Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Junos OS funciones administrativas

 

Junos OS le permite definir un usuario de sistema para que actúe como un tipo determinado de administrador para el sistema. Puede asignar una función administrativa a un usuario si configura una clase de inicio de sesión para que tenga los atributos de función administrativa. Puede asignar uno de los atributos de la función, como un responsable de la auditoría, un responsable de la seguridad, un responsable de la carga a un usuario administrativo. Lea este tema para obtener más información.

Descripción de las funciones administrativas

Un usuario del sistema puede ser miembro de una clase que permita al usuario actuar como un tipo determinado de administrador para el sistema. Solicitar una función específica para ver o modificar un elemento restringe el alcance de la información que puede obtener el usuario del sistema. También limita qué parte del sistema está abierta a modificaciones intencionales o involuntarias o a la observación de un usuario. Recomendamos que utilice las siguientes directrices cuando diseñe funciones administrativas:

  • No permita que ningún usuario inicie una sesión en el sistema como root.

  • Restrinja a cada usuario el conjunto más pequeño de privilegios necesarios para realizar las tareas’de los usuarios.

  • No permita que ningún usuario pertenezca a una clase de inicio de sesión shell que contenga la marca de permiso. La shell marca de permiso permite a los usuarios start shell ejecutar el comando desde la CLI.

  • Permitir que los usuarios tengan permisos de deshacer. Los permisos de reversión permiten a los usuarios deshacer una acción realizada por un administrador pero que no les permite confirmar los cambios.

Puede asignar una función administrativa a un usuario si configura una clase de inicio de sesión para que tenga los privilegios necesarios para esa función. Puede configurar cada clase para permitir o denegar el acceso a las instrucciones de configuración y comandos por nombre. Estas restricciones específicas invalidan y prevalecen sobre cualquier indicador de permiso que se configure también en la clase. Puede asignar uno de los siguientes atributos de rol a un usuario administrativo.

  • Crypto-administrator—Permite que el usuario configure y supervise los datos de cifrado.

  • Security-administrator—Permite que el usuario configure y supervise los datos de seguridad.

  • Audit-administrator—Permite que el usuario configure y supervise los datos de auditoría.

  • IDS-administrator—Permite al usuario supervisar y borrar los registros de seguridad del servicio de detección de intrusiones (IDS).

Cada función puede llevar a cabo las siguientes funciones de administración específicas:

  • Cryptographic Administrator

    • Configura la prueba automática criptográfica.

    • Modifica los parámetros de datos de seguridad de cifrado.

  • Audit Administrator

    • Configura y elimina la característica de búsqueda y ordenación de la revisión de auditoría.

    • Busca y ordena registros de auditoría.

    • Configura parámetros de búsqueda y ordenación.

    • Elimina manualmente los registros de auditoría.

  • Security Administrator

    • Invoca, determina y modifica el comportamiento de la prueba automática criptográfico.

    • Habilita, deshabilita, determina y modifica las funciones de análisis de auditoría y selección de auditoría, y configura el dispositivo para que elimine automáticamente los registros de auditoría.

    • Habilita o deshabilita las alarmas de seguridad.

    • Especifica límites para cuotas en capa de transporte conexiones.

    • Especifica los límites, identificadores de red y períodos de tiempo para las cuotas de los recursos orientados a conexiones controlados.

    • Especifica las direcciones de red a las que se permite utilizar el protocolo de mensajes de control de Internet (ICMP) o el protocolo de resolución de direcciones (ARP).

    • Configura la hora y la fecha que se utilizan en las marcas de tiempo.

    • Consulta, modifica, elimina y crea las reglas y atributos de flujo de información o control de acceso para la política de función de seguridad de flujo de información no autenticada (SFP), el flujo de información autenticada SFP, los servicios de dispositivos no autenticados y Directiva de control de acceso discrecional.

    • Especifica valores iniciales que suplantan a los valores predeterminados cuando la información de objetos se crea en el flujo SFP del flujo de información autenticada, el SFP, los servicios de destino no autenticado (TOE) y la discrecional Directiva de control de acceso.

    • Crea, elimina o modifica las reglas que controlan la dirección desde la que se pueden establecer las sesiones de administración.

    • Especifica y revoca los atributos de seguridad asociados con los usuarios, sujetos y objetos.

    • Especifica el porcentaje de capacidad de almacenamiento de auditoría en el que el dispositivo alerta a los administradores.

    • Controla los errores de autenticación y modifica el número de intentos de autenticación erróneos a través de SSH o de la CLI que se pueden producir antes de que se exija una limitación progresiva para realizar más intentos de autenticación, y antes de que se interrumpa la conexión.

    • Administra la configuración básica de la red del dispositivo.

  • IDS Administrator—Especifica IDS alarmas de seguridad, alarmas de intrusión, selecciones de auditoría y datos de auditoría.

Debe configurar el atributo de función de seguridad en las clases creadas para estas funciones administrativas. Este atributo restringe los usuarios que pueden mostrar y borrar los registros de seguridad, las acciones que no se pueden llevar a cabo a través de la configuración de forma independiente.

Por ejemplo, si desea restringir el borrado y mostrar los registros ids-admin de IDS a la función de administrador de IDS, debe configurar el atributo de función de seguridad de la clase creada para la función de administrador de IDS. Del mismo modo, es necesario establecer la función de seguridad en uno de los otros valores de administración para restringir la posibilidad de que la clase sólo pueda borrar y mostrar registros que no sean de IDS.

Nota

Cuando un usuario elimina una configuración existente, las instrucciones de configuración que se encuentran bajo el nivel de jerarquía de la configuración eliminada (es decir, los objetos secundarios que el usuario no tiene permiso para modificar) permanecen ahora en el dispositivo.

Ejemplo Configuración de funciones administrativas

En este ejemplo se muestra cómo configurar funciones administrativas individuales para un conjunto distinto y único de privilegios, aparte de todas las demás funciones administrativas.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

En este ejemplo se configuran cuatro usuarios:

  • audit-officerde la claseaudit-admin

  • crypto-officerde la clasecrypto-admin

  • security-officerde la clasesecurity-admin

  • ids-officerde la claseids-admin

Cuando se security-admin configura una clase, los privilegios para crear administradores se revocan del usuario que creó la security-admin clase. La security-officercreación de nuevos usuarios e inicios de sesión depende del.

En este ejemplo, creará un administrador de auditoría, un administrador de cifrado, un administrador de seguridad y un administrador de identificadores con indicadores de permiso correspondientes a este rol. A continuación, puede permitir o denegar el acceso a las instrucciones de configuración y comandos por nombre para cada función administrativa. Estas restricciones específicas tienen prioridad sobre las marcas de permiso que también se configuran en la clase. Por ejemplo, solo el crypto-admin puede ejecutar el request system set-encryption-key comando, que requiere disponer de security un indicador de permiso para tener acceso a él. Solo el security-admin puede incluir la system time-zone instrucción en la configuración, que requiere tener un system-control indicador de permiso.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte Using the CLI Editor in Configuration Mode.

Para configurar usuarios en funciones administrativas:

  1. Cree la audit-admin clase login.

  2. Configure audit-admin las restricciones de clase de inicio de sesión.
  3. Cree la crypto-admin clase login.

  4. Configure crypto-admin las restricciones de clase de inicio de sesión.
  5. Cree la security-admin clase login.

  6. Configure security-admin las restricciones de clase de inicio de sesión.
  7. Cree la ids-admin clase login.
  8. Configure ids-admin las restricciones de clase de inicio de sesión.
  9. Asignar usuarios a las funciones.

  10. Configure contraseñas para los usuarios.

Resultados

Desde el modo de configuración, escriba el show system mando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, escriba commit desde el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando los permisos de inicio de sesión

Finalidad

Compruebe los permisos de inicio de sesión del usuario actual.

Acción

En modo operativo, escriba el show cli authorization comando.

user@host>show cli authorization

Esta salida proporciona un resumen de los permisos de inicio de sesión.

Configuración de una cuenta de administrador local

En el ejemplo siguiente se muestra cómo configurar un sus- se llamó admin a la cuenta de administración local protegida con privilegios de superusuario. Los privilegios de superusuario dan permiso a un usuario para utilizar cualquier comando en el enrutador y, por lo general, están reservados para una selección de pocos usuarios, como los administradores del sistema. Selecciónela es importante proteger la cuenta de administrador local con una contraseña para impedir que usuarios no autorizados obtengan acceso a comandos de superusuario que se pueden utilizar para modificar el configuración del sistema. Incluso los usuarios con autenticación RADIUS deberían configurar una contraseña local. Si RADIUS falla o no se puede obtener acceso a él, el proceso de inicio de sesión volverá a la autenticación por contraseña en la cuenta de administrador local.