Administrative Rollen
Junos OS ermöglicht es Ihnen, einen Systembenutzer zu definieren, der als eine bestimmte Art von Administrator für das System fungiert. Sie können einem Benutzer eine Administratorrolle zuweisen, indem Sie eine Anmeldeklasse so konfigurieren, dass sie über die Attribute der Administratorrolle verfügt. Sie können einem Administrator eines der Rollenattribute wie Audit-Officer Crypto-Officer, Security-Officer, IDS-Officer zuweisen.
Entwerfen von Administratorrollen
Ein Systembenutzer kann Mitglied einer Klasse sein, die es dem Benutzer ermöglicht, als eine bestimmte Art von Administrator für das System zu fungieren. Wenn eine bestimmte Rolle zum Anzeigen oder Ändern eines Elements erforderlich ist, wird der Umfang der Informationen eingeschränkt, die ein Benutzer vom System abrufen kann. Es schränkt auch ein, wie viel des Systems für Änderungen oder Beobachtungen durch einen Benutzer offen ist. Sie (der Systemadministrator) sollten beim Entwerfen von Administratorrollen die folgenden Richtlinien befolgen:
Erlauben Sie keinem Benutzer, sich als
root
.Beschränken Sie jeden Benutzer auf die kleinste Anzahl von Berechtigungen, die zum Ausführen der Aufgaben des Benutzers erforderlich sind.
Lassen Sie nicht zu, dass ein Benutzer zu einer Anmeldeklasse gehört, die das
shell
Berechtigungsflag enthält. Dasshell
Berechtigungsflag ermöglicht es Benutzern, denstart shell
Befehl über die CLI auszuführen.Erlauben Sie Benutzern Rollback-Berechtigungen. Rollback-Berechtigungen ermöglichen es Benutzern, eine von einem Administrator ausgeführte Aktion rückgängig zu machen, erlauben ihnen jedoch nicht, die Änderungen zu übernehmen.
Sie können einem Benutzer eine Administratorrolle zuweisen, indem Sie eine Anmeldeklasse so konfigurieren, dass sie über die für die Rolle erforderlichen Berechtigungen verfügt. Sie können jede Klasse so konfigurieren, dass der Zugriff auf Konfigurationsanweisungen und Befehle anhand des Namens zugelassen oder verweigert wird. Diese Einschränkungen haben Vorrang vor allen Berechtigungsflags, die ebenfalls in der Klasse konfiguriert sind. Sie können einem Administrator eines der folgenden Rollenattribute zuweisen:
Crypto-administrator
: Ermöglicht dem Benutzer die Konfiguration und Überwachung kryptografischer Daten.Security-administrator
– Ermöglicht dem Benutzer das Konfigurieren und Überwachen von Sicherheitsdaten.Audit-administrator
– Ermöglicht dem Benutzer das Konfigurieren und Überwachen von Überwachungsdaten.IDS-administrator
– Ermöglicht es dem Benutzer, die IDS-Sicherheitsprotokolle (Intrusion Detection Service) zu überwachen und zu löschen.
Jede Rolle kann die folgenden spezifischen Verwaltungsfunktionen ausführen:
Cryptographic Administrator
Konfiguriert den kryptografischen Selbsttest.
Ändert die Parameter der kryptografischen Sicherheitsdaten.
Audit Administrator
Konfiguriert und löscht die Funktion zum Suchen und Sortieren von Audit-Überprüfungen.
Durchsucht und sortiert Audit-Datensätze.
Konfiguriert Such- und Sortierparameter.
Manuelles Löschen von Überwachungsprotokollen.
Security Administrator
Ruft das Verhalten des kryptografischen Selbsttests auf, bestimmt und ändert es.
Aktiviert, deaktiviert, bestimmt und ändert die Funktionen "Audit-Analyse" und "Audit-Auswahl" und konfiguriert das Gerät für das automatische Löschen von Audit-Protokollen.
Aktiviert oder deaktiviert Sicherheitsalarme.
Gibt Grenzwerte für Kontingente für Transportschichtverbindungen an.
Gibt die Grenzwerte, Netzwerkbezeichner und Zeiträume für Kontingente für kontrollierte verbindungsorientierte Ressourcen an.
Gibt die Netzwerkadressen an, die für die Verwendung des Internet Control Message Protocol (ICMP) oder des Address Resolution Protocol (ARP) zulässig sind.
Konfiguriert die Uhrzeit und das Datum, die in Zeitstempeln verwendet werden.
Abfrage, Änderung, Löschung und Erstellung der Informationsfluss- oder Zugriffssteuerungsregeln und -attribute für die nicht authentifizierte Sicherheitsfunktionsrichtlinie für den Informationsfluss (SFP), die Sicherheitsfunktionsrichtlinie für authentifizierte Informationsflüsse, die nicht authentifizierten Gerätedienste und die Richtlinie für die freigegebene Zugriffssteuerung.
Gibt Anfangswerte an, die Standardwerte außer Kraft setzen, wenn Objektinformationen unter nicht authentifiziertem Informationsfluss-SFP, authentifiziertem Informationsfluss-SFP, TOE-Services (nicht authentifiziertes Ziel der Auswertung) und der freigegebenen Zugriffssteuerungsrichtlinie erstellt werden.
Erstellt, löscht oder ändert die Regeln, die die Adresse steuern, von der aus Verwaltungssitzungen eingerichtet werden können.
Gibt Sicherheitsattribute an, die den Benutzern, Subjekten und Objekten zugeordnet sind, und widerruft sie.
Gibt den Prozentsatz der Überwachungsspeicherkapazität an, bei dem das Gerät Administratoren benachrichtigt.
Behandelt Authentifizierungsfehler und ändert die Anzahl der fehlgeschlagenen Authentifizierungsversuche über SSH oder über die CLI, die auftreten können, bevor die progressive Drosselung für weitere Authentifizierungsversuche erzwungen wird und bevor die Verbindung unterbrochen wird.
Verwaltet die grundlegende Netzwerkkonfiguration des Geräts.
IDS Administrator: Gibt IDS-Sicherheitsalarme, Intrusion-Alarme, Audit-Auswahlen und Audit-Daten an.
Sie müssen das security-role-Attribut in den Klassen festlegen, die für diese Administratorrollen erstellt wurden. Dieses Attribut schränkt ein, welche Benutzer die Sicherheitsprotokolle anzeigen und löschen können, d. h. Aktionen, die nicht allein durch die Konfiguration ausgeführt werden können.
Sie müssen z. B. das Attribut security-role in der Klasse festlegen, die ids-admin
für die IDS-Administratorrolle erstellt wurde, wenn Sie das Löschen und Anzeigen von IDS-Protokollen auf die IDS-Administratorrolle beschränken möchten. Ebenso müssen Sie die Sicherheitsrolle auf einen der anderen Administratorwerte festlegen, um zu verhindern, dass diese Klasse nur Nicht-IDS-Protokolle löschen und anzeigen kann.
Wenn ein Benutzer eine vorhandene Konfiguration löscht, verbleiben die Konfigurationsanweisungen auf der Hierarchieebene der gelöschten Konfiguration (die untergeordneten Objekte, zu deren Änderung der Benutzer nicht berechtigt ist) im Gerät.
Beispiel: Konfigurieren von Administratorrollen
In diesem Beispiel wird gezeigt, wie einzelne Administratorrollen für einen eigenen, eindeutigen Satz von Berechtigungen konfiguriert werden, der sich von allen anderen Administratorrollen unterscheidet.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine über die Geräteinitialisierung hinausgehende Aktion erforderlich.
Überblick
In diesem Beispiel wird veranschaulicht, wie vier Administratorbenutzerrollen konfiguriert werden:
audit-officer
der Klasseaudit-admin
crypto-officer
der Klassecrypto-admin
security-officer
der Klassesecurity-admin
ids-officer
der Klasseids-admin
Wenn eine security-admin
Klasse konfiguriert ist, werden die Berechtigungen zum Erstellen von Administratoren dem Benutzer entzogen, der die security-admin
Klasse erstellt hat. Das Anlegen neuer Benutzer und Logins liegt im Ermessen der security-officer
.
In diesem Beispiel erstellen Sie die vier Administratorbenutzerrollen, die in der obigen Liste aufgeführt sind (Audit-Administrator, Krypto-Administrator, Sicherheitsadministrator und IDS-Administrator). Für jede Rolle weisen Sie relevante Berechtigungskennzeichen für die Rolle zu. Anschließend erlauben oder verweigern Sie den Zugriff auf Konfigurationsanweisungen und Befehle anhand des Namens für jede Administratorrolle. Diese spezifischen Einschränkungen haben Vorrang vor den in der Klasse konfigurierten Berechtigungsflags. Beispielsweise kann nur der Befehl ausgeführt request system set-encryption-key
werdencrypto-admin
, was das security
Berechtigungsflag für den Zugriff erfordert. Nur die security-admin
kann die system time-zone
Anweisung in die Konfiguration aufnehmen, was das system-control
Berechtigungsflag erfordert.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit]
in die CLI ein, und wechseln commit
Sie dann in den Konfigurationsmodus.
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Administratorrollen:
-
Erstellen Sie die login-Klasse
audit-admin
.[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
-
Konfigurieren Sie die Einschränkungen der
audit-admin
Anmeldeklasse.[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
-
Erstellen Sie die login-Klasse
crypto-admin
.[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
-
Konfigurieren Sie die Einschränkungen der
crypto-admin
Anmeldeklasse.[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
-
Erstellen Sie die login-Klasse
security-admin
.[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
-
Konfigurieren Sie die Einschränkungen der
security-admin
Anmeldeklasse.[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
-
Erstellen Sie die login-Klasse
ids-admin
.[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
-
Konfigurieren Sie die Einschränkungen der
ids-admin
Anmeldeklasse.[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
-
Weisen Sie den Rollen Benutzer zu.
[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
-
Konfigurieren Sie die Kennwörter für die Benutzer.
[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show system system { login { class audit-admin { permissions [ maintenance security trace ]; allow-commands "^clear (log|security log)"; deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; security-role audit-administrator; } class crypto-admin { permissions [ admin-control configure maintenance security-control system-control trace ]; allow-commands "^request (system set-encryption-key)"; deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ]; security-role crypto-administrator; } class security-admin { permissions [all]; deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell"; deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ]; security-role security-administrator; } class ids-admin { permissions [ configure maintenance security-control trace ]; deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication | cryptographic-self-test | decryption-failures | encryption-failures | ike-phase1-failures | ike-phase2-failures|key-generation-self-test | non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename) |^request (security|system set-encryption-key) | ^rollback | ^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell"; allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ]; deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption- failures|encryption-failures|ike-phase1-failures|ike-phase2-failures| key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)" security-role ids-administrator; } user audit-officer { class audit-admin; authentication { encrypted-password "$1$ABC123"; ## SECRET-DATA } } user crypto-officer { class crypto-admin; authentication { encrypted-password "$1$ABC123."; ## SECRET-DATA } } user security-officer { class security-admin; authentication { encrypted-password "$1$ABC123."; ##SECRET-DATA } } user ids-officer { class ids-admin; authentication { encrypted-password "$1$ABC123/"; ## SECRET-DATA } } } }
Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen Sie die Anmeldeberechtigungen
Zweck
Überprüfen Sie die Anmeldeberechtigungen für den aktuellen Benutzer.
Action!
Geben Sie im Betriebsmodus den show cli authorization
Befehl ein, um die Anmeldeberechtigungen des Benutzers zu überprüfen.
user@host> show cli authorization Current user: 'example' class 'super-user' Permissions: admin -- Can view user accounts admin-control-- Can modify user accounts clear -- Can clear learned network info configure -- Can enter configuration mode control -- Can modify any config edit -- Can edit full files field -- Can use field debug commands floppy -- Can read and write the floppy interface -- Can view interface configuration interface-control-- Can modify interface configuration network -- Can access the network reset -- Can reset/restart interfaces and daemons routing -- Can view routing configuration routing-control-- Can modify routing configuration shell -- Can start a local shell snmp -- Can view SNMP configuration snmp-control-- Can modify SNMP configuration system -- Can view system configuration system-control-- Can modify system configuration trace -- Can view trace file settings trace-control-- Can modify trace file settings view -- Can view current values and statistics maintenance -- Can become the super-user firewall -- Can view firewall configuration firewall-control-- Can modify firewall configuration secret -- Can view secret statements secret-control-- Can modify secret statements rollback -- Can rollback to previous configurations security -- Can view security configuration security-control-- Can modify security configuration access -- Can view access configuration access-control-- Can modify access configuration view-configuration-- Can view all configuration (not including secrets) flow-tap -- Can view flow-tap configuration flow-tap-control-- Can modify flow-tap configuration idp-profiler-operation-- Can Profiler data pgcp-session-mirroring-- Can view pgcp session mirroring configuration pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura tion storage -- Can view fibre channel storage protocol configuration storage-control-- Can modify fibre channel storage protocol configuration all-control -- Can modify any configuration Individual command authorization: Allow regular expression: none Deny regular expression: none Allow configuration regular expression: none Deny configuration regular expression: none
Diese Ausgabe fasst die Anmeldeberechtigungen zusammen.
So konfigurieren Sie ein lokales Administratorkonto
Superuser-Berechtigungen erteilen einem Benutzer die Berechtigung, beliebige Befehle auf dem Router zu verwenden, und sind in der Regel einigen wenigen Benutzern wie Systemadministratoren vorbehalten. Sie (der Systemadministrator) müssen das lokale Administratorkonto mit einem Kennwort schützen, um zu verhindern, dass nicht autorisierte Benutzer Zugriff auf Superuser-Befehle erhalten. Diese Superuser-Befehle können verwendet werden, um die Systemkonfiguration zu ändern. Benutzer mit RADIUS-Authentifizierung sollten auch ein lokales Kennwort konfigurieren. Wenn der RADIUS-Server nicht reagiert, wird der Anmeldevorgang auf die lokale Kennwortauthentifizierung für das lokale Administratorkonto zurückgesetzt.
Das folgende Beispiel zeigt, wie ein kennwortgeschütztes lokales Administrationskonto konfiguriert wird, das mit Superuser-Rechten aufgerufen admin
wird:
[edit] system { login { user admin { uid 1000; class superuser; authentication { encrypted-password "<PASSWORD>"; ## SECRET-DATA } } } }