Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Login-Einstellungen

Junos OS Hier können Sie verschiedene Einstellungen für Benutzer definieren, wenn sie sich bei einem Gerät anmelden. Sie (der Systemadministrator) können Folgendes konfigurieren:

  • Nachrichten oder Ankündigungen, die vor oder nach der Anmeldung angezeigt werden sollen
  • Ob Systemalarme bei der Anmeldung angezeigt werden sollen
  • Tipps zum Login
  • Zeitbasierter Benutzerzugriff
  • Timeout-Werte für Sitzungen im Leerlauf
  • Begrenzung der Anzahl der Anmeldeversuche
  • Gibt an, ob ein Benutzerkonto nach einer Reihe fehlgeschlagener Authentifizierungsversuche gesperrt werden soll

Anzeige einer Systemanmeldeankündigung oder -meldung

Manchmal möchten Sie Ankündigungen nur für autorisierte Benutzer machen, nachdem sie sich bei einem Gerät angemeldet haben. Sie können z. B. ein bevorstehendes Wartungsereignis ankündigen. In anderen Fällen kann es angebracht sein, jedem Benutzer, der eine Verbindung mit dem Gerät herstellt, eine Meldung anzuzeigen, z. B. eine Sicherheitswarnung.

Standardmäßig Junos OS wird keine Anmeldemeldung oder -ankündigung angezeigt. Sie können das Gerät so konfigurieren, dass eine Anmeldemeldung oder -ankündigung angezeigt wird, indem Sie die message Anweisung oder die announcement Anweisung auf Hierarchieebene [edit system login] einfügen. Während das Gerät eine Anmeldung anzeigt, nachdem ein Benutzer eine Verbindung mit dem Gerät hergestellt hat, aber bevor sich der Benutzer anmeldet, wird erst dann eine announcement angezeigtmessage , nachdem sich der Benutzer erfolgreich am Gerät angemeldet hat.

Sie können den Nachrichten- oder Ankündigungstext mit den folgenden Sonderzeichen formatieren. Wenn der Text Leerzeichen enthält, schließen Sie ihn in Anführungszeichen ein:

  • \n—Neue Zeile

  • \t – Horizontale Registerkarte

  • \': Einfaches Anführungszeichen

  • \" – Doppeltes Anführungszeichen

  • \\—Backslash

So konfigurieren Sie eine Ansage, die nur autorisierten Benutzern angezeigt werden kann, und eine Meldung, die jeder Benutzer sehen kann:

  1. Fügen Sie die announcement Anweisung und die message Anweisung auf der [edit system login] Hierarchieebene ein.

    Beispiele:

  2. Bestätigen Sie die Konfiguration.
  3. Stellen Sie eine Verbindung zum Gerät her, um das Vorhandensein der neuen Nachricht zu überprüfen.

    Im vorherigen Konfigurationsbeispiel wird die folgende Anmeldemeldung angezeigt, nachdem der Benutzer eine Verbindung mit dem Gerät hergestellt hat. Im Beispiel wird die Ankündigung angezeigt, nachdem sich der Benutzer angemeldet hat:

Anzeige von Systemalarmen bei der Anmeldung

Sie können Geräte von Juniper Networks so konfigurieren, dass der show system alarms Befehl immer dann ausgeführt wird, wenn sich ein Benutzer in einer bestimmten Anmeldeklasse beim Gerät anmeldet.

So zeigen Sie Alarme an, wenn sich ein Benutzer in einer bestimmten Anmeldeklasse am Gerät anmeldet:

  1. Konfigurieren Sie die login-alarms Anweisung für die entsprechende login-Klasse.

    So zeigen Sie z. B. Alarme an, wenn sich ein Benutzer in der admin Anmeldeklasse am Gerät anmeldet:

  2. Bestätigen Sie die Konfiguration.

Wenn sich ein Benutzer in der angegebenen Anmeldeklasse am Gerät anmeldet, zeigt das Gerät die aktuellen Alarme an.

Tipps zur Konfiguration der Anmeldung

Sie können die CLI so konfigurieren, dass ein Junos OS Tipp angezeigt wird, wenn sich ein Benutzer in der angegebenen Anmeldeklasse beim Gerät anmeldet. Das Gerät zeigt standardmäßig keine Tipps an.

So aktivieren Sie Tipps:

  1. Konfigurieren Sie die login-tip Anweisung auf Hierarchieebene [edit system login class class-name] .
  2. Bestätigen Sie die Konfiguration.

Wenn Sie die login-tip Anweisung konfigurieren, zeigt das Gerät jedem Benutzer in der angegebenen Klasse, der sich beim Gerät anmeldet, einen Tipp an.

Konfigurieren des zeitbasierten Benutzerzugriffs

Sie können unterstützte Geräte von Juniper Networks so konfigurieren, dass zeitbasierter Benutzerzugriff für Benutzer in einer bestimmten Klasse erzwungen wird. Der zeitbasierte Benutzerzugriff schränkt die Zeit und Dauer der Benutzeranmeldungen für alle Benutzer ein, die der Klasse angehören. Sie können den Benutzerzugriff basierend auf der Tageszeit oder dem Wochentag einschränken.

Um den Benutzerzugriff auf bestimmte Tage oder Uhrzeiten zu beschränken, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit system login class class-name] ein:

  • allowed-days– Konfigurieren Sie den Benutzerzugriff an bestimmten Wochentagen.

  • access-start and access-end—Konfigurieren Sie den Benutzerzugriff zwischen der angegebenen Start- und Endzeit (hh:mm).

So konfigurieren Sie den zeitbasierten Benutzerzugriff:

  1. Aktivieren Sie den Zugriff an bestimmten Wochentagen.

    So konfigurieren Sie beispielsweise den Benutzerzugriff für die operator-round-the-clock-access Anmeldeklasse von Montag bis Freitag ohne Einschränkung der Zugriffszeit:

  2. Aktivieren Sie den Zugriff zu bestimmten Tageszeiten.

    So konfigurieren Sie beispielsweise den Benutzerzugriff für die operator-day-shift-all-days-of-the-week Anmeldeklasse von 8:30 Uhr bis 16:30 Uhr an allen Wochentagen:

Sie können den Zugriff auch so konfigurieren, dass sowohl Tage als auch Uhrzeiten enthalten sind. Im folgenden Beispiel wird der Benutzerzugriff für die operator-day-shift Anmeldeklasse montags, mittwochs und freitags von 8:30 bis 16:30 Uhr konfiguriert:

Alternativ können Sie die Start- und Endzeit der Anmeldung für die operator-day-shift Anmeldeklasse angeben, indem Sie das folgende Format verwenden:

HINWEIS:

Die Start- und Endzeiten des Zugriffs können sich an einem bestimmten Tag über 12:00 Uhr erstrecken. In diesem Fall hat der Benutzer noch bis zum nächsten Tag Zugriff, auch wenn Sie diesen Tag nicht explizit in der allowed-days Anweisung konfigurieren.

Konfigurieren des Timeoutwerts für ungenutzte Anmeldesitzungen

Eine Anmeldesitzung im Leerlauf ist eine Sitzung, in der die CLI die Eingabeaufforderung für den Betriebsmodus oder den Konfigurationsmodus anzeigt, aber keine Eingabe über die Tastatur erfolgt. Standardmäßig bleibt eine Anmeldesitzung so lange eingerichtet, bis sich ein Benutzer vom Gerät abmeldet, auch wenn sich diese Sitzung im Leerlauf befindet. Um Leerlaufsitzungen automatisch zu schließen, müssen Sie für jede Anmeldeklasse ein Zeitlimit konfigurieren. Wenn eine Sitzung, die von einem Benutzer in dieser Klasse eingerichtet wurde, für das konfigurierte Zeitlimit inaktiv bleibt, wird die Sitzung automatisch geschlossen. Durch das automatische Schließen von Anmeldesitzungen im Leerlauf wird verhindert, dass böswillige Benutzer Zugriff auf das Gerät erhalten und Vorgänge mit einem autorisierten Benutzerkonto ausführen.

Sie können ein Leerlauftimeout nur für benutzerdefinierte Klassen konfigurieren. Sie können diese Option nicht für die vom System vordefinierten Klassen konfigurieren: operator, read-only, oder superuser, und unauthorized. super-user

So definieren Sie den Timeout-Wert für Anmeldesitzungen im Leerlauf:

  1. Geben Sie die Anzahl der Minuten an, die eine Sitzung im Leerlauf sein kann, bevor das System die Sitzung automatisch schließt.

    So trennen Sie beispielsweise automatisch ungenutzte Sitzungen von Benutzern in der admin Klasse nach fünfzehn Minuten:

  2. Bestätigen Sie die Konfiguration.

Wenn Sie einen Timeout-Wert konfigurieren, zeigt die CLI Meldungen ähnlich der folgenden an, wenn bei einem Benutzer im Leerlauf eine Zeitüberschreitung auftritt. Die CLI zeigt diese Meldungen 5 Minuten vor dem Trennen der Verbindung zum Benutzer an.

Wenn Sie einen Timeoutwert konfigurieren, wird die Sitzung nach Ablauf der angegebenen Zeit geschlossen, außer in den folgenden Fällen:

  • Der Benutzer führt den ssh Befehl or telnet aus.

  • Der Benutzer ist bei der lokalen UNIX-Shell angemeldet.

  • Der Benutzer überwacht Schnittstellen mit dem monitor interface Befehl oder monitor traffic .

Optionen für den erneuten Anmeldevorgang

Sie können Optionen für Wiederholungsversuche auf Geräten von Juniper Network konfigurieren, um die Geräte vor böswilligen Benutzern zu schützen. Sie können die folgenden Optionen konfigurieren:

  • Die Häufigkeit, mit der ein Benutzer ungültige Anmeldeinformationen eingeben kann, bevor das System die Verbindung schließt.

  • Gibt an, wie lange ein Benutzerkonto gesperrt werden soll, nachdem der Benutzer den Schwellenwert für fehlgeschlagene Authentifizierungsversuche erreicht hat.

Das Begrenzen der Anmeldeversuche und das Sperren des Benutzerkontos tragen dazu bei, das Gerät vor böswilligen Benutzern zu schützen, die versuchen, auf das System zuzugreifen, indem sie das Kennwort eines autorisierten Benutzerkontos erraten. Sie können das Benutzerkonto entsperren oder einen Zeitraum definieren, in dem das Benutzerkonto gesperrt bleibt.

Sie konfigurieren Anmeldewiederholungsoptionen auf Hierarchieebene [edit system login retry-options] . Die tries-before-disconnect Anweisung definiert den Schwellenwert für fehlgeschlagene Anmeldeversuche, bevor das Gerät den Benutzer trennt. Das Gerät lässt standardmäßig drei erfolglose Anmeldeversuche zu.

Die lockout-period Anweisung weist das Gerät an, das Benutzerkonto für die angegebene Zeitspanne zu sperren, wenn der Benutzer den Schwellenwert für erfolglose Anmeldeversuche erreicht. Die Sperre verhindert, dass der Benutzer Aktivitäten ausführt, für die eine Authentifizierung erforderlich ist, bis der Sperrzeitraum abgelaufen ist oder ein Systemadministrator die Sperre manuell aufhebt. Vorhandene Sperren werden ignoriert, wenn der Benutzer versucht, sich von der lokalen Konsole aus anzumelden.

So konfigurieren Sie Optionen für die Wiederholung der Anmeldung:

  1. Konfigurieren Sie, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben.

    Gehen Sie beispielsweise wie folgt vor, dass ein Benutzer viermal ein Kennwort eingeben kann, bevor das Gerät die Verbindung schließt:

  2. Konfigurieren Sie die Anzahl der Minuten, die das Benutzerkonto gesperrt bleibt, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat.

    So sperren Sie beispielsweise ein Benutzerkonto für 120 Minuten, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat:

  3. Bestätigen Sie die Konfiguration.

HINWEIS:

Um die Konsole während einer vom Administrator initiierten Abmeldung zu löschen, schließen Sie Zeilenumbruchzeichen (\n) ein, wenn Sie die message Anweisung auf Hierarchieebene [edit system login] konfigurieren. Um die Konsole vollständig zu löschen, kann der Administrator 50 oder mehr \n-Zeichen in die Meldungszeichenfolge eingeben. Beispiele:

Begrenzen Sie die Anzahl der Benutzeranmeldeversuche für SSH- und Telnet-Sitzungen

Sie können begrenzen, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben, während er sich über SSH oder Telnet bei einem Gerät anmeldet. Das Gerät beendet die Verbindung, wenn sich ein Benutzer nach der angegebenen Anzahl von Versuchen nicht anmelden kann. Sie können auch eine Verzögerung in Sekunden angeben, bevor ein Benutzer nach einem fehlgeschlagenen Versuch versuchen kann, ein Kennwort einzugeben. Darüber hinaus können Sie den Schwellenwert für die Anzahl der fehlgeschlagenen Versuche angeben, bevor der Benutzer eine Verzögerung bei der erneuten Eingabe eines Kennworts erfährt.

Um anzugeben, wie oft ein Benutzer versuchen kann, bei der Anmeldung ein Kennwort einzugeben, fügen Sie die retry-options Anweisung auf Hierarchieebene [edit system login] ein:

Sie können die folgenden Optionen konfigurieren:

  • tries-before-disconnect– Maximale Häufigkeit, mit der ein Benutzer ein Kennwort eingeben kann, wenn er sich über SSH oder Telnet beim Gerät anmeldet. Die Verbindung wird geschlossen, wenn sich ein Benutzer nach der angegebenen Nummer nicht anmelden kann. Der Bereich liegt zwischen 1 und 10, und der Standardwert ist 3.

  • backoff-threshold– Schwellenwert für die Anzahl der fehlgeschlagenen Anmeldeversuche, bevor der Benutzer eine Verzögerung bei der erneuten Eingabe eines Kennworts erfährt. Der Bereich liegt zwischen 1 und 3, und der Standardwert ist 2. Verwenden Sie die backoff-factor Option, um die Länge der Verzögerung anzugeben.

  • backoff-factor– Zeitspanne in Sekunden, die der Benutzer nach einem fehlgeschlagenen Anmeldeversuch oberhalb von . backoff-threshold Die Verzögerung erhöht sich um den angegebenen Wert für jeden weiteren Versuch nach dem backoff-threshold Wert. Der Bereich liegt zwischen 5 und 10, und der Standardwert ist 5 Sekunden.

  • lockout-period– Zeitspanne in Minuten, die ein Benutzerkonto nach Erreichen des Schwellenwerts tries-before-disconnect gesperrt wird. Der Bereich reicht von 1 bis 43.200 Minuten.

  • maximum-time seconds– Maximale Zeitspanne (in Sekunden), für die die Verbindung geöffnet bleibt, damit der Benutzer einen Benutzernamen und ein Kennwort eingeben muss, um sich anzumelden. Wenn der Benutzer im Leerlauf bleibt und keinen Benutzernamen und kein Kennwort innerhalb der konfigurierten maximum-time, wird die Verbindung geschlossen. Der Bereich liegt zwischen 20 und 300 Sekunden, der Standardwert ist 120 Sekunden.

  • minimum-time– Minimale Zeitspanne in Sekunden, die eine Verbindung geöffnet bleibt, während ein Benutzer versucht, ein korrektes Kennwort einzugeben. Der Bereich liegt zwischen 20 und 60, und der Standardwert ist 20 Sekunden.

Die Begrenzung der Anzahl der SSH- und Telnet-Anmeldeversuche pro Benutzer ist eine der effektivsten Methoden, um zu verhindern, dass Brute-Force-Angriffe Ihre Netzwerksicherheit gefährden. Brute-Force-Angreifer führen in kurzer Zeit eine Vielzahl von Anmeldeversuchen aus, um sich unrechtmäßig Zugang zu einem privaten Netzwerk zu verschaffen. Durch die Konfiguration der retry-options Anweisungen können Sie nach jedem fehlgeschlagenen Anmeldeversuch eine zunehmende Verzögerung erzeugen, wodurch schließlich alle Benutzer getrennt werden, die den von Ihnen festgelegten Schwellenwert für Anmeldeversuche überschreiten.

So begrenzen Sie die Anmeldeversuche, wenn sich ein Benutzer über SSH oder Telnet anmeldet:

  1. Konfigurieren Sie das Limit für die Anzahl der Anmeldeversuche.
  2. Konfigurieren Sie die Anzahl der Anmeldeversuche, bevor der Benutzer eine Verzögerung erfährt.
  3. Konfigurieren Sie die Anzahl der Sekunden, die der Benutzer nach Erreichen des Werts backoff-threshold auf die Anmeldeaufforderung warten muss.
  4. Konfigurieren Sie die Anzahl der Sekunden, für die die Verbindung geöffnet bleibt, während ein Benutzer versucht, sich anzumelden.

Bei der folgenden Konfiguration kommt es zu einer Verzögerung von 5 Sekunden, nachdem der zweite Versuch, ein korrektes Kennwort einzugeben, fehlgeschlagen ist. Nach jedem weiteren Fehlversuch erhöht sich die Verzögerung um 5 Sekunden. Nach dem vierten und letzten fehlgeschlagenen Versuch, ein korrektes Kennwort einzugeben, erfährt der Benutzer eine zusätzliche Verzögerung von 10 Sekunden. Die Verbindung wird nach insgesamt 40 Sekunden geschlossen.

Beispiel: Konfigurieren der Optionen für die erneute Anmeldung

In diesem Beispiel wird gezeigt, wie Sie Optionen für die Wiederholung der Anmeldung konfigurieren, um ein Gerät vor böswilligen Benutzern zu schützen.

Anforderungen

Bevor Sie beginnen, sollten Sie verstehen Begrenzen Sie die Anzahl der Benutzeranmeldeversuche für SSH- und Telnet-Sitzungen.

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

Böswillige Benutzer versuchen manchmal, sich bei einem sicheren Gerät anzumelden, indem sie das Kennwort eines autorisierten Benutzerkontos erraten. Sie können ein Benutzerkonto nach einer bestimmten Anzahl fehlgeschlagener Authentifizierungsversuche sperren. Diese Vorsichtsmaßnahme trägt dazu bei, Geräte vor böswilligen Benutzern zu schützen.

Sie können die Anzahl der fehlgeschlagenen Anmeldeversuche konfigurieren, bevor das Gerät das Benutzerkonto sperrt, und Sie können die Zeitspanne konfigurieren, für die das Konto gesperrt bleibt. Sie können auch die Zeitspanne konfigurieren, die der Benutzer zwischen fehlgeschlagenen Anmeldeversuchen warten muss.

HINWEIS:

Dieses Beispiel enthält die folgenden Einstellungen:

  • backoff-factor– Länge der Verzögerung in Sekunden, die der Benutzer nach jedem fehlgeschlagenen Anmeldeversuch oberhalb von . backoff-threshold Die Verzögerung erhöht sich um diesen Wert für jeden weiteren Anmeldeversuch nach dem in der backoff-threshold Anweisung angegebenen Wert.

  • backoff-threshold– Schwellenwert für die Anzahl der fehlgeschlagenen Anmeldeversuche auf dem Gerät, bevor der Benutzer eine Verzögerung beim Versuch erfährt, ein Kennwort erneut einzugeben. Wenn ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht, erlebt der Benutzer die in der backoff-factor Anweisung festgelegte Verzögerung. Nach der Verzögerung kann der Benutzer einen weiteren Anmeldeversuch unternehmen.

  • lockout-period: Anzahl der Minuten, die das Benutzerkonto gesperrt wird, nachdem der Benutzer den tries-before-disconnect Schwellenwert erreicht hat. Der Benutzer muss die konfigurierte Anzahl von Minuten warten, bevor er sich erneut am Gerät anmelden kann.

  • tries-before-disconnect- Maximale Häufigkeit, mit der der Benutzer ein Kennwort eingeben kann, um zu versuchen, sich über SSH oder Telnet beim Gerät anzumelden.

HINWEIS:

Wenn Sie vom Gerät ausgesperrt sind, können Sie sich am Konsolenport des Geräts anmelden, wodurch alle Benutzersperren ignoriert werden. Dies bietet Administratoren die Möglichkeit, die Benutzersperre für ihr eigenes Benutzerkonto aufzuheben.

In diesem Beispiel wird die tries-before-disconnect Option auf 3 festgelegt. Infolgedessen hat der Benutzer drei Versuche, sich am Gerät anzumelden. Wenn die Anzahl der fehlgeschlagenen Anmeldeversuche gleich dem in der backoff-threshold Anweisung angegebenen Wert ist, muss der Benutzer warten, bis das backoff-threshold Intervall in Sekunden multipliziert wird backoff-factor , um die Anmeldeaufforderung zu erhalten. In diesem Beispiel muss der Benutzer 5 Sekunden nach dem ersten fehlgeschlagenen Anmeldeversuch und 10 Sekunden nach dem zweiten fehlgeschlagenen Anmeldeversuch warten, um die Anmeldeaufforderung zu erhalten. Das Gerät trennt den Benutzer nach dem dritten fehlgeschlagenen Versuch.

Wenn sich der Benutzer nach drei Versuchen nicht erfolgreich anmeldet, wird das Benutzerkonto gesperrt. Der Benutzer kann sich erst nach Ablauf von 120 Minuten anmelden, es sei denn, ein Systemadministrator hebt die Sperre während dieser Zeit manuell auf.

Ein Systemadministrator kann ein Konto manuell entsperren, indem er den clear system login lockout user <username> Befehl ausgibt. Der show system login lockout Befehl zeigt an, welche Benutzerkonten gesperrt sind und wann der Sperrzeitraum für jeden Benutzer beginnt und endet.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

So konfigurieren Sie System-Wiederholungsoptionen:

  1. Konfigurieren Sie den Backoff-Faktor.

  2. Konfigurieren Sie den Backoff-Schwellenwert.

  3. Konfigurieren Sie die Anzahl der Minuten, die das Benutzerkonto gesperrt bleibt, nachdem ein Benutzer den Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht hat.

  4. Konfigurieren Sie, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system login retry-options Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Gesperrte Benutzeranmeldungen anzeigen

Zweck

Vergewissern Sie sich, dass die Konfiguration für die Anmeldesperre aktiviert ist.

Action!

Versuchen Sie, sich dreimal erfolglos für einen bestimmten Benutzernamen anzumelden. Das Gerät wird für diesen Benutzernamen gesperrt. Melden Sie sich dann mit einem anderen Benutzernamen am Gerät an. Geben Sie im Betriebsmodus den show system login lockout Befehl ein, um die gesperrten Konten anzuzeigen.

Bedeutung

Nachdem Sie drei erfolglose Anmeldeversuche mit einem bestimmten Benutzernamen durchgeführt haben, wird das Gerät für diesen Benutzer für 120 Minuten gesperrt, wie im Beispiel konfiguriert. Sie können überprüfen, ob das Gerät für diesen Benutzer gesperrt ist, indem Sie sich mit einem anderen Benutzernamen beim Gerät anmelden und den show system login lockout Befehl eingeben.