Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configuración de permisos de usuario con niveles de privilegio de acceso

 

En este ejemplo se muestra cómo ver los permisos de una cuenta de usuario y configurar los permisos de usuario con privilegios de acceso para una clase de inicio de sesión. Esto permite a los usuarios ejecutar únicamente esos comandos, así como configurar y ver únicamente aquellas instrucciones para las que tienen privilegios de acceso. Esto impide que los usuarios no autorizados ejecuten o configuren comandos y instrucciones confidenciales que podrían ocasionar daños en la red.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo Juniper Networks

  • Un servidor TACACS + (o RADIUS)

  • Compilación Junos OS que se ejecuta en el dispositivo Juniper Networks

Antes de empezar:

  • Establezca una conexión entre el dispositivo y el servidor TACACS +.

    Para obtener información sobre la configuración de un servidor TACACS +, consulte Configuring TACACS+ Authentication.

  • Configure al menos un usuario asignado a una clase de inicio de sesión en el dispositivo de Juniper Networks. Puede haber más de una clase de inicio de sesión, cada una con configuraciones de permisos variables y más de un usuario en el dispositivo.

Descripción general

Cada comando de la interfaz de línea de comandos (CLI) de nivel superior y cada instrucción de configuración de Junos OS tiene asociado un nivel de privilegio de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente el uso de comandos de modo operativo y de configuración que, de lo contrario, estaría permitido o no en un nivel de privilegios. Los usuarios sólo pueden ejecutar esos comandos, así como configurar y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Para configurar los niveles de privilegios de acceso permissions , incluya la [edit system login class class-name] instrucción en el nivel jerárquico.

Los privilegios de acceso de cada clase de inicio de sesión se definen mediante uno o varios indicadores permissions de permiso especificados en la instrucción. Los indicadores de permisos se utilizan para conceder a un usuario acceso a los comandos del modo operativo, a las instrucciones y a las jerarquías de configuración. Los indicadores de permisos no son acumulativos, por lo que, para cada clase de inicio de sesión debe view enumerar todos los configure indicadores de permisos necesarios, incluida la visualización de información y el modo de configuración. Al especificar un indicador de permisos específico en la clase de inicio de sesión del usuario, concede al usuario acceso a los comandos, las instrucciones y las jerarquías de configuración correspondientes. Para conceder acceso a todos los comandos y a las instrucciones all de configuración, utilice la marca de permisos. Los indicadores de permisos proporcionan capacidad de solo“lectura” (forma normal) y lectura y escritura (forma que finaliza el control) para un tipo de permiso.

Note

Los all bits de permiso de clase login tienen prioridad sobre las expresiones regulares extensas cuando un usuario emite un comando ROLLBACK con la marca de permiso rollback habilitada.

Para configurar los niveles de privilegios de acceso de usuario:

  1. Ver los permisos de una cuenta de usuario.

    Puede ver los permisos de una cuenta de usuario antes de configurar los privilegios de acceso para esos permisos.

    Para ver los permisos de usuario, ? escriba en [edit] el nivel de jerarquía:

  2. Configure los permisos de usuario con privilegios de acceso.

    Todos los usuarios que pueden iniciar sesión en un dispositivo deben estar en una clase login. Para cada clase de inicio de sesión puede configurar los privilegios de acceso que los usuarios asociados pueden tener cuando inician sesión en el dispositivo.

    Para configurar niveles de privilegios de acceso para los permisos de permissions usuario, incluya [edit system login class class-name] la instrucción en el nivel de la jerarquía, seguida permissions del permiso del usuario, la opción y los indicadores de permiso necesarios.

Automática

Configuración de permisos de usuario con niveles de privilegio de acceso

Step-by-Step Procedure

Para configurar privilegios de acceso:

  1. Desde el dispositivo, vea la lista de permisos disponibles para la cuenta de usuario. En este ejemplo, el nombre de usuario de la cuenta es host.

    El resultado enumera los permisos del host de usuario. Las clases de inicio de sesión personalizadas se pueden crear configurando distintos privilegios de acceso según estos permisos de usuario.

  2. Configure una clase de privilegio de acceso para permitir a host de usuario que configure y visualice solamente parámetros SNMP. En este ejemplo, esta clase de inicio de sesión se denomina administración de red. Para personalizar la clase de inicio de sesión de administración de red, incluya las marcas configure de permiso SNMP en el permiso de usuario.

    Aquí, los indicadores de permisos configurados proporcionan capacidad de lectura (SNMP) y lectura y escritura (control de SNMP) para SNMP, y éste es el único privilegio de acceso permitido para la clase de inicio de sesión de administración de red. Es decir, se deniegan todos los demás privilegios de acceso que no sean la configuración y visualización de los parámetros SNMP.

Results

Desde el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Inicie sesión como el nombre de usuario asignado con la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Verificación de la configuración de SNMP

Finalidad

Compruebe que la configuración SNMP se puede ejecutar.

Acción

Desde el modo de configuración, ejecute comandos SNMP básicos [edit snmp] en el nivel de jerarquía.

Significado

Es posible que el host de usuario asignado a la clase de inicio de sesión de administración de red configure los parámetros SNMP, ya que los indicadores de permisos especificados para esta clase incluyen tanto los bits de permisos SNMP (capacidades de lectura) como los de control SNMP (capacidades de lectura y escritura).

Comprobando configuración no SNMP

Finalidad

Compruebe que se denegó la configuración no SNMP para la clase de inicio de sesión de administración de red.

Acción

Desde el modo de configuración, ejecute cualquier configuración que no sea de SNMP, por ejemplo, la configuración de las interfaces.