Descripción general de las clases de inicio de sesión
Junos OS las clases de inicio de sesión definen los privilegios de acceso, los permisos para usar comandos e instrucciones de CLI y el tiempo de inactividad de sesión para los usuarios asignados a esa clase. Usted (el administrador del sistema) puede aplicar una clase de inicio de sesión a una cuenta de usuario individual, asignando así ciertos privilegios y permisos al usuario.
Descripción general de las clases de inicio de sesión
Todos los usuarios que puedan iniciar sesión en un dispositivo en ejecución Junos OS deben pertenecer a una clase de inicio de sesión. Cada clase de inicio de sesión define lo siguiente:
-
Privilegios de acceso que tienen los usuarios cuando inician sesión en el dispositivo de red
-
Comandos que los usuarios pueden y no pueden ejecutar
-
Instrucciones de configuración que los usuarios pueden y no pueden ver o modificar
-
Cantidad de tiempo que una sesión de inicio de sesión puede estar inactiva antes de que el sistema desconecte al usuario
Puede definir cualquier número de clases de inicio de sesión. Sin embargo, solo asigna una clase de inicio de sesión a una cuenta de usuario individual.
Junos OS Incluye clases de inicio de sesión predefinidas, que se enumeran en .Tabla 1 No puede modificar las clases de inicio de sesión predefinidas.
Login Class |
Conjunto de indicadores de permisos |
---|---|
|
borrar, conectar, restablecer, rastrear y ver |
|
ver |
|
todo |
|
Ninguna |
No puede modificar un nombre de clase de inicio de sesión predefinido. Si ejecuta el comando en un nombre de clase predefinido, el dispositivo se anexa al nombre de clase de inicio de sesión y emite la siguiente advertencia:
set
-local
warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
No puede emitir el comando o en una clase de inicio de sesión predefinida.
rename
copy
Si lo hace, aparece el siguiente mensaje de error:error: target '<class-name>' is a predefined class
Bits de permiso
Cada comando de CLI de nivel superior y cada instrucción de configuración tiene un nivel de privilegio de acceso asociado. Los usuarios solo pueden ejecutar esos comandos y configurar y ver solo aquellas instrucciones para las que tienen privilegios de acceso. Cada clase de inicio de sesión define uno o más bits de permiso que determinan los privilegios de acceso.
Dos formularios para los permisos controlan si un usuario puede ver o modificar las partes individuales de la configuración:
-
Formulario "sin formato": proporciona capacidad de solo lectura para ese tipo de permiso. Un ejemplo es .
interface
-
-control
form: proporciona capacidad de lectura y escritura para ese tipo de permiso. Un ejemplo es .interface-control
Tabla 2 Describe los indicadores de permisos y los privilegios de acceso asociados.
Indicador de permiso |
Description |
---|---|
Puede ver la configuración de acceso en modo operativo o en modo de configuración. |
|
Puede ver y configurar la información de acceso en el nivel jerárquico . |
|
Puede ver la información de la cuenta de usuario en modo operativo o modo de configuración. |
|
Puede ver la información de la cuenta de usuario y configurarla en el nivel jerárquico . |
|
Puede acceder a todos los comandos del modo operativo y del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquía de configuración. |
|
Puede borrar (eliminar) información que el dispositivo aprende de la red y almacena en varias bases de datos de red (usando los comandos). |
|
Puede entrar en el modo de configuración (con el comando) y confirmar configuraciones (con el comando). |
|
Puede realizar todas las operaciones de nivel de control, todas las operaciones configuradas con los indicadores de permisos. |
|
Puede ver comandos de depuración de campos. Reservado para soporte de depuración. |
|
Puede ver la configuración del filtro del firewall en modo operativo o en modo de configuración. |
|
Puede ver y configurar la información del filtro del firewall en el nivel jerárquico . |
|
Puede leer y escribir en los medios extraíbles. |
|
Puede ver la configuración flow-tap en modo operativo o en modo de configuración. |
|
Puede ver y configurar información de flujo y pulsación en el nivel jerárquico . |
|
Puede realizar solicitudes de flow-tap al enrutador o conmutador. Por ejemplo, un cliente del Protocolo de control dinámico de tareas (DTCP) debe tener permiso para autenticarse como usuario administrativo. Nota:
La opción no se incluye en el indicador de permisos. |
|
Puede ver los datos del generador de perfiles. |
|
Puede ver la configuración de la interfaz en modo operativo y modo de configuración. |
|
Puede ver el chasis, la clase de servicio (CoS), los grupos, las opciones de reenvío y la información de configuración de las interfaces. Puede modificar la configuración en los siguientes niveles jerárquicos:
|
|
Puede realizar el mantenimiento del sistema, incluido el inicio de un shell local en el dispositivo y convertirse en el superusuario en el shell (usando el comando) y detener y reiniciar el dispositivo (usando los comandos). |
|
Puede tener acceso a la red mediante los comandos , , y . |
|
Puede ver la configuración de creación de reflejo de la sesión. |
|
Puede modificar la configuración de creación de reflejo de la sesión. |
|
Puede reiniciar procesos de software mediante el comando. |
|
Puede utilizar el comando para volver a una configuración confirmada anteriormente. |
|
Puede ver información general de enrutamiento, protocolo de enrutamiento y configuración de políticas de enrutamiento en modo de configuración y modo operativo. |
|
Puede ver y configurar enrutamiento general en el nivel de jerarquía, protocolos de enrutamiento en el nivel de jerarquía e información de políticas de enrutamiento en el nivel de jerarquía. |
|
Puede ver contraseñas y otras claves de autenticación en la configuración. |
|
Puede ver y modificar contraseñas y otras claves de autenticación en la configuración. |
|
Puede ver información de configuración de seguridad en modo operativo y modo de configuración. |
|
Puede ver y configurar la información de seguridad en el nivel jerárquico . |
|
Puede iniciar un shell local en el enrutador o conmutador mediante el comando. |
|
Puede ver la información de configuración del Protocolo simple de administración de redes (SNMP) en modo operativo o en modo de configuración. |
|
Puede ver y modificar la información de configuración de SNMP en el nivel jerárquico . |
|
|
Puede ver la información de configuración del almacenamiento de canal de fibra en el nivel jerárquico . |
|
Puede modificar la información de configuración del almacenamiento del canal de fibra en el nivel jerárquico . |
Puede ver información a nivel de sistema en modo operativo o modo de configuración. |
|
Puede ver y modificar la información de configuración de nivel de sistema en el nivel de jerarquía. |
|
Puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento. |
|
Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento. |
|
|
Puede ver la configuración unificada del borde en la jerarquía. |
|
Puede modificar la configuración unificada relacionada con el borde en la jerarquía. |
Puede usar varios comandos para mostrar valores y estadísticas actuales de todo el sistema, tabla de enrutamiento y específicos del protocolo. No se puede ver la configuración secreta. |
|
Puede ver toda la configuración, excepto secretos, scripts del sistema y opciones de eventos. Nota:
Solo los usuarios con el permiso pueden ver el script de confirmación, el script de operación o la configuración del script de eventos. |
Denegar o permitir comandos individuales y jerarquías de instrucciones
De forma predeterminada, todos los comandos e instrucciones CLI de nivel superior tienen niveles de privilegios de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente a los usuarios el uso de comandos de modo operativo y comandos de modo de configuración y jerarquías de instrucciones de configuración que de otro modo estarían permitidas o denegadas por un bit de permiso.
Ejemplo: Crear clases de inicio de sesión con privilegios específicos
Las clases de inicio de sesión se definen para asignar determinados permisos o restricciones a grupos de usuarios, lo que garantiza que los comandos confidenciales solo sean accesibles para los usuarios adecuados. De forma predeterminada, los dispositivos de Juniper Networks tienen cuatro tipos de clases de inicio de sesión con permisos preestablecidos: operador, solo lectura, superusuario o superusuario, y no autorizado.
Puede crear clases de inicio de sesión personalizadas para definir diferentes combinaciones de permisos que no se encuentran en las clases de inicio de sesión predeterminadas. En el ejemplo siguiente se muestran tres clases de inicio de sesión personalizadas, cada una con privilegios específicos y temporizadores de inactividad. Los temporizadores de inactividad ayudan a proteger la seguridad de la red al desconectar a un usuario de la red si el usuario está inactivo durante demasiado tiempo. La desconexión del usuario evita los posibles riesgos de seguridad que se producen cuando un usuario abandona una cuenta desatendida iniciada en un conmutador o enrutador. Los permisos y temporizadores de inactividad que se muestran aquí son solo ejemplos; Debe personalizar los valores para su organización.
Las tres clases de inicio de sesión y sus privilegios son los siguientes. Las tres clases de inicio de sesión utilizan el mismo temporizador de inactividad de 5 minutos.
observation
—Solo puede ver las estadísticas y la configuraciónoperation
: puede ver y modificar la configuraciónengineering
—Acceso y control ilimitados
[edit] system { login { class observation { idle-timeout 5; permissions [ view ]; } class operation { idle-timeout 5; permissions [ admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback ]; } class engineering { idle-timeout 5; permissions all; } } }
Descripción de los privilegios de acceso de coincidencia exacta para las clases de inicio de sesión
Los privilegios de acceso de coincidencia exacta le permiten permitir o denegar explícitamente cadenas de configuración exactas para definir reglas de control de acceso para las clases de inicio de sesión. A partir de Junos OS y Junos OS Evolved versión 23.4R1, puede utilizar las instrucciones y configuración para controlar los privilegios de acceso de coincidencia exacta.allow-configuration-exact-match
deny-configuration-exact-match
Ventajas
-
Restrinja la eliminación de jerarquías de configuración de nivel superior mientras permite la eliminación de subjerarquías específicas. Esto admite una autorización de comandos más específica.
-
Asegúrese de que los comandos siguen estando permitidos en una jerarquía, incluso si se deniega la eliminación.
set
Esta separación de autorización y permite controles de acceso más flexibles.set
delete
-
Permitir o denegar cadenas de comandos de configuración precisa, además de expresiones regulares. Esto admite la configuración de reglas de acceso altamente específicas cuando sea necesario.
-
Aproveche las reglas de autorización avanzadas de servidores TACACS+ externos, además de las reglas locales. Esto facilita la administración centralizada de políticas.
Puede configurar privilegios de acceso que coincidan exactamente con las instrucciones de configuración y en el nivel jerárquico .allow-configuration-exact-match
deny-configuration-exact-match
[edit system login class name]
Utilice cadenas de jerarquía que comiencen por uno de los siguientes operadores:
set
delete
active
deactivate
También se admiten caracteres comodín. Por ejemplo, la instrucción utiliza el carácter comodín * para especificar todas las interfaces.deny-configuration-exact-match delete interfaces*
Si se deniega o se deniega para una jerarquía de configuración determinada, los comandos o aún se pueden permitir mediante .delete
deactivate
set
activate
allow-configuration-exact-match
Si configura ambos y con el mismo operador y configuración, se denegará el acceso a la configuración.allow-configuration-exact-match
deny-configuration-exact-match
Las nuevas reglas de coincidencia exacta se pueden configurar localmente o en servidores TACACS+ externos.