Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS-Anmeldeeinstellungen

Junos OS können Sie verschiedene Einstellungen für Benutzer festlegen, nachdem sie sich angemeldet haben. Sie können festlegen, was Benutzer nach der Anmeldung benachrichtigen soll, Systemalarme anzeigen, Anmeldetipps geben oder einen zeitbasierten Benutzerzugriff angeben sowie die Anzahl der Anmeldeversuche beschränken. Lesen Sie dieses Thema für weitere Informationen.

Konfiguration Junos OS zur Anzeige einer Systemanmeldungsankündigung

Manchmal möchten Sie nur autorisierten Benutzern Ankündigungen machen, nachdem sie sich angemeldet haben. Sie könnten beispielsweise eine anstehende Wartungsveranstaltung ankündigen.

Sie können die Ankündigung mit den folgenden Sonderzeichen formatieren:

  • \n: Neue Linie

  • \t – Registerkarte "horizontal"

  • \'– Einzelnes Anführungszeichen

  • \"– Doppeltes Anführungszeichen

  • \\– Backslash

Wenn der Text eine oder mehrere Bereiche enthält, schließen Sie sie in Anführungszeichen ein.

Standardmäßig wird keine Anmeldung angezeigt.

So konfigurieren Sie eine Ankündigung, die nur von autorisierten Benutzern verwendet werden kann:

  1. Geben Sie announcement die Anweisung in die Konfiguration [edit system login] ein.

    Zum Beispiel:

  2. Commit für die Konfiguration.
  3. Verbinden Sie sich in einer neuen Sitzung mit dem Gerät, um das Vorhandensein des neuen Banners zu überprüfen.

    Im Beispiel der vorherigen Anmeldungsnachricht wird eine Anmeldenachricht erzeugt, die der folgenden ähnelt:

Wenn der Ankündigungstext beliebige Bereiche enthält, schließen Sie den Text in Anführungszeichen ein.

Nach der Anmeldung erscheint eine Ankündigung zur Systemanmeldung. Vor der Anmeldung wird eine Systemanmeldungsnachricht angezeigt.

Tipp:

Sie können dieselben Sonderzeichen verwenden, um Ihre Ankündigung zur Systemanmeldung zu formatieren.

Konfiguration von Systemalarme wird bei der Anmeldung automatisch angezeigt

Sie können die Juniper Networks und Switches so konfigurieren, dass der Befehl ausgeführt wird, wenn ein Benutzer über die Anmeldungsklasse sich beim Router oder show system alarmsadmin Switch anmeldet. Um dies zu erreichen, fügen Sie login-alarms die Anweisung auf der [edit system login class admin] Hierarchieebene ein.

Weitere Informationen zu diesem Befehl finden Sie show system alarms im Explorer CLI Explorer.

Konfiguration von Anmeldetipps

Der Junos OS CLI bietet die Möglichkeit, Anmeldetipps für den Benutzer zu konfigurieren. Standardmäßig ist der Befehl bei der Anmeldung tip eines Benutzers nicht aktiviert.

  • Um Tipps zu geben, fügen Sie die login-tip Anweisung auf der [edit system login class class-name] Hierarchieebene hinzu:

Beim Hinzufügen dieser Anweisung wird der Befehl für die angegebene Klasse aktiviert, und die tip Benutzerprotokolle werden mithilfe der CLI.

Beispiele: Konfigurieren eines zeitbasierten Benutzerzugriffs

Im folgenden Beispiel wird gezeigt, wie Sie den Benutzerzugriff für die Anmeldeklasse von Montag bis Freitag konfigurieren können, ohne dass Zugriffszeit oder -dauer operator-round-the-clock-access der Anmeldung eingeschränkt werden:

Das folgende Beispiel zeigt, wie Sie den Benutzerzugriff für die Anmeldeklasse am Montag, Mittwoch und Freitag von operator-day-shift 8:30 bis 16:30 Uhr konfigurieren:

Alternativ können Sie auch die Start- und Endzeit der Anmeldung für die Anmeldeklasse im folgenden Format von operator-day-shift 8:30 bis 16:30 Uhr angeben:

Im folgenden Beispiel wird gezeigt, wie der Benutzerzugriff für die Anmeldeklasse an allen Tagen der Woche von operator-day-shift-all-days-of-the-week 8:30 bis 16:30 Uhr konfiguriert wird:

Konfigurieren des Timeout-Werts für nicht inaktive Anmeldesitzungen

Eine nichtige Anmeldesitzung ist eine Sitzung, in der die CLI im Betriebsmodus angezeigt wird, aber keine Eingaben aus der Tastatur ausgeführt werden. Standardmäßig wird eine Anmeldesitzung eingerichtet, bis sich ein Benutzer beim Router oder Switch anmeldet, auch wenn diese Sitzung nicht mehr verwendet wird. Um nicht inaktive Sitzungen automatisch zu schließen, müssen Sie eine Zeitbegrenzung für jede Anmeldeklasse konfigurieren. Wenn eine von einem Benutzer dieser Klasse eingerichtete Sitzung für die konfigurierte Zeitbegrenzung nicht mehr verwendet wird, schließt die Sitzung automatisch. Idle-timeout nur für benutzerdefinierte Klassen konfiguriert werden. Die Konfiguration funktioniert für die system vordefinierten Klassen nicht: operator, read-only, super-user. Die Werte und Berechtigungen dieser Klassen können nicht bearbeitet werden.

Um den Timeout-Wert für nicht inaktive Anmeldesitzungen zu definieren, geben Sie die idle-timeout Aussage auf der [edit system login class class-name] Hierarchieebene ein:

Geben Sie die Anzahl von Minuten an, in denen eine Sitzung nicht mehr verwendet werden kann, bevor sie automatisch geschlossen wird.

Wenn Sie einen Timeout-Wert konfiguriert haben, zeigt der CLI Nachrichten ähnlich wie die folgenden an, wenn sie einen nicht inaktiven Benutzer auszeiten. Sie beginnt mit der Anzeige dieser Nachrichten fünf Minuten, bevor der Benutzer zu einem späteren Zeitpunkt empfangen wird.

Wenn Sie einen Timeout-Wert konfigurieren, wird die Sitzung nach Ablauf der angegebenen Zeit beendet, es sei denn, der Benutzer verwendet mithilfe des Befehls oder Eines Befehls Telnet- oder monitor interfacemonitor traffic Überwachungsschnittstellen.

Optionen für Erneutentschreibanmeldung

Der Sicherheitsadministrator kann konfigurieren, wie oft ein Benutzer versuchen kann, sich mit ungültigen Anmeldeinformationen auf dem Gerät anzumelden. Das Gerät kann nach der angegebenen Anzahl erfolgloser Authentifizierungsversuche gesperrt werden. Dies hilft beim Schutz des Geräts vor böswilligen Benutzern, die versuchen, auf das System zu zugreifen, indem das Kennwort eines Kontos erraten wird. Der Sicherheitsadministrator kann das Benutzerkonto entsperren oder einen Zeitraum festlegen, in dem das Benutzerkonto gesperrt bleiben kann.

Das System definiert, wie lange das Gerät nach einer angegebenen Anzahl von erfolglosen Anmeldeversuchen für ein lockout-period Benutzerkonto gesperrt werden kann.

Der Sicherheitsadministrator kann einen bestimmten Zeitraum konfigurieren, in dem eine inaktive Sitzung abgeriegelt wird und eine erneute Authentifizierung erforderlich ist. Auf diese Weise kann geschützt werden, dass das Gerät lange vor der Sitzung nicht länger leer ist.

Das System definiert die Dauer, CLI die idle-timeout Eingabeaufforderung vor der Auszeit der Sitzung aktiv bleibt.

Der Sicherheitsadministrator kann ein Banner mit einem Hinweis konfigurieren, der vor der Identifizierung und Authentifizierung angezeigt werden soll.

Das System message definiert die Systemanmeldungsnachricht. Diese Meldung wird vor der Anmeldung durch einen Benutzer angezeigt.

Die Anzahl der Erneuten, die das Gerät unterstützt, wird durch die Option tries-before-disconnect definiert. Das Gerät ermöglicht standardmäßig 3 erfolglose Versuche oder wie vom Administrator konfiguriert. Das Gerät verhindert, dass die gesperrten Benutzer Authentifizierungsaktivitäten ausführen können, bis ein Sicherheitsadministrator die Sperrung oder den definierten Zeitraum, in dem das Gerät gesperrt bleiben muss, manuell löschen. Die vorhandenen Sperren werden jedoch ignoriert, wenn der Benutzer versucht, sich über die lokale Konsole zu anmelden.

Anmerkung:

Um die Konsole während eines vom Administrator initiierten Abmeldes zu löschen, muss der Administrator dies so konfigurieren, dass die Nachrichtenzeichenfolge neue Zeichen (\n) und eine Anmeldebannernachricht am Ende der set system login message “message string” \n-Zeichen enthält.

Um sicherzustellen, dass die Konfigurationsinformationen vollständig löschen, kann der Administrator 50 oder mehr \n-Zeichen in die Nachrichtenzeichenfolge des Befehls set system login message “message string” eingeben.

Zum Beispiel set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"

Begrenzung der Anzahl von Anmeldeversuchen für SSH- und Telnet-Sitzungen

Sie können die Anzahl begrenzen, wie oft ein Benutzer versuchen kann, ein Kennwort einzugeben, während sie sich über SSH oder Telnet anmelden. Die Verbindung wird beendet, wenn ein Benutzer nach der angegebenen Anzahl von Versuchen nicht anmeldet. Sie können auch eine Verzögerung in Sekunden angeben, bevor ein Benutzer versuchen kann, ein Kennwort nach einem fehlgeschlagenen Versuch einzugeben. Sie können auch den Schwellenwert für die Anzahl fehlgeschlagener Versuche festlegen, bevor dem Benutzer eine Verzögerung bei der erneuten Eingabe eines Kennworts zutritt.

Um anzugeben, wie oft ein Benutzer während der Anmeldung versucht, ein Kennwort einzugeben, geben Sie die retry-options Anweisung auf der [edit system login] Hierarchieebene ein:

Sie können folgende Optionen konfigurieren:

  • tries-before-disconnect— Wie oft ein Benutzer versucht, bei der Anmeldung ein Kennwort einzugeben. Die Verbindung wird geschlossen, wenn ein Benutzer die Anmeldung nach der angegebenen Nummer nicht anmeldet. Der Bereich ist zwischen 1 und 10 und Standard 10.

  • backoff-threshold— Schwellenwert für die Anzahl fehlgeschlagener Anmeldeversuche, bevor der Benutzer verzögert werden kann, wenn es erneut ein Kennwort eingeben kann. Verwenden Sie backoff-factor die Option, um die Länge der Verzögerung in Sekunden anzugeben. Der Bereich reicht von 1 bis 3 und ist Standard 2.

  • backoff-factor— Länge der Zeit, in Sekunden, bevor ein Benutzer nach einem fehlgeschlagenen Versuch die Anmeldung versuchen kann. Die Verzögerung erhöht sich um den Wert, der für jeden nachfolgenden Versuch nach dem Schwellenwert angegeben ist. Der Bereich reicht von 5 bis 10 und der Standard beträgt 5 Sekunden.

  • maximum-time seconds— Maximale Dauer, in Sekunden, und die Verbindung bleibt offen, so dass der Benutzer einen Benutzernamen und ein Passwort für die Anmeldung eingeben kann. Wenn der Benutzer nicht mehr zur Anmeldung verwendet wird und nicht mehr einen Benutzernamen und ein Passwort in der konfigurierten Adresse ein maximum-time gibt, wird die Verbindung geschlossen. Die Reichweite beträgt 20 bis 300 Sekunden und der Standard beträgt 120 Sekunden.

  • minimum-time— In Sekundenschnelle bleibt eine Verbindung offen, während ein Benutzer versucht, ein richtiges Kennwort einzugeben. Der Bereich reicht von 20 bis 60 und ist standardmäßig 40.

Im folgenden Beispiel wird gezeigt, wie der Benutzer auf vier Versuche limitiert wird, wenn der Benutzer beim Anmelden über SSH oder Telnet ein Kennwort ein gibt:

Die Begrenzung der Anzahl der Anmeldeversuche nach SSH- und Telnet-Angriffen pro Benutzer ist eine der effektivsten Methoden zum Stoppen von Brute-Force-Angriffen, um die Netzwerksicherheit zu gefährden. Brute-Force-Angreifer führen in kürzester Zeit eine große Anzahl von Anmeldeversuchen aus, um sich unehelich Zugriff auf ein privates Netzwerk zu verschaffen. Durch die Konfiguration des Befehls können Sie nach jedem fehlgeschlagenen Anmeldeversuch eine zunehmende Verzögerung erzeugen und letztendlich jeden Benutzer, der den festgelegten Grenzwert an Anmeldeversuchen passiert, zu retry-options trennen.

Als backoff-threshold "2" oder back-off-factor "5 Sekunden" und minimum-time "40" festgelegt. Beim Benutzer schlägt eine Verzögerung von 5 Sekunden nach dem zweiten Versuch der Eingabe eines korrekten Kennworts fehl. Nach jedem nachfolgenden fehlgeschlagenen Versuch erhöht sich die Verzögerung um 5 Sekunden. Nach dem vierten und letzten fehlgeschlagenen Versuch, ein richtiges Kennwort eingegeben zu haben, erlebt der Benutzer eine weitere Verzögerung von 10 Sekunden, und die Verbindung schließt nach insgesamt 40 Sekunden.

Die zusätzlichen maximum-time Variablen, lockout-period die in diesem Beispiel nicht festgelegt wurden.

Anmerkung:

In diesem Beispiel wird nur der Teil der Hierarchieebene [Anmeldung bearbeiten] angezeigt, der geändert wird.

Beispiel: Konfiguration von Optionen für Login-Wiederholung

In diesem Beispiel wird gezeigt, wie Sie Die Optionen für System-Wiederholungen konfigurieren, um das Gerät vor böswilligen Benutzern zu schützen.

Anforderungen

Bevor Sie mit dem Anmelden beginnen, sollten Sie die Optionen für erneuten Anmeldeversuch verstehen.

Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

Böswillige Benutzer versuchen manchmal, sich bei einem sicheren Gerät zu anmelden, indem sie das Kennwort eines autorisierten Benutzerkontos erraten. Die Sperrung eines Benutzerkontos nach einigen fehlgeschlagenen Authentifizierungsversuchen schützt das Gerät vor böswilligen Benutzern.

Die Sperrung von Geräten ermöglicht Ihnen die Konfiguration der Anzahl fehlgeschlagener Versuche, bevor das Benutzerkonto abgesperrt wird, und den Zeitraum zu konfigurieren, in dem der Benutzer erneut versuchen kann, sich am Gerät zu anmelden. Sie können den Zeitbereich zwischen fehlgeschlagenen Anmeldeversuchen eines Benutzerkontos konfigurieren und Benutzerkonten manuell sperren und wieder öffnen.

Anmerkung:

In diesem Beispiel sind die folgenden Einstellungen enthalten:

  • backoff-factor — Legt die Verzögerungsdauer in Sekunden nach jedem fehlgeschlagenen Anmeldeversuch fest. Wenn sich ein Benutzer falsch an das Gerät anmeldet, muss der Benutzer die konfigurierte Zeit warten, bevor er sich erneut beim Gerät anmeldet. Die Verzögerungsdauer erhöht sich um diesen Wert für jeden nachfolgenden Anmeldeversuch nach dem in der Aussage angegebenen backoff-threshold Wert. Der Standardwert dieser Aussage ist fünf Sekunden mit einem Bereich von fünf bis zehn Sekunden.

  • backoff-threshold — Legt den Schwellenwert für die Anzahl fehlgeschlagener Anmeldeversuche auf dem Gerät fest, bevor dem Benutzer eine Verzögerung beim erneuten Eingeben eines Kennworts zuzuge. Wenn ein Benutzer sich falsch an das Gerät anmeldet und den Grenzwert für fehlgeschlagene Anmeldeversuche erreicht, wird eine Verzögerung in der Anweisung festgelegt, bevor er sich erneut beim Gerät backoff-factor anmeldet. Der Standardwert für diese Aussage ist zwei, mit einem Bereich von 1 bis 3.

  • lockout-period — Legt die Zeit in Minuten fest, bevor der Benutzer versuchen kann, sich nach seiner Absperrung aufgrund der in der Erklärung angegebenen Anzahl fehlgeschlagener Anmeldeversuche beim Gerät tries-before-disconnect anzumelden. Wenn ein Benutzer nach der anzahl der zulässigen Versuche, die in der Erklärung angegeben sind, nicht richtig anmeldet, muss der Benutzer die konfigurierte Anzahl von Minuten warten, bevor er sich erneut am Gerät tries-before-disconnect anmeldet. Die Sperrzeit muss größer als Null sein. Der Bereich, in dem Sie den Sperrzeitraum konfigurieren können, beträgt 1 bis 43.200 Minuten.

  • tries-before-disconnect — Legt fest, wie oft der Benutzer ein Kennwort eingeben darf, um sich über SSH oder Telnet auf dem Gerät zu anmelden. Wenn der Benutzer die maximale Anzahl fehlgeschlagener Anmeldeversuche erreicht, wird der Benutzer aus dem Gerät ausgesperrt. Der Benutzer muss vor der Anmeldung am Gerät die konfigurierte Anzahl von Minuten in der lockout-period Anweisung warten. Die Aussage muss beim Festlegen der tries-before-disconnectlockout-period Aussage festgelegt werden. Andernfalls ist lockout-period die Aussage bedeutungslos. Die Standardanzahl der Versuche be steht zehn ( 1 bis 10 Versuche).

Sobald ein Benutzer aus dem Gerät abgesperrt ist, können Sie als Sicherheitsadministrator den Benutzer manuell mithilfe des Befehls aus diesem Zustand clear system login lockout <username> entfernen. Sie können mit dem Befehl auch anzeigen, welche Benutzer derzeit abgesperrt sind, wann die Sperrfrist für jeden Benutzer begann und wann die Sperrzeit für jeden Benutzer show system login lockout endet.

Wenn der Sicherheitsadministrator aus dem Gerät ausgesperrt ist, kann er sich über den Konsolenport am Gerät anmelden, wodurch jegliche Benutzerschlösser ignoriert werden. Auf diese Weise kann der Administrator die Benutzersperrung für sein eigenes Benutzerkonto entfernen.

In diesem Beispiel wartet der Benutzer darauf, dass das Intervall in Sekunden backoff-threshold multipliziert backoff-factor wird, um die Anmeldeaufforderung zu erhalten. In diesem Beispiel muss der Benutzer 5 Sekunden nach dem ersten fehlgeschlagenen Anmeldeversuch und 10 Sekunden nach dem zweiten fehlgeschlagenen Anmeldeversuch warten, um die Anmeldeaufforderung zu erhalten. Der Benutzer wird nach 15 Sekunden nach dem dritten fehlgeschlagenen Versuch unterbrochen, da die Option tries-before-disconnect als 3 konfiguriert wurde.

Der Benutzer kann erst nach verstrichenen 120 Minuten eine weitere Anmeldung versuchen, wenn der Sicherheitsadministrator die Sperrung nicht manuell entfernt.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

So konfigurieren Sie Die Optionen für System retry-options:

  1. Konfigurieren Sie den Backoff-Faktor.

  2. Konfigurieren Sie den Backoff-Grenzwert.

  3. Konfigurieren Sie, wie lange das Gerät nach fehlgeschlagenen Versuchen gesperrt wird.

  4. Konfigurieren Sie die Anzahl der erfolglosen Versuche, in denen das Gerät entsperrt bleiben kann.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show system login retry-options eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Überprüfung

Anzeige der abgesperrten Benutzeranmeldungen

Zweck

Stellen Sie sicher, dass die Konfiguration zur Sperrung der Anmeldung aktiviert ist.

Aktion

Versuchen Sie drei erfolglose Anmeldungen für einen bestimmten Benutzernamen. Das Gerät wird nach diesem Benutzernamen gesperrt. melden Sie sich dann mit einem anderen Benutzernamen auf dem Gerät an. Geben Sie im Betriebsmodus den Befehl show system login lockout ein.

Bedeutung

Wenn Sie drei erfolglose Anmeldeversuche mit einem bestimmten Benutzernamen durchführen, wird das Gerät für diesen Benutzer fünf Minuten lang gesperrt, wie im Beispiel konfiguriert. Sie können überprüfen, ob das Gerät für diesen Benutzer abgesperrt ist, indem Sie sich mit einem anderen Benutzernamen auf dem Gerät anmelden und den Befehl show system login lockout eingeben.