class (Defining Login Classes)

Ein Name, den Sie für die Anmeldeklasse wählen.

Geben Sie die Endzeit im HH:MM Format (24 Stunden) an, in HH der die Stunden stehen und MM die Minuten darstellen.

Geben Sie die Startzeit im HH:MM Format (24 Stunden) an, wobei HH die Stunden und MM die Minuten repräsentiert werden.

Geben Sie einen oder mehrere reguläre Ausdrücke an, damit Benutzer in dieser Klasse Befehle im Betriebsmodus ausführen können. Sie verwenden die allow-commands Anweisung oder die allow-commands-regexps Anweisung, um explizit die Autorisierung für Befehle zuzulassen, die sonst von den Zugriffsberechtigungsebenen für eine Anmeldeklasse verweigert würden.

Für dieallow-commands Anweisung muss jeder durch ein Pipe (|)-Symbol getrennte Ausdruck ein vollständiger eigenständiger Ausdruck sein und in Klammern eingeschlossen sein ( ). Verwenden Sie keine Leerzeichen zwischen regulären Ausdrücken, die mit Klammern getrennt und mit dem Pipe-Symbol (|) verbunden sind.

Für die allow-commands-regexps Anweisung konfigurieren Sie eine Gruppe von Zeichenfolgen, in denen jede Zeichenfolge ein regulärer Ausdruck ist, der in doppelten Anführungszeichen eingeschlossen und durch einen Space-Operator getrennt ist. Jede Zeichenfolge wird anhand des gesamten Pfads des Befehls ausgewertet, der eine schnellere Zuordnung als die allow-command Anweisung bietet. Sie können auch Werte für Variablen in die regulären Ausdrücke einfügen, die mit der allow-commands Anweisung nicht unterstützt werden.

Die deny-commands Anweisung hat deny-commands-regexps Vorrang, wenn sie in derselben Login-Klassendefinition verwendet wird.

Autorisierungen können auch per Fernzugriff konfiguriert werden, indem Sie in der Konfiguration Ihres Authentifizierungsservers herstellerspezifische TACACS+-Attribute von Juniper Networks angeben. Wenn die Autorisierungsparameter sowohl remote als auch lokal konfiguriert sind, werden für remote und lokal konfigurierte Autorisierungsparameter für einen Remotebenutzer beide gemeinsam für die Autorisierung berücksichtigt. Für einen lokalen Benutzer werden nur die Autorisierungsparameter berücksichtigt, die lokal für die Klasse konfiguriert sind.

• Standard: Wenn Sie Autorisierungen für Betriebsmodusbefehle nicht mithilfe der allow/deny-commands anweisungen konfigurieren allow/deny-commands-regexps , können Benutzer nur die Befehle bearbeiten, für die sie mit der permissions Anweisung Zugriffsrechte festgelegt haben.

• Syntax: regular-expression— Erweiterter (moderner) regulärer Ausdruck wie in POSIX 1003.2 definiert. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, umschließen Sie ihn in Anführungszeichen. Geben Sie beliebig viele Ausdrücke ein.

Geben Sie einen oder mehrere reguläre Ausdrücke an, damit Benutzer in dieser Klasse explizit auf die angegebenen Ebenen in der Konfigurationshierarchie zugreifen können, selbst wenn die mit der Anweisung festgelegten Berechtigungen diesen permissions Zugriff nicht gewähren.

Für dieallow-configuration Anweisung muss jeder durch ein Pipe (|)-Symbol getrennte Ausdruck ein vollständiger eigenständiger Ausdruck sein und in Klammern eingeschlossen sein ( ). Verwenden Sie keine Leerzeichen zwischen regulären Ausdrücken, die mit Klammern getrennt und mit dem Pipe-Symbol (|) verbunden sind.

Für die allow-configuration-regexps Anweisung konfigurieren Sie eine Gruppe von Zeichenfolgen, in denen jede Zeichenfolge ein regulärer Ausdruck ist, der in doppelten Anführungszeichen eingeschlossen und durch einen Space-Operator getrennt ist. Jede Zeichenfolge wird anhand des gesamten Pfads des Befehls ausgewertet, der eine schnellere Übereinstimmung als die allow/deny-configuration Anweisungen bietet. Sie können auch Werte für Variablen in die regulären Ausdrücke einbeziehen, die mithilfe der allow/deny-configuration Anweisungen nicht unterstützt werden.

Die deny-configuration Anweisung hat deny-configuration-regexps Vorrang, wenn sie in derselben Login-Klassendefinition verwendet wird.

• Standard: Wenn Sie die allow-configuration/allow-configuration-regexps Anweisung und die deny-configuration/deny-configuration-regexps Anweisung weglassen, können Benutzer nur die Befehle bearbeiten, für die sie über die permissions Anweisung Zugriffsrechte haben.

• Syntax: regular-expression— Erweiterter (moderner) regulärer Ausdruck wie in POSIX 1003.2 definiert. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, umschließen Sie ihn in Anführungszeichen. Geben Sie beliebig viele Ausdrücke ein.

Alle versteckten Befehle können ausgeführt werden. Wenn die Anweisung no-hidden-commands auf der Hierarchieebene von [System bearbeiten] angegeben ist, überschreibt diese Einschränkung für diese Anmeldeklasse. Bei versteckten Befehlen handelt es sich um Junos OS-Befehle, die nicht veröffentlicht werden, aber auf einem Router ausgeführt werden können. Verborgene Befehle dienen einem bestimmten Zweck, werden aber größtenteils nicht verwendet und als solche nicht aktiv unterstützt. Mit der Anweisung no-hidden-commands auf der Hierarchieebene von [system bearbeiten] können Sie alle versteckten Befehle für alle Benutzer außer den Stammbenutzern blockieren.

• Standard: Standardmäßig sind verborgene Befehle aktiviert.

Beschränken Sie den eingehenden Remotezugriff auf nur bestimmte Hosts. Geben Sie eine oder mehrere Quelladressen an, von denen aus der Zugriff zulässig ist. Die Quelladressen können IPv4- oder IPv6-Adressen, Präfixlängen oder Hostnamen sein.

Beschränken Sie den Remotezugriff auf bestimmte Zeiten.

Geben Sie einen oder mehrere Tage der Woche an, an denen sich Benutzer in dieser Klasse anmelden dürfen.

• Werte:

  • Montag – Montag

  • Dienstag – Dienstag

  • Mittwoch – Mittwoch

  • Donnerstag – Donnerstag

  • Freitag – Freitag

  • Samstag – Samstag

  • Sonntag – Sonntag

Legen Sie die für die Anmeldeklasse angegebene CLI-Eingabeaufforderung fest. Wenn eine CLI-Eingabeaufforderung auch auf der Hierarchieebene [Systemanmeldungsbenutzer-CLI bearbeiten] festgelegt ist, hat der Eingabeaufforderungssatz für den Anmeldebenutzer Vorrang vor dem Eingabeaufforderungssatz für die Anmeldeklasse.

Aktivieren Sie die Breadcrumbs-Ansicht der Konfiguration in der BEFEHLSZEILE, um den Speicherort in der Konfigurationshierarchie anzuzeigen. Ein Beispiel für die Aktivierung dieser Ansicht finden Sie unter Aktivieren von Konfigurations-Breadcrumbs .

Geben Sie an, dass die Bestätigung für bestimmte Befehle explizit erforderlich ist, und geben Sie optional die Formulierung der Nachricht an, die zur Bestätigungszeit angezeigt wird. Sie können die Befehle über eine Liste regulärer Ausdrücke oder Befehle angeben.

• Syntax: Nachricht

• Standard: Wenn Sie diese Option auslassen, ist keine Bestätigung für Befehle erforderlich. Wenn die optionale Nachricht nicht festgelegt ist, wird die Standardnachricht "Möchten Sie fortfahren?" angezeigt.

Geben Sie einen oder mehrere reguläre Ausdrücke an, um Benutzern in dieser Klasse explizit die Berechtigung zu verweigern, Befehle im Betriebsmodus auszugeben, obwohl die mit der Anweisung festgelegten Berechtigungen dies permissions zulassen würden.

Für die deny-commands Anweisung muss jeder Durchdruck, der durch ein Pipe-Symbol (|) getrennt ist, ein vollständiger eigenständiger Ausdruck sein und in Klammern ( ) eingeschlossen sein. Verwenden Sie keine Leerzeichen zwischen regulären Ausdrücken, die mit Klammern getrennt und mit dem Pipe-Symbol (|) verbunden sind.

Für die deny-commands-regexps Anweisung konfigurieren Sie eine Gruppe von Zeichenfolgen, in denen jede Zeichenfolge ein regulärer Ausdruck ist, der in doppelten Anführungszeichen eingeschlossen und durch einen Space-Operator getrennt ist. Jede Zeichenfolge wird anhand des gesamten Pfads des Befehls ausgewertet, der eine schnellere Übereinstimmung als die allow/deny-command Anweisungen bietet. Sie können auch Werte für Variablen in die regulären Ausdrücke einbeziehen, die mithilfe der allow/deny-commands Anweisungen nicht unterstützt werden.

Ausdrücke, die mit der deny-commands oder der deny-commands-regexps Anweisung konfiguriert sind, haben Vorrang vor Ausdrücken, die mit konfiguriert allow-commands/allow-commands-regexps sind, wenn die beiden Anweisungen in derselben Login-Klassendefinition verwendet werden.

Autorisierungen können auch per Fernzugriff konfiguriert werden, indem Sie in der Konfiguration Ihres Authentifizierungsservers herstellerspezifische TACACS+-Attribute von Juniper Networks angeben. Wenn die Autorisierungsparameter sowohl remote als auch lokal konfiguriert sind, werden für remote und lokal konfigurierte Autorisierungsparameter für einen Remotebenutzer beide gemeinsam für die Autorisierung berücksichtigt. Für einen lokalen Benutzer werden nur die Autorisierungsparameter berücksichtigt, die lokal für die Klasse konfiguriert sind.

• Standard: Wenn Sie Autorisierungen für Befehle im Betriebsmodus nicht mithilfe allow/deny-commands von oder allow/deny-commands-regexpskonfigurieren, können Benutzer nur die Befehle bearbeiten, für die sie mit der permissions Anweisung Zugriffsrechte festgelegt haben.

• Syntax: regular-expression— Erweiterter (moderner) regulärer Ausdruck wie in POSIX 1003.2 definiert. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, umschließen Sie ihn in Anführungszeichen. Geben Sie beliebig viele Ausdrücke ein.

Geben Sie einen oder mehrere reguläre Ausdrücke an, um Benutzern in dieser Klasse den Zugriff auf die angegebenen Ebenen in der Konfigurationshierarchie explizit zu verweigern, selbst wenn die mit der Anweisung festgelegten Berechtigungen diesen permissions Zugriff gewähren. Beachten Sie, dass der Benutzer keine bestimmte Hierarchie anzeigen kann, wenn der Konfigurationszugriff für diese Hierarchie verweigert wird.

Für die deny-configuration Anweisung muss jeder Durchdruck, der durch ein Pipe-Symbol (|) getrennt ist, ein vollständiger eigenständiger Ausdruck sein und in Klammern ( ) eingeschlossen sein. Verwenden Sie keine Leerzeichen zwischen regulären Ausdrücken, die mit Klammern getrennt und mit dem Pipe-Symbol (|) verbunden sind.

Für die deny-configuration-regexps Anweisung konfigurieren Sie eine Gruppe von Zeichenfolgen, in denen jede Zeichenfolge ein regulärer Ausdruck ist, der in doppelten Anführungszeichen eingeschlossen und durch einen Space-Operator getrennt ist. Jede Zeichenfolge wird anhand des gesamten Pfads des Befehls ausgewertet, der eine schnellere Übereinstimmung als die allow/deny-configuration Anweisungen bietet. Sie können auch Werte für Variablen in die regulären Ausdrücke einbeziehen, die mithilfe der allow/deny-configuration Anweisungen nicht unterstützt werden.

Ausdrücke, die mit deny-configuration/deny-configuration-regexps Vorrang vor Ausdrücken allow-configuration/allow-configuration-regexps konfiguriert sind, wenn die beiden Anweisungen in derselben Login-Klassendefinition verwendet werden.

• Standard: Wenn Sie die deny-configuration/deny-configuration-regexps Anweisung und die allow-configuration/allow-configuration-regexps Anweisung weglassen, können Benutzer die Ebenen in der Konfigurationshierarchie bearbeiten, für die sie über die permissions Anweisung Zugriffsrechte haben.

• Syntax: regular-expression— Erweiterter (moderner) regulärer Ausdruck wie in POSIX 1003.2 definiert. Wenn der reguläre Ausdruck Leerzeichen, Operatoren oder Platzhalterzeichen enthält, umschließen Sie ihn in Anführungszeichen. Geben Sie beliebig viele Ausdrücke ein.

Remotezugriff von diesen Hosts niemals zulassen. Die Quelladressen können IPv4- oder IPv6-Adressen, Präfixlängen oder Hostnamen sein.

In diesen Zeiten ist kein Remotezugriff möglich.

Konfigurieren Sie für eine Anmeldeklasse die maximale Zeit in Minuten, in der eine Sitzung nicht aktiv sein kann, bevor die Sitzung sich auszeitt und der Benutzer am Gerät abgemeldet wird. Die Sitzung ist nach dem Verbleib im CLI-Betriebsmodus für die angegebene Zeit zeitaufgebleibt.

• Standard: Wenn Sie diese Anweisung auslassen, wird ein Benutzer nach längeren Leerlaufzeiten niemals vom System vertrieben.

• Syntax: minutes— Maximale Zeit in Minuten, in der eine Sitzung ungenutzt bleiben kann, bevor ein Benutzer abgemeldet wird.

• Bereich: Bereich: 0 bis 4294967295 Minuten

  Anmerkung:

  Die Funktion idle-timeout ist deaktiviert, wenn der Wert von Minuten auf 0 festgelegt ist.

Systemalarme anzeigen, wenn sich ein Benutzer mit admin Berechtigungsprotokollen am Gerät anmeldet. Weitere Informationen zur Konfiguration dieser Anweisung finden Sie unter Konfigurieren von Systemalarmen, die bei der Anmeldung automatisch angezeigt werden.

Führen Sie das angegebene Op-Skript aus, wenn sich ein Benutzer der Klasse in der CLI anmeldet. Das Skript muss in der Konfiguration aktiviert sein.

Weisen Sie die Benutzer in dieser Anmeldeklasse einem logischen System zu. Wenn Sie ein logisches System angeben, können Sie die Satellitenkonfigurationsanweisung nicht in die Konfiguration für diese Anmeldeklasse einfügen.

Cli-Tipps bei der Anmeldung anzeigen.

• Standard: Wenn diese Anweisung nicht konfiguriert ist, werden cli-Tipps nicht angezeigt.

Verweigern Sie allen versteckten Befehlen, mit Ausnahme der angegebenen, für Benutzer in dieser Anmeldeklasse. Jeder als Ausnahme aufgeführte Befehl muss in Anführungszeichen eingeschlossen sein.

• Standard: Standardmäßig sind verborgene Befehle aktiviert.

• Syntax: außer ["Command 1" "Command 2"...]

Deaktivieren Sie eingehende SCP-Verbindungen für diese Anmeldeklasse.

Deaktivieren Sie eingehende SFTP-Verbindungen für diese Anmeldeklasse.

Geben Sie Anmeldezugriffsrechte für die Anmeldeklasse an.

• Syntax: permissions— Mindestens eine Berechtigungs-Flags, die gemeinsam die Zugriffsrechte für die Anmeldeklasse angeben. Berechtigungs-Flags sind nicht kumulativ. Daher müssen Sie für jede Klasse alle erforderlichen Berechtigungs-Flags auflisten, einschließlich view zur Anzeige von Informationen und configure zum Eingeben des Konfigurationsmodus. Eine Liste der Berechtigungs-Flags finden Sie unter Berechtigungs-Flags für Anmeldeklassen.

Geben Sie den Zugriff auf Junos Fusion-Satellitengeräte für die Anmeldeklasse an. Alle der Anmeldeklasse zugewiesenen Benutzer sind Satellitenbenutzer. Wenn Sie diese Anweisung einfügen, können Sie die Konfigurationsanweisung des logischen Systems nicht in die Konfiguration für diese Anmeldeklasse einbeziehen.

• Werte:

  • alle – Geben Sie alle Junos Fusion Satellitengeräte an.

Geben Sie mindestens eine Common Criteria (ISO/IEC 15408)-Sicherheitsrollen für die Anmeldeklasse an.

• Werte:

  audit-administrator	Geben Sie an, welche Benutzer für die regelmäßige Überprüfung bestimmter ToE-Auditdaten (Target of Evaluation) und das Löschen von Auditpfaden verantwortlich sind. Auditadministratoren können auch den nicht-kryptographischen Selbsttest aufrufen.
  crypto-administrator	Geben Sie an, welche Benutzer für die Konfiguration und Wartung von Kryptographieelementen im Zusammenhang mit der Einrichtung sicherer Verbindungen zu und von den TOE-Auditdaten verantwortlich sind.
  ids-administrator	Geben Sie an, welche Benutzer als Intrusion Detection Service (IDS)-Administratoren fungieren können, die für alle Aktivitäten in Bezug auf die Identitäts- und Zugriffsverwaltung der Mitarbeiter des Unternehmens verantwortlich sind.
  security-administrator	Geben Sie an, welche Benutzer dafür verantwortlich sind, dass die Sicherheitsrichtlinien des Unternehmens vorhanden sind.

Weisen Sie die Benutzer dieser Klasse einem Mandantensystem zu. Mandantensysteme werden verwendet, wenn Sie Abteilungen, Organisationen oder Kunden voneinander trennen müssen, und jedes von ihnen kann auf einen virtuellen Router beschränkt sein. Der Hauptunterschied zwischen einem logischen System und einem Mandantensystem besteht darin, dass ein logisches System erweiterte Routing-Funktionen mit mehreren Routing-Instanzen unterstützt. Im Vergleich dazu unterstützt ein Mandantensystem nur eine Routing-Instanz, unterstützt aber die Bereitstellung von deutlich mehr Mandanten pro System.