Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übersicht über die Anmeldeklassen

Junos OS Anmeldeklassen definieren die Zugriffsberechtigungen, Berechtigungen für die Verwendung von CLI-Befehlen und -Anweisungen sowie die Leerlaufzeit der Sitzungen für die Benutzer, die dieser Klasse zugewiesen sind. Sie (der Systemadministrator) können eine login-Klasse auf ein einzelnes Benutzerkonto anwenden und dem Benutzer dadurch bestimmte Privilegien und Berechtigungen zuweisen.

Übersicht über die Anmeldeklassen

Alle Benutzer, die sich bei einem ausgeführten Junos OS Gerät anmelden können, müssen einer Anmeldeklasse angehören. Jede Anmeldeklasse definiert Folgendes:

  • Zugriffsberechtigungen, die Benutzer haben, wenn sie sich am Netzwerkgerät anmelden

  • Befehle, die Benutzer ausführen können und welche nicht

  • Konfigurationsanweisungen, die Benutzer anzeigen oder ändern können und die nicht

  • Zeitspanne, die eine Anmeldesitzung inaktiv sein kann, bevor das System die Verbindung zum Benutzer trennt

Sie können beliebig viele Login-Klassen definieren. Einem einzelnen Benutzerkonto weisen Sie jedoch nur eine Anmeldeklasse zu.

Junos OS Enthält vordefinierte Anmeldeklassen, die in Tabelle 1aufgelistet sind. Sie können die vordefinierten Anmeldeklassen nicht ändern.

Tabelle 1: Vordefinierte System-Login-Klassen

Login-Klasse

Festlegen von Berechtigungsflags

operator

Löschen, Netzwerk, Zurücksetzen, Nachverfolgen und Anzeigen

read-only

ansehen

superuser oder super-user

alle

unauthorized

Keine

Die SFTP- und SCP-Serverfunktionalität ist deaktiviert, wenn die operator vordefinierten Anmeldeklassen verwendet read-only werden.

Ab Junos OS Evolved Version 23.4R2 kann die superuser Anmeldeklasse nicht mehr in das /var/log/ Verzeichnis schreiben. Nur der root Benutzer kann in /var/log/.

Berechtigungs-Bits

Jedem CLI-Befehl der obersten Ebene und jeder Konfigurationsanweisung ist eine Zugriffsberechtigungsstufe zugeordnet. Benutzer können nur diese Befehle ausführen und nur die Anweisungen konfigurieren und anzeigen, für die sie Zugriffsrechte haben. Jede Login-Klasse definiert ein oder mehrere Berechtigungsbits, die die Zugriffsrechte bestimmen.

Zwei Formulare für die Berechtigungen steuern, ob ein Benutzer die einzelnen Teile der Konfiguration einsehen oder ändern kann:

  • "Einfaches" Formular: Bietet schreibgeschützte Funktionen für diesen Berechtigungstyp. Ein Beispiel ist interface.

  • -control form: Bietet Lese- und Schreibfunktionen für diesen Berechtigungstyp. Ein Beispiel ist interface-control.

Tabelle 2 Beschreibt die Berechtigungsflags und die zugehörigen Zugriffsberechtigungen.

Tabelle 2: Berechtigungsflags für Anmeldeklassen

Berechtigungs-Flag

Beschreibung

access

Kann die Zugriffskonfiguration im Betriebsmodus oder Konfigurationsmodus anzeigen.

access-control

Kann Zugriffsinformationen auf Hierarchieebene [edit access] anzeigen und konfigurieren.

admin

Kann Benutzerkontoinformationen im Betriebsmodus oder Konfigurationsmodus anzeigen.

admin-control

Kann Benutzerkontoinformationen anzeigen und auf Hierarchieebene [edit system] konfigurieren.

all

Kann auf alle Betriebsmodusbefehle und Konfigurationsmodusbefehle zugreifen. Kann die Konfiguration in allen Konfigurationshierarchieebenen ändern.

clear

Kann Informationen löschen (löschen), die das Gerät aus dem Netzwerk lernt und in verschiedenen Netzwerkdatenbanken speichert (mithilfe der clear Befehle).

configure

Kann in den Konfigurationsmodus wechseln (mit dem configure Befehl) und Konfigurationen bestätigen (mit dem commit Befehl).

control

Kann alle Vorgänge auf Steuerungsebene ausführen – alle Vorgänge, die mit den -control Berechtigungsflags konfiguriert sind.

field

Kann Felddebugbefehle anzeigen. Reserviert für die Unterstützung beim Debuggen.

firewall

Kann die Firewall-Filterkonfiguration im Betriebsmodus oder Konfigurationsmodus anzeigen.

firewall-control

Kann Firewallfilterinformationen auf Hierarchieebene [edit firewall] anzeigen und konfigurieren.

floppy

Kann von Wechselmedien lesen und darauf schreiben.

flow-tap

Kann die Flow-Tap-Konfiguration im Betriebsmodus oder Konfigurationsmodus anzeigen.

flow-tap-control

Kann Flow-Tap-Informationen auf Hierarchieebene [edit services flow-tap] anzeigen und konfigurieren.

flow-tap-operation

Kann Flow-Tap-Anfragen an den Router oder Switch stellen. Beispielsweise muss ein DTCP-Client (Dynamic Tasking Control Protocol) über die Berechtigung verfügen flow-tap-operation , sich Junos OS als Administratorbenutzer zu authentifizieren.

HINWEIS:

Die flow-tap-operation Option ist nicht im all-control Berechtigungsflag enthalten.

idp-profiler-operation

Kann Profilerdaten anzeigen.

interface

Kann die Schnittstellenkonfiguration im Betriebsmodus und Konfigurationsmodus anzeigen.

interface-control

Kann Informationen zu Chassis, Class-of-Service (CoS), Gruppen, Weiterleitungsoptionen und Schnittstellenkonfigurationsinformationen anzeigen. Kann die Konfiguration auf den folgenden Hierarchieebenen ändern:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

Kann Systemwartung durchführen, einschließlich des Startens einer lokalen Shell auf dem Gerät und des Werdens zum Superuser in der Shell (mit dem su root Befehl) und des Anhaltens und Neustartens des Geräts (mit den request system Befehlen).

network

Kann mit den Befehlen ping, ssh, telnetund traceroute auf das Netzwerk zugreifen.

pgcp-session-mirroring

Kann die pgcp Sitzungsspiegelungskonfiguration anzeigen.

pgcp-session-mirroring-control

Die Konfiguration der pgcp Sitzungsspiegelung kann geändert werden.

reset

Kann Softwareprozesse mithilfe des restart Befehls neu starten.

rollback

Kann den rollback Befehl verwenden, um zu einer zuvor festgeschriebenen Konfiguration zurückzukehren.

routing

Kann allgemeine Routing-, Routingprotokoll- und Routingrichtlinien-Konfigurationsinformationen im Konfigurationsmodus und Betriebsmodus anzeigen.

routing-control

Kann allgemeines Routing auf Hierarchieebene, Routingprotokolle auf Hierarchieebene [edit protocols] und Routingrichtlinieninformationen auf Hierarchieebene [edit routing-options][edit policy-options] anzeigen und konfigurieren.

secret

Kann Kennwörter und andere Authentifizierungsschlüssel in der Konfiguration anzeigen.

secret-control

Kann Kennwörter und andere Authentifizierungsschlüssel in der Konfiguration anzeigen und ändern.

security

Kann Sicherheitskonfigurationsinformationen im Betriebsmodus und Konfigurationsmodus anzeigen.

security-control

Kann Sicherheitsinformationen auf Hierarchieebene [edit security] anzeigen und konfigurieren.

shell

Kann mit dem start shell Befehl eine lokale Shell auf dem Router oder Switch starten.

snmp

Kann SNMP-Konfigurationsinformationen (Simple Network Management Protocol) im Betriebsmodus oder Konfigurationsmodus anzeigen.

snmp-control

Kann SNMP-Konfigurationsinformationen auf Hierarchieebene [edit snmp] anzeigen und ändern.

Kann Informationen zur Fibre Channel-Speicherkonfiguration auf Hierarchieebene [edit fc-fabrics] anzeigen.

Kann Konfigurationsinformationen des Fibre Channel-Speichers auf Hierarchieebene [edit fc-fabrics] ändern.

system

Kann Informationen auf Systemebene im Betriebsmodus oder Konfigurationsmodus anzeigen.

system-control

Kann Konfigurationsinformationen auf Systemebene auf Hierarchieebene [edit system] anzeigen und ändern.

trace

Kann Ablaufverfolgungsdateieinstellungen anzeigen und Ablaufverfolgungsdateieigenschaften konfigurieren.

trace-control

Kann Ablaufverfolgungsdateieinstellungen ändern und Ablaufverfolgungsdateieigenschaften konfigurieren.

Kann die einheitliche Edge-Konfiguration in der Hierarchie [edit unified-edge] anzeigen.

Kann die einheitliche Edge-bezogene Konfiguration in der Hierarchie [edit unified-edge] ändern.

view

Kann verschiedene Befehle verwenden, um aktuelle systemweite, Routing-Tabellen- und protokollspezifische Werte und Statistiken anzuzeigen. Die geheime Konfiguration kann nicht angezeigt werden.

view-configuration

Kann die gesamte Konfiguration mit Ausnahme von Geheimnissen, Systemskripts und Ereignisoptionen anzeigen.

HINWEIS:

Nur Benutzer mit der maintenance entsprechenden Berechtigung können die Konfiguration des Commit-Skripts, des Op-Skripts oder des Ereignisskripts anzeigen.

Einzelne Befehle und Anweisungshierarchien verweigern oder zulassen

Standardmäßig verfügen alle CLI-Befehle und -Anweisungen der obersten Ebene über zugeordnete Zugriffsberechtigungsebenen. Benutzer können nur die Befehle ausführen und nur die Anweisungen anzeigen und konfigurieren, für die sie über Zugriffsrechte verfügen. Für jede Anmeldeklasse können Sie Benutzern explizit die Verwendung von Betriebsmodusbefehlen und Konfigurationsmodusbefehlen und Konfigurationsanweisungshierarchien verweigern oder erlauben, die andernfalls durch ein Berechtigungsbit zulässig oder verweigert werden.

Beispiel: Erstellen von Anmeldeklassen mit bestimmten Berechtigungen

Sie definieren Anmeldeklassen, um Benutzergruppen bestimmte Berechtigungen oder Einschränkungen zuzuweisen und so sicherzustellen, dass sensible Befehle nur für die entsprechenden Benutzer zugänglich sind. Standardmäßig verfügen Geräte von Juniper Networks über vier Arten von Anmeldeklassen mit voreingestellten Berechtigungen: Operator, schreibgeschützt, Superuser oder Superuser und nicht autorisiert.

Sie können benutzerdefinierte Anmeldeklassen erstellen, um verschiedene Kombinationen von Berechtigungen zu definieren, die in den Standardanmeldeklassen nicht enthalten sind. Das folgende Beispiel zeigt drei benutzerdefinierte Anmeldeklassen mit jeweils spezifischen Berechtigungen und Inaktivitätstimern. Inaktivitätstimer tragen zum Schutz der Netzwerksicherheit bei, indem sie einen Benutzer vom Netzwerk trennen, wenn der Benutzer zu lange inaktiv ist. Das Trennen der Verbindung zum Benutzer verhindert potenzielle Sicherheitsrisiken, die entstehen, wenn ein Benutzer ein unbeaufsichtigtes Konto bei einem Switch oder Router angemeldet lässt. Die hier gezeigten Berechtigungen und Inaktivitätstimer sind nur Beispiele. Sie sollten die Werte an Ihre Organisation anpassen.

Die drei Anmeldeklassen und ihre Berechtigungen lauten wie folgt. Alle drei Anmeldeklassen verwenden den gleichen Inaktivitätstimer von 5 Minuten.

  • observation—Kann nur Statistiken und die Konfiguration anzeigen
  • operation—Kann die Konfiguration anzeigen und ändern
  • engineering—Unbegrenzter Zugriff und Kontrolle

Grundlegendes zu Zugriffsrechten für exakte Übereinstimmungen für Anmeldeklassen

Mit Zugriffsrechten für exakte Übereinstimmungen können Sie exakte Konfigurationszeichenfolgen explizit zulassen oder verweigern, um Zugriffssteuerungsregeln für Anmeldeklassen zu definieren. Ab Junos OS und Junos OS Evolved Version 23.4R1 können Sie die Konfigurationsanweisungen allow-configuration-exact-match und deny-configuration-exact-match verwenden, um Zugriffsberechtigungen für exakte Übereinstimmungen zu steuern.

Vorteile

  • Schränken Sie das Löschen von Konfigurationshierarchien der oberen Ebene ein, während Sie das Löschen bestimmter Unterhierarchien zulassen. Dies unterstützt eine gezieltere Befehlsautorisierung.

  • Stellen Sie sicher, dass set Befehle in einer Hierarchie zulässig bleiben, auch wenn das Löschen verweigert wird. Diese Trennung von Berechtigungen für set und delete ermöglicht flexiblere Zugriffskontrollen.

  • Zulassen oder Verweigern präziser Konfigurationsbefehlszeichenfolgen zusätzlich zu regulären Ausdrücken. Dies unterstützt die Konfiguration hochspezifischer Zugriffsregeln bei Bedarf.

  • Nutzen Sie zusätzlich zu den lokalen Regeln erweiterte Autorisierungsregeln von externen TACACS+-Servern. Dies erleichtert eine zentrale Richtlinienverwaltung.

Sie können Zugriffsberechtigungen für exakte Übereinstimmungen mit den allow-configuration-exact-match Anweisungen und deny-configuration-exact-match configuration auf Hierarchieebene [edit system login class name] konfigurieren. Verwenden Sie Hierarchiezeichenfolgen, die mit einem der folgenden Operatoren beginnen:

  • set
  • delete
  • active
  • deactivate

Platzhalterzeichen werden ebenfalls unterstützt. Die deny-configuration-exact-match delete interfaces* Anweisung verwendet z. B. das Platzhalterzeichen *, um alle Schnittstellen anzugeben.

Wenn delete or deactivate für eine bestimmte Konfigurationshierarchie verweigert wird, können set oder-Befehle activate weiterhin mithilfe von allow-configuration-exact-matchzulässig sein. Wenn Sie beide allow-configuration-exact-matchdeny-configuration-exact-match mit demselben Operator und derselben Konfiguration konfigurieren, wird der Konfigurationszugriff verweigert.

Die neuen exakten Übereinstimmungsregeln können lokal oder auf externen TACACS+-Servern konfiguriert werden.