Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Administrative Rollen

Junos OS ermöglicht es Ihnen, einen Systembenutzer zu definieren, der als eine bestimmte Art von Administrator für das System fungiert. Sie können einem Benutzer eine Administratorrolle zuweisen, indem Sie eine Anmeldeklasse so konfigurieren, dass sie über die Attribute der Administratorrolle verfügt. Sie können einem Administrator eines der Rollenattribute wie Audit-Officer Crypto-Officer, Security-Officer, IDS-Officer zuweisen.

Entwerfen von Administratorrollen

Ein Systembenutzer kann Mitglied einer Klasse sein, die es dem Benutzer ermöglicht, als eine bestimmte Art von Administrator für das System zu fungieren. Wenn eine bestimmte Rolle zum Anzeigen oder Ändern eines Elements erforderlich ist, wird der Umfang der Informationen eingeschränkt, die ein Benutzer vom System abrufen kann. Es schränkt auch ein, wie viel des Systems für Änderungen oder Beobachtungen durch einen Benutzer offen ist. Sie (der Systemadministrator) sollten beim Entwerfen von Administratorrollen die folgenden Richtlinien befolgen:

  • Erlauben Sie keinem Benutzer, sich als root.

  • Beschränken Sie jeden Benutzer auf die kleinste Anzahl von Berechtigungen, die zum Ausführen der Aufgaben des Benutzers erforderlich sind.

  • Lassen Sie nicht zu, dass ein Benutzer zu einer Anmeldeklasse gehört, die das shell Berechtigungsflag enthält. Das shell Berechtigungsflag ermöglicht es Benutzern, den start shell Befehl über die CLI auszuführen.

  • Erlauben Sie Benutzern Rollback-Berechtigungen. Rollback-Berechtigungen ermöglichen es Benutzern, eine von einem Administrator ausgeführte Aktion rückgängig zu machen, erlauben ihnen jedoch nicht, die Änderungen zu übernehmen.

Sie können einem Benutzer eine Administratorrolle zuweisen, indem Sie eine Anmeldeklasse so konfigurieren, dass sie über die für die Rolle erforderlichen Berechtigungen verfügt. Sie können jede Klasse so konfigurieren, dass der Zugriff auf Konfigurationsanweisungen und Befehle anhand des Namens zugelassen oder verweigert wird. Diese Einschränkungen haben Vorrang vor allen Berechtigungsflags, die ebenfalls in der Klasse konfiguriert sind. Sie können einem Administrator eines der folgenden Rollenattribute zuweisen:

  • Crypto-administrator: Ermöglicht dem Benutzer die Konfiguration und Überwachung kryptografischer Daten.

  • Security-administrator– Ermöglicht dem Benutzer das Konfigurieren und Überwachen von Sicherheitsdaten.

  • Audit-administrator– Ermöglicht dem Benutzer das Konfigurieren und Überwachen von Überwachungsdaten.

  • IDS-administrator– Ermöglicht es dem Benutzer, die IDS-Sicherheitsprotokolle (Intrusion Detection Service) zu überwachen und zu löschen.

Jede Rolle kann die folgenden spezifischen Verwaltungsfunktionen ausführen:

  • Cryptographic Administrator

    • Konfiguriert den kryptografischen Selbsttest.

    • Ändert die Parameter der kryptografischen Sicherheitsdaten.

  • Audit Administrator

    • Konfiguriert und löscht die Funktion zum Suchen und Sortieren von Audit-Überprüfungen.

    • Durchsucht und sortiert Audit-Datensätze.

    • Konfiguriert Such- und Sortierparameter.

    • Manuelles Löschen von Überwachungsprotokollen.

  • Security Administrator

    • Ruft das Verhalten des kryptografischen Selbsttests auf, bestimmt und ändert es.

    • Aktiviert, deaktiviert, bestimmt und ändert die Funktionen "Audit-Analyse" und "Audit-Auswahl" und konfiguriert das Gerät für das automatische Löschen von Audit-Protokollen.

    • Aktiviert oder deaktiviert Sicherheitsalarme.

    • Gibt Grenzwerte für Kontingente für Transportschichtverbindungen an.

    • Gibt die Grenzwerte, Netzwerkbezeichner und Zeiträume für Kontingente für kontrollierte verbindungsorientierte Ressourcen an.

    • Gibt die Netzwerkadressen an, die für die Verwendung des Internet Control Message Protocol (ICMP) oder des Address Resolution Protocol (ARP) zulässig sind.

    • Konfiguriert die Uhrzeit und das Datum, die in Zeitstempeln verwendet werden.

    • Abfrage, Änderung, Löschung und Erstellung der Informationsfluss- oder Zugriffssteuerungsregeln und -attribute für die nicht authentifizierte Sicherheitsfunktionsrichtlinie für den Informationsfluss (SFP), die Sicherheitsfunktionsrichtlinie für authentifizierte Informationsflüsse, die nicht authentifizierten Gerätedienste und die Richtlinie für die freigegebene Zugriffssteuerung.

    • Gibt Anfangswerte an, die Standardwerte außer Kraft setzen, wenn Objektinformationen unter nicht authentifiziertem Informationsfluss-SFP, authentifiziertem Informationsfluss-SFP, TOE-Services (nicht authentifiziertes Ziel der Auswertung) und der freigegebenen Zugriffssteuerungsrichtlinie erstellt werden.

    • Erstellt, löscht oder ändert die Regeln, die die Adresse steuern, von der aus Verwaltungssitzungen eingerichtet werden können.

    • Gibt Sicherheitsattribute an, die den Benutzern, Subjekten und Objekten zugeordnet sind, und widerruft sie.

    • Gibt den Prozentsatz der Überwachungsspeicherkapazität an, bei dem das Gerät Administratoren benachrichtigt.

    • Behandelt Authentifizierungsfehler und ändert die Anzahl der fehlgeschlagenen Authentifizierungsversuche über SSH oder über die CLI, die auftreten können, bevor die progressive Drosselung für weitere Authentifizierungsversuche erzwungen wird und bevor die Verbindung unterbrochen wird.

    • Verwaltet die grundlegende Netzwerkkonfiguration des Geräts.

  • IDS Administrator: Gibt IDS-Sicherheitsalarme, Intrusion-Alarme, Audit-Auswahlen und Audit-Daten an.

Sie müssen das security-role-Attribut in den Klassen festlegen, die für diese Administratorrollen erstellt wurden. Dieses Attribut schränkt ein, welche Benutzer die Sicherheitsprotokolle anzeigen und löschen können, d. h. Aktionen, die nicht allein durch die Konfiguration ausgeführt werden können.

Sie müssen z. B. das Attribut security-role in der Klasse festlegen, die ids-admin für die IDS-Administratorrolle erstellt wurde, wenn Sie das Löschen und Anzeigen von IDS-Protokollen auf die IDS-Administratorrolle beschränken möchten. Ebenso müssen Sie die Sicherheitsrolle auf einen der anderen Administratorwerte festlegen, um zu verhindern, dass diese Klasse nur Nicht-IDS-Protokolle löschen und anzeigen kann.

HINWEIS:

Wenn ein Benutzer eine vorhandene Konfiguration löscht, verbleiben die Konfigurationsanweisungen auf der Hierarchieebene der gelöschten Konfiguration (die untergeordneten Objekte, zu deren Änderung der Benutzer nicht berechtigt ist) im Gerät.

Beispiel: Konfigurieren von Administratorrollen

In diesem Beispiel wird gezeigt, wie einzelne Administratorrollen für einen eigenen, eindeutigen Satz von Berechtigungen konfiguriert werden, der sich von allen anderen Administratorrollen unterscheidet.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine über die Geräteinitialisierung hinausgehende Aktion erforderlich.

Überblick

In diesem Beispiel wird veranschaulicht, wie vier Administratorbenutzerrollen konfiguriert werden:

  • audit-officer der Klasse audit-admin

  • crypto-officer der Klasse crypto-admin

  • security-officer der Klasse security-admin

  • ids-officer der Klasse ids-admin

Wenn eine security-admin Klasse konfiguriert ist, werden die Berechtigungen zum Erstellen von Administratoren dem Benutzer entzogen, der die security-admin Klasse erstellt hat. Das Anlegen neuer Benutzer und Logins liegt im Ermessen der security-officer.

In diesem Beispiel erstellen Sie die vier Administratorbenutzerrollen, die in der obigen Liste aufgeführt sind (Audit-Administrator, Krypto-Administrator, Sicherheitsadministrator und IDS-Administrator). Für jede Rolle weisen Sie relevante Berechtigungskennzeichen für die Rolle zu. Anschließend erlauben oder verweigern Sie den Zugriff auf Konfigurationsanweisungen und Befehle anhand des Namens für jede Administratorrolle. Diese spezifischen Einschränkungen haben Vorrang vor den in der Klasse konfigurierten Berechtigungsflags. Beispielsweise kann nur der Befehl ausgeführt request system set-encryption-key werdencrypto-admin, was das security Berechtigungsflag für den Zugriff erfordert. Nur die security-admin kann die system time-zone Anweisung in die Konfiguration aufnehmen, was das system-control Berechtigungsflag erfordert.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie Administratorrollen:

  1. Erstellen Sie die login-Klasse audit-admin .

  2. Konfigurieren Sie die Einschränkungen der audit-admin Anmeldeklasse.

  3. Erstellen Sie die login-Klasse crypto-admin .

  4. Konfigurieren Sie die Einschränkungen der crypto-admin Anmeldeklasse.

  5. Erstellen Sie die login-Klasse security-admin .

  6. Konfigurieren Sie die Einschränkungen der security-admin Anmeldeklasse.

  7. Erstellen Sie die login-Klasse ids-admin .

  8. Konfigurieren Sie die Einschränkungen der ids-admin Anmeldeklasse.

  9. Weisen Sie den Rollen Benutzer zu.

  10. Konfigurieren Sie die Kennwörter für die Benutzer.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen Sie die Anmeldeberechtigungen

Zweck

Überprüfen Sie die Anmeldeberechtigungen für den aktuellen Benutzer.

Action!

Geben Sie im Betriebsmodus den show cli authorization Befehl ein, um die Anmeldeberechtigungen des Benutzers zu überprüfen.

Diese Ausgabe fasst die Anmeldeberechtigungen zusammen.

So konfigurieren Sie ein lokales Administratorkonto

Superuser-Berechtigungen erteilen einem Benutzer die Berechtigung, beliebige Befehle auf dem Router zu verwenden, und sind in der Regel einigen wenigen Benutzern wie Systemadministratoren vorbehalten. Sie (der Systemadministrator) müssen das lokale Administratorkonto mit einem Kennwort schützen, um zu verhindern, dass nicht autorisierte Benutzer Zugriff auf Superuser-Befehle erhalten. Diese Superuser-Befehle können verwendet werden, um die Systemkonfiguration zu ändern. Benutzer mit RADIUS-Authentifizierung sollten auch ein lokales Kennwort konfigurieren. Wenn der RADIUS-Server nicht reagiert, wird der Anmeldevorgang auf die lokale Kennwortauthentifizierung für das lokale Administratorkonto zurückgesetzt.

Das folgende Beispiel zeigt, wie ein kennwortgeschütztes lokales Administrationskonto konfiguriert wird, das mit Superuser-Rechten aufgerufen admin wird: