \\—Backslash

So konfigurieren Sie eine Ansage, die nur autorisierten Benutzern angezeigt werden kann, und eine Meldung, die jeder Benutzer sehen kann:

  1. Fügen Sie die announcement Anweisung und die message Anweisung auf der [edit system login] Hierarchieebene ein.

    Zum Beispiel:

  2. Bestätigen Sie die Konfiguration.
  3. Stellen Sie eine Verbindung zum Gerät her, um das Vorhandensein der neuen Nachricht zu überprüfen.

    Im vorherigen Konfigurationsbeispiel wird die folgende Anmeldemeldung angezeigt, nachdem der Benutzer eine Verbindung mit dem Gerät hergestellt hat. Im Beispiel wird die Ankündigung angezeigt, nachdem sich der Benutzer angemeldet hat:

Anzeige von Systemalarmen bei der Anmeldung

Sie können Geräte von Juniper Networks so konfigurieren, dass der show system alarms Befehl immer dann ausgeführt wird, wenn sich ein Benutzer in einer bestimmten Anmeldeklasse beim Gerät anmeldet.

So zeigen Sie Alarme an, wenn sich ein Benutzer in einer bestimmten Anmeldeklasse am Gerät anmeldet:

  1. Konfigurieren Sie die login-alarms Anweisung für die entsprechende login-Klasse.

    So zeigen Sie z. B. Alarme an, wenn sich ein Benutzer in der admin Anmeldeklasse am Gerät anmeldet:

  2. Bestätigen Sie die Konfiguration.

Wenn sich ein Benutzer in der angegebenen Anmeldeklasse am Gerät anmeldet, zeigt das Gerät die aktuellen Alarme an.

Tipps zur Konfiguration der Anmeldung

Sie können die Junos OS Evolved CLI so konfigurieren, dass ein Tipp angezeigt wird, wenn sich ein Benutzer in der angegebenen Anmeldeklasse beim Gerät anmeldet. Das Gerät zeigt standardmäßig keine Tipps an.

So aktivieren Sie Tipps:

  1. Konfigurieren Sie die login-tip Anweisung auf Hierarchieebene [edit system login class class-name] .
  2. Bestätigen Sie die Konfiguration.

Wenn Sie die login-tip Anweisung konfigurieren, zeigt das Gerät jedem Benutzer in der angegebenen Klasse, der sich beim Gerät anmeldet, einen Tipp an.

Konfigurieren des Timeoutwerts für ungenutzte Anmeldesitzungen

Eine Anmeldesitzung im Leerlauf ist eine Sitzung, in der die CLI die Eingabeaufforderung für den Betriebsmodus oder den Konfigurationsmodus anzeigt, aber keine Eingabe über die Tastatur erfolgt. Standardmäßig bleibt eine Anmeldesitzung so lange eingerichtet, bis sich ein Benutzer vom Gerät abmeldet, auch wenn sich diese Sitzung im Leerlauf befindet. Um Leerlaufsitzungen automatisch zu schließen, müssen Sie für jede Anmeldeklasse ein Zeitlimit konfigurieren. Wenn eine Sitzung, die von einem Benutzer in dieser Klasse eingerichtet wurde, für das konfigurierte Zeitlimit inaktiv bleibt, wird die Sitzung automatisch geschlossen. Durch das automatische Schließen von Anmeldesitzungen im Leerlauf wird verhindert, dass böswillige Benutzer Zugriff auf das Gerät erhalten und Vorgänge mit einem autorisierten Benutzerkonto ausführen.

Sie können ein Leerlauftimeout nur für benutzerdefinierte Klassen konfigurieren. Sie können diese Option nicht für die vom System vordefinierten Klassen konfigurieren: operator, read-onlysuper-user , oder superuser, und unauthorized.

So definieren Sie den Timeout-Wert für Anmeldesitzungen im Leerlauf:

  1. Geben Sie die Anzahl der Minuten an, die eine Sitzung im Leerlauf sein kann, bevor das System die Sitzung automatisch schließt.

    So trennen Sie beispielsweise automatisch ungenutzte Sitzungen von Benutzern in der admin Klasse nach fünfzehn Minuten:

  2. Bestätigen Sie die Konfiguration.

Wenn Sie einen Timeout-Wert konfigurieren, zeigt die CLI Meldungen ähnlich der folgenden an, wenn bei einem Benutzer im Leerlauf eine Zeitüberschreitung auftritt. Die CLI zeigt diese Meldungen 5 Minuten vor dem Trennen der Verbindung zum Benutzer an.

Wenn Sie einen Timeoutwert konfigurieren, wird die Sitzung nach Ablauf der angegebenen Zeit geschlossen, außer in den folgenden Fällen:

  • Der Benutzer führt den ssh Befehl or telnet aus.

  • Der Benutzer ist bei der lokalen UNIX-Shell angemeldet.

  • Der Benutzer überwacht Schnittstellen mit dem monitor interface Befehl oder monitor traffic .

Optionen für den erneuten Anmeldevorgang

Sie können Optionen für Wiederholungsversuche auf Geräten von Juniper Network konfigurieren, um die Geräte vor böswilligen Benutzern zu schützen. Sie können die folgenden Optionen konfigurieren:

  • Die Häufigkeit, mit der ein Benutzer ungültige Anmeldeinformationen eingeben kann, bevor das System die Verbindung schließt.

  • Gibt an, wie lange ein Benutzerkonto gesperrt werden soll, nachdem der Benutzer den Schwellenwert für fehlgeschlagene Authentifizierungsversuche erreicht hat.

Das Begrenzen der Anmeldeversuche und das Sperren des Benutzerkontos tragen dazu bei, das Gerät vor böswilligen Benutzern zu schützen, die versuchen, auf das System zuzugreifen, indem sie das Kennwort eines autorisierten Benutzerkontos erraten. Sie können das Benutzerkonto entsperren oder einen Zeitraum definieren, in dem das Benutzerkonto gesperrt bleibt.

Sie konfigurieren Anmeldewiederholungsoptionen auf Hierarchieebene [edit system login retry-options] . Junos OS Evolved lässt drei erfolglose Anmeldeversuche zu, bevor das Gerät den Benutzer trennt. Sie können den Standardschwellenwert für fehlgeschlagene Anmeldeversuche nicht ändern.

Die lockout-period Anweisung weist das Gerät an, das Benutzerkonto für die angegebene Zeitspanne zu sperren, wenn der Benutzer den Schwellenwert für erfolglose Anmeldeversuche erreicht. Die Sperre verhindert, dass der Benutzer Aktivitäten ausführt, für die eine Authentifizierung erforderlich ist, bis der Sperrzeitraum abgelaufen ist oder ein Systemadministrator die Sperre manuell aufhebt. Vorhandene Sperren werden ignoriert, wenn der Benutzer versucht, sich von der lokalen Konsole aus anzumelden.

So konfigurieren Sie Optionen für die Wiederholung der Anmeldung:

  1. Konfigurieren Sie die Anzahl der Minuten, die das Benutzerkonto gesperrt bleibt, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat.

    So sperren Sie beispielsweise ein Benutzerkonto für 120 Minuten, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat:

  2. Bestätigen Sie die Konfiguration.

Anmerkung:

Um die Konsole während einer vom Administrator initiierten Abmeldung zu löschen, schließen Sie Zeilenumbruchzeichen (\n) ein, wenn Sie die message Anweisung auf Hierarchieebene [edit system login] konfigurieren. Um die Konsole vollständig zu löschen, kann der Administrator 50 oder mehr \n-Zeichen in die Meldungszeichenfolge eingeben. Zum Beispiel: