Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Comprensión de los niveles de privilegio de acceso Junos OS

 

Cada comando de nivel superior de la CLI y cada estado de la configuración tienen un nivel de privilegio de acceso asociado. Los usuarios sólo pueden ejecutar esos comandos, así como configurar y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Los privilegios de acceso de cada clase de inicio de sesión se definen mediante una o varias marcas de permiso.

Para cada clase de inicio de sesión, puede denegar o permitir explícitamente el uso de comandos de modo operativo y de configuración que, de lo contrario, estaría permitido o permissions no por un nivel de privilegios especificado en la instrucción.

Las secciones siguientes proporcionan información adicional acerca de los permisos:

Indicadores de permiso de clase de inicio de sesión Junos OS

Los indicadores de permiso se utilizan para conceder a un usuario acceso a los comandos del modo de funcionamiento y los niveles e instrucciones de jerarquías de configuración. Al especificar una marca de permiso específica en la clase login del usuario en el [edit system login class] nivel de la jerarquía, puede conceder al usuario acceso a los comandos y los niveles de jerarquía de configuración e instrucciones correspondientes. Para conceder acceso a todos los comandos y a las instrucciones all de configuración, utilice la marca de permisos.

Nota

Cada comando mostrado representa ese comando y todos los subcomandos que tienen ese comando como un prefijo. Cada instrucción de configuración mostrada representa la parte superior de la jerarquía de configuración a la que este marcador concede acceso.

La permissions instrucción especifica uno o más de los indicadores de permiso enumerados en Tabla 1. Los indicadores de permisos no son acumulativos, por lo que para cada clase se deben enumerar todos view los indicadores de permisos configure necesarios, lo que incluye Mostrar información y entrar en el modo de configuración. Existen dos formas de controlar los permisos para las partes individuales de la configuración:

  • "Formato” simple—proporciona la capacidad de solo lectura para ese tipo de permiso. Un ejemplo interface.

  • El formato que termina -control—en proporciona capacidad de lectura y escritura para ese tipo de permiso. Un ejemplo interface-control.

En el caso de marcadores de permisos que conceden acceso a los niveles de jerarquías de configuración y a las instrucciones, los indicadores conceden privilegios de solo lectura para esa configuración. Por ejemplo, el interface indicador de permisos concede acceso de sólo lectura al [edit interfaces] nivel de la jerarquía. La -control forma del indicador concede acceso de lectura y escritura a esa configuración. Con el ejemplo anterior, interface-control se concede acceso de lectura y escritura [edit interfaces] al nivel jerárquico.

Tabla 1enumera los indicadores de permiso de clase Junos OS inicio de sesión que puede configurar permissions incluyendo la instrucción [edit system login class class-name] en el nivel jerárquico.

Los indicadores de permisos conceden un conjunto específico de privilegios de acceso. Cada marca de permiso se muestra con los comandos del modo operativo y los niveles y las instrucciones de jerarquías de configuración a los que dicho indicador concede acceso.

Tabla 1: Indicadores de permiso de clase de inicio de sesión

Marca de permiso

Descriptiva

access

Puede ver la configuración de acceso en el modo de configuración show configuration y con el comando del modo operativo.

access-control

Puede ver y configurar la información de acceso [edit access] en el nivel de jerarquía.

admin

Puede ver la información de la cuenta de usuario en el show configuration modo de configuración y con el comando modo de funcionamiento.

admin-control

Puede ver la información de las cuentas de usuario y [edit system] configurarla en el nivel de jerarquía.

all-control

Puede ver las cuentas de usuario y configurarlas en el nivel de [edit system login] jerarquía.

all

Puede tener acceso a todos los comandos del modo operativo y a los comandos del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquías de configuración.

clear

Puede borrar (eliminar) la información aprendida de la red almacenada en varias bases de datos de red mediante los clear comandos.

configure

Puede entrar en el modo de configuración configure con el comando.

control

Puede realizar todas las operaciones del nivel—de control todas las operaciones -control configuradas con los indicadores de permiso.

field

Permite ver comandos de depuración de campo. Reservado para la compatibilidad con depuración.

firewall

Puede ver la configuración de filtro de Firewall en el modo de configuración.

firewall-control

Permite ver y configurar la información de filtros del [edit firewall] cortafuegos en el nivel de jerarquía.

floppy

Puede leer y escribir en los medios extraíbles.

flow-tap

Permite ver la configuración de punteo de flujo en el modo de configuración.

flow-tap-control

Permite ver la configuración de punteo de flujo en el modo de configuración y puede configurar la información de [edit services flow-tap] configuración de punteo de flujo en el nivel de jerarquía.

flow-tap-operation

Puede realizar solicitudes de punteo de flujo en el enrutador o conmutador. Por ejemplo, un cliente de protocolo dinámico de control de tareas (DTCP) flow-tap-operation debe tener permiso para autenticarse a sí mismo en el Junos os como un usuario administrativo.

Nota: La flow-tap-operation opción no está incluida en la all-control marca de permisos.

idp-profiler-operation

Puede ver los datos del generador de perfiles.

interface

Puede ver la configuración de la interfaz en el modo de show configuration configuración y con el comando modo de operación.

interface-control

Puede ver la información de configuración de chasis, clase de servicio (COS), grupos, opciones de reenvío e interfaces. Puede editar la configuración en los siguientes niveles de jerarquía:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

Puede realizar el mantenimiento del sistema, lo que incluye iniciar un shell local en el enrutador o conmutador y convertirse en el su root superusuario en el shell mediante el comando, y puede detener y reiniciar el request system enrutador o conmutador utilizando los comandos.

network

Puede acceder a la red con los pingcomandos ssh, telnet, y traceroute .

pgcp-session-mirroring

Puede ver la pgcp configuración del reflejo de sesión.

pgcp-session-mirroring-control

Puede modificar la pgcp configuración del reflejo de sesión.

reset

Puede reiniciar los procesos de software mediante restart el comando y puede configurar si los procesos de software están habilitados [edit system processes] o deshabilitados en el nivel de jerarquía.

rollback

Puede usar el rollback comando para volver a una configuración previamente confirmada que no sea la última que se confirmó.

routing

Permite ver la información de configuración general de enrutamiento, protocolo de enrutamiento y directivas de enrutamiento en los modos de configuración y funcionamiento.

routing-control

Puede ver la información de configuración general de enrutamiento, protocolo de enrutamiento y directivas de enrutamiento, y puede [edit routing-options] configurar el enrutamiento general a nivel de [edit protocols] jerarquía, los protocolos de enrutamiento en el [edit policy-options] nivel de jerarquía y las directivas de enrutamiento en el nivel de jerarquía.

secret

Puede ver contraseñas y otras claves de autenticación en la configuración.

secret-control

Puede ver contraseñas y otras claves de autenticación en la configuración y puede modificarlas en modo de configuración.

security

Puede ver la configuración de seguridad en el modo de show configuration configuración y con el comando modo de funcionamiento.

security-control

Puede ver y configurar la información de seguridad [edit security] en el nivel de jerarquía.

shell

Puede iniciar un shell local en el enrutador o conmutador mediante start shell el comando.

snmp

Permite ver la información de configuración del Protocolo simple de administración de red (SNMP) en los modos de configuración y funcionamiento.

snmp-control

Puede ver la información de configuración SNMP y puede modificar la configuración [edit snmp] SNMP en el nivel jerárquico.

system

Puede ver la información de nivel de sistema en los modos de configuración y funcionamiento.

system-control

Puede ver la información de configuración de nivel del sistema y configurarla en el nivel de [edit system] jerarquía.

trace

Permite ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.

trace-control

Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.

view

Puede utilizar varios comandos para mostrar los valores y estadísticas específicos del sistema y de la tabla de enrutamiento, y de los protocolos. No se puede ver la configuración secreta.

view-configuration

Permite ver toda la configuración con exclusión de secretos, scripts del sistema y opciones de evento.

Nota: Solo los usuarios con maintenance permiso pueden ver la secuencia de comandos de ejecución, la secuencia de comandos OP o la configuración de script de eventos.

Permitir o denegar comandos individuales para Junos OS clases de inicio de sesión

De forma predeterminada, todos los comandos de nivel superior de la CLI tienen los niveles de privilegio de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente el uso de comandos de modo operativo y de configuración que, de lo contrario, estaría permitido o permissions no por un nivel de privilegios especificado en la instrucción.

Los indicadores de permiso se utilizan para conceder a un usuario acceso a los comandos del modo de funcionamiento y los niveles e instrucciones de jerarquías de configuración. Al especificar una marca de permiso específica en la clase login del usuario en el [edit system login class] nivel de la jerarquía, puede conceder al usuario acceso a los comandos y los niveles de jerarquía de configuración e instrucciones correspondientes. Para conceder acceso a todos los comandos y a las instrucciones all de configuración, utilice la marca de permisos. En el caso de marcadores de permisos que conceden acceso a los niveles de jerarquías de configuración y a las instrucciones, los indicadores conceden privilegios de solo lectura para esa configuración. Por ejemplo, el interface indicador de permisos concede acceso de sólo lectura al [edit interfaces] nivel de la jerarquía. La -control forma del indicador concede acceso de lectura y escritura a esa configuración. Con el ejemplo anterior, interface-control se concede acceso de lectura y escritura [edit interfaces] al nivel jerárquico.

  • Los all bits de permiso de clase login tienen prioridad sobre las expresiones regulares extensas rollback cuando un rollback usuario emite un comando con la marca de permiso habilitada.

  • Las expresiones utilizadas para permitir o denegar comandos a usuarios de RADIUS y a los servidores TACACS + se han simplificado. En lugar de una sola expresión de tipo Long con varios comandosallow-commands=cmd1 cmd2 ... cmdn(), puede especificar cada comando como una expresión independiente. Esta nueva sintaxis es válida para allow-configuration, deny-configuration, allow-commandsdeny-commands, y para todos los bits de permiso de usuario.

  • Los usuarios no pueden load override ejecutar el comando cuando especifican una expresión regular extendida. Los usuarios solo pueden emitir mergelos replacecomandos, patch y Configuration.

  • Si permite y deniega los mismos comandos, los allow-commands permisos prevalecerán sobre los permisos especificados por deny-commandsel. Por ejemplo, si incluye allow-commands "request system software add" y deny-commands "request system software add", la clase login User puede instalar software por medio del request system software add comando.

  • Las expresiones regulares allow-commands de deny-commands y también pueden incluir commitlos loadcomandos rollback, save, status,, update y.

  • Si se especifica una expresión regular para allow-commands y deny-commands con dos variantes distintas de un comando, siempre se ejecutará la coincidencia más larga.

    Por allow-commands ejemplo, si especifica una expresión regular para con el commit-synchronize comando y una expresión regular para deny-commands con el commit comando, los usuarios asignados a dicha clase de inicio de sesión podrán ejecutar el commit synchronize comando, pero no el commit comando. Esto se debe commit-synchronize a que es la coincidencia más commit larga commit-synchronize entre y y se especifica allow-commandspara.

    Del mismo modo, si especifica una expresión regular allow-commands para con commit el comando y una expresión regular deny-commands para con commit-synchronize el comando, los usuarios asignados a dicha clase de inicio de sesión podrán commit ejecutar el comando, pero commit-synchronize no el comando. Esto se debe commit-synchronize a que es la coincidencia más commit larga commit-synchronize entre y y se especifica deny-commandspara.