Übersicht über die Anmeldeklassen
Junos OS Anmeldeklassen definieren die Zugriffsberechtigungen, Berechtigungen für die Verwendung von CLI-Befehlen und -Anweisungen sowie die Leerlaufzeit der Sitzungen für die Benutzer, die dieser Klasse zugewiesen sind. Sie (der Systemadministrator) können eine login-Klasse auf ein einzelnes Benutzerkonto anwenden und dem Benutzer dadurch bestimmte Privilegien und Berechtigungen zuweisen.
Übersicht über die Anmeldeklassen
Alle Benutzer, die sich bei einem ausgeführten Junos OS Gerät anmelden können, müssen einer Anmeldeklasse angehören. Jede Anmeldeklasse definiert Folgendes:
-
Zugriffsberechtigungen, die Benutzer haben, wenn sie sich am Netzwerkgerät anmelden
-
Befehle, die Benutzer ausführen können und welche nicht
-
Konfigurationsanweisungen, die Benutzer anzeigen oder ändern können und die nicht
-
Zeitspanne, die eine Anmeldesitzung inaktiv sein kann, bevor das System die Verbindung zum Benutzer trennt
Sie können beliebig viele Login-Klassen definieren. Einem einzelnen Benutzerkonto weisen Sie jedoch nur eine Anmeldeklasse zu.
Junos OS Enthält vordefinierte Anmeldeklassen, die in aufgelistet sind.Tabelle 1 Sie können die vordefinierten Anmeldeklassen nicht ändern.
Login-Klasse |
Festlegen von Berechtigungsflags |
---|---|
|
Löschen, Netzwerk, Zurücksetzen, Nachverfolgen und Anzeigen |
|
ansehen |
|
Alle |
|
Keine |
Sie können den Namen einer vordefinierten Anmeldeklasse nicht ändern. Wenn Sie den Befehl für einen vordefinierten Klassennamen ausführen, hängt das Gerät an den Namen der Anmeldeklasse an und gibt die folgende Warnung aus:
set
-local
warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
Sie können den Befehl or nicht für eine vordefinierte Anmeldeklasse ausgeben.
rename
copy
Dies führt zu der folgenden Fehlermeldung:error: target '<class-name>' is a predefined class
Berechtigungs-Bits
Jedem CLI-Befehl der obersten Ebene und jeder Konfigurationsanweisung ist eine Zugriffsberechtigungsstufe zugeordnet. Benutzer können nur diese Befehle ausführen und nur die Anweisungen konfigurieren und anzeigen, für die sie Zugriffsrechte haben. Jede Login-Klasse definiert ein oder mehrere Berechtigungsbits, die die Zugriffsrechte bestimmen.
Zwei Formulare für die Berechtigungen steuern, ob ein Benutzer die einzelnen Teile der Konfiguration einsehen oder ändern kann:
-
"Einfaches" Formular: Bietet schreibgeschützte Funktionen für diesen Berechtigungstyp. Ein Beispiel ist .
interface
-
-control
form: Bietet Lese- und Schreibfunktionen für diesen Berechtigungstyp. Ein Beispiel ist .interface-control
Tabelle 2 Beschreibt die Berechtigungsflags und die zugehörigen Zugriffsberechtigungen.
Berechtigungs-Flag |
Beschreibung |
---|---|
Kann die Zugriffskonfiguration im Betriebsmodus oder Konfigurationsmodus anzeigen. |
|
Kann Zugriffsinformationen auf Hierarchieebene anzeigen und konfigurieren. |
|
Kann Benutzerkontoinformationen im Betriebsmodus oder Konfigurationsmodus anzeigen. |
|
Kann Benutzerkontoinformationen anzeigen und auf Hierarchieebene konfigurieren. |
|
Kann auf alle Betriebsmodusbefehle und Konfigurationsmodusbefehle zugreifen. Kann die Konfiguration in allen Konfigurationshierarchieebenen ändern. |
|
Kann Informationen löschen (löschen), die das Gerät aus dem Netzwerk lernt und in verschiedenen Netzwerkdatenbanken speichert (mithilfe der Befehle). |
|
Kann in den Konfigurationsmodus wechseln (mit dem Befehl) und Konfigurationen bestätigen (mit dem Befehl). |
|
Kann alle Vorgänge auf Steuerungsebene ausführen – alle Vorgänge, die mit den Berechtigungsflags konfiguriert sind. |
|
Kann Felddebugbefehle anzeigen. Reserviert für die Unterstützung beim Debuggen. |
|
Kann die Firewall-Filterkonfiguration im Betriebsmodus oder Konfigurationsmodus anzeigen. |
|
Kann Firewallfilterinformationen auf Hierarchieebene anzeigen und konfigurieren. |
|
Kann von Wechselmedien lesen und darauf schreiben. |
|
Kann die Flow-Tap-Konfiguration im Betriebsmodus oder Konfigurationsmodus anzeigen. |
|
Kann Flow-Tap-Informationen auf Hierarchieebene anzeigen und konfigurieren. |
|
Kann Flow-Tap-Anfragen an den Router oder Switch stellen. Beispielsweise muss ein DTCP-Client (Dynamic Tasking Control Protocol) über die Berechtigung verfügen , sich als Administratorbenutzer zu authentifizieren. HINWEIS:
Die Option ist nicht im Berechtigungsflag enthalten. |
|
Kann Profilerdaten anzeigen. |
|
Kann die Schnittstellenkonfiguration im Betriebsmodus und Konfigurationsmodus anzeigen. |
|
Kann Informationen zu Chassis, Class-of-Service (CoS), Gruppen, Weiterleitungsoptionen und Schnittstellenkonfigurationsinformationen anzeigen. Kann die Konfiguration auf den folgenden Hierarchieebenen ändern:
|
|
Kann Systemwartung durchführen, einschließlich des Startens einer lokalen Shell auf dem Gerät und des Werdens zum Superuser in der Shell (mit dem Befehl) und des Anhaltens und Neustartens des Geräts (mit den Befehlen). |
|
Kann mit den Befehlen , , und auf das Netzwerk zugreifen. |
|
Kann die Sitzungsspiegelungskonfiguration anzeigen. |
|
Die Konfiguration der Sitzungsspiegelung kann geändert werden. |
|
Kann Softwareprozesse mithilfe des Befehls neu starten. |
|
Kann den Befehl verwenden, um zu einer zuvor festgeschriebenen Konfiguration zurückzukehren. |
|
Kann allgemeine Routing-, Routingprotokoll- und Routingrichtlinien-Konfigurationsinformationen im Konfigurationsmodus und Betriebsmodus anzeigen. |
|
Kann allgemeines Routing auf Hierarchieebene, Routingprotokolle auf Hierarchieebene und Routingrichtlinieninformationen auf Hierarchieebene anzeigen und konfigurieren. |
|
Kann Kennwörter und andere Authentifizierungsschlüssel in der Konfiguration anzeigen. |
|
Kann Kennwörter und andere Authentifizierungsschlüssel in der Konfiguration anzeigen und ändern. |
|
Kann Sicherheitskonfigurationsinformationen im Betriebsmodus und Konfigurationsmodus anzeigen. |
|
Kann Sicherheitsinformationen auf Hierarchieebene anzeigen und konfigurieren. |
|
Kann mit dem Befehl eine lokale Shell auf dem Router oder Switch starten. |
|
Kann SNMP-Konfigurationsinformationen (Simple Network Management Protocol) im Betriebsmodus oder Konfigurationsmodus anzeigen. |
|
Kann SNMP-Konfigurationsinformationen auf Hierarchieebene anzeigen und ändern. |
|
|
Kann Informationen zur Fibre Channel-Speicherkonfiguration auf Hierarchieebene anzeigen. |
|
Kann Konfigurationsinformationen des Fibre Channel-Speichers auf Hierarchieebene ändern. |
Kann Informationen auf Systemebene im Betriebsmodus oder Konfigurationsmodus anzeigen. |
|
Kann Konfigurationsinformationen auf Systemebene auf Hierarchieebene anzeigen und ändern. |
|
Kann Ablaufverfolgungsdateieinstellungen anzeigen und Ablaufverfolgungsdateieigenschaften konfigurieren. |
|
Kann Ablaufverfolgungsdateieinstellungen ändern und Ablaufverfolgungsdateieigenschaften konfigurieren. |
|
|
Kann die einheitliche Edge-Konfiguration in der Hierarchie anzeigen. |
|
Kann die einheitliche Edge-bezogene Konfiguration in der Hierarchie ändern. |
Kann verschiedene Befehle verwenden, um aktuelle systemweite, Routing-Tabellen- und protokollspezifische Werte und Statistiken anzuzeigen. Die geheime Konfiguration kann nicht angezeigt werden. |
|
Kann die gesamte Konfiguration mit Ausnahme von Geheimnissen, Systemskripts und Ereignisoptionen anzeigen. HINWEIS:
Nur Benutzer mit der entsprechenden Berechtigung können die Konfiguration des Commit-Skripts, des Op-Skripts oder des Ereignisskripts anzeigen. |
Einzelne Befehle und Anweisungshierarchien verweigern oder zulassen
Standardmäßig verfügen alle CLI-Befehle und -Anweisungen der obersten Ebene über zugeordnete Zugriffsberechtigungsebenen. Benutzer können nur die Befehle ausführen und nur die Anweisungen anzeigen und konfigurieren, für die sie über Zugriffsrechte verfügen. Für jede Anmeldeklasse können Sie Benutzern explizit die Verwendung von Betriebsmodusbefehlen und Konfigurationsmodusbefehlen und Konfigurationsanweisungshierarchien verweigern oder erlauben, die andernfalls durch ein Berechtigungsbit zulässig oder verweigert werden.
Beispiel: Erstellen von Anmeldeklassen mit bestimmten Berechtigungen
Sie definieren Anmeldeklassen, um Benutzergruppen bestimmte Berechtigungen oder Einschränkungen zuzuweisen und so sicherzustellen, dass sensible Befehle nur für die entsprechenden Benutzer zugänglich sind. Standardmäßig verfügen Geräte von Juniper Networks über vier Arten von Anmeldeklassen mit voreingestellten Berechtigungen: Operator, schreibgeschützt, Superuser oder Superuser und nicht autorisiert.
Sie können benutzerdefinierte Anmeldeklassen erstellen, um verschiedene Kombinationen von Berechtigungen zu definieren, die in den Standardanmeldeklassen nicht enthalten sind. Das folgende Beispiel zeigt drei benutzerdefinierte Anmeldeklassen mit jeweils spezifischen Berechtigungen und Inaktivitätstimern. Inaktivitätstimer tragen zum Schutz der Netzwerksicherheit bei, indem sie einen Benutzer vom Netzwerk trennen, wenn der Benutzer zu lange inaktiv ist. Das Trennen der Verbindung zum Benutzer verhindert potenzielle Sicherheitsrisiken, die entstehen, wenn ein Benutzer ein unbeaufsichtigtes Konto bei einem Switch oder Router angemeldet lässt. Die hier gezeigten Berechtigungen und Inaktivitätstimer sind nur Beispiele. Sie sollten die Werte an Ihre Organisation anpassen.
Die drei Anmeldeklassen und ihre Berechtigungen lauten wie folgt. Alle drei Anmeldeklassen verwenden den gleichen Inaktivitätstimer von 5 Minuten.
observation
—Kann nur Statistiken und die Konfiguration anzeigenoperation
—Kann die Konfiguration anzeigen und ändernengineering
—Unbegrenzter Zugriff und Kontrolle
[edit] system { login { class observation { idle-timeout 5; permissions [ view ]; } class operation { idle-timeout 5; permissions [ admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback ]; } class engineering { idle-timeout 5; permissions all; } } }
Grundlegendes zu Zugriffsrechten für exakte Übereinstimmungen für Anmeldeklassen
Mit Zugriffsrechten für exakte Übereinstimmungen können Sie exakte Konfigurationszeichenfolgen explizit zulassen oder verweigern, um Zugriffssteuerungsregeln für Anmeldeklassen zu definieren. Ab Junos OS und Junos OS Evolved Version 23.4R1 können Sie die Konfigurationsanweisungen und verwenden, um Zugriffsberechtigungen für exakte Übereinstimmungen zu steuern.allow-configuration-exact-match
deny-configuration-exact-match
Vorteile
-
Schränken Sie das Löschen von Konfigurationshierarchien der oberen Ebene ein, während Sie das Löschen bestimmter Unterhierarchien zulassen. Dies unterstützt eine gezieltere Befehlsautorisierung.
-
Stellen Sie sicher, dass Befehle in einer Hierarchie zulässig bleiben, auch wenn das Löschen verweigert wird.
set
Diese Trennung von Berechtigungen für und ermöglicht flexiblere Zugriffskontrollen.set
delete
-
Zulassen oder Verweigern präziser Konfigurationsbefehlszeichenfolgen zusätzlich zu regulären Ausdrücken. Dies unterstützt die Konfiguration hochspezifischer Zugriffsregeln bei Bedarf.
-
Nutzen Sie zusätzlich zu den lokalen Regeln erweiterte Autorisierungsregeln von externen TACACS+-Servern. Dies erleichtert eine zentrale Richtlinienverwaltung.
Sie können Zugriffsberechtigungen für exakte Übereinstimmungen mit den Anweisungen und configuration auf Hierarchieebene konfigurieren.allow-configuration-exact-match
deny-configuration-exact-match
[edit system login class name]
Verwenden Sie Hierarchiezeichenfolgen, die mit einem der folgenden Operatoren beginnen:
set
delete
active
deactivate
Platzhalterzeichen werden ebenfalls unterstützt. Die Anweisung verwendet z. B. das Platzhalterzeichen *, um alle Schnittstellen anzugeben.deny-configuration-exact-match delete interfaces*
Wenn or für eine bestimmte Konfigurationshierarchie verweigert wird, können oder-Befehle weiterhin mithilfe von zulässig sein.delete
deactivate
set
activate
allow-configuration-exact-match
Wenn Sie beide mit demselben Operator und derselben Konfiguration konfigurieren, wird der Konfigurationszugriff verweigert.allow-configuration-exact-match
deny-configuration-exact-match
Die neuen exakten Übereinstimmungsregeln können lokal oder auf externen TACACS+-Servern konfiguriert werden.