Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de las clases de inicio de sesión

Junos OS las clases de inicio de sesión definen los privilegios de acceso, los permisos para usar comandos e instrucciones de CLI y el tiempo de inactividad de sesión para los usuarios asignados a esa clase. Usted (el administrador del sistema) puede aplicar una clase de inicio de sesión a una cuenta de usuario individual, asignando así ciertos privilegios y permisos al usuario.

Descripción general de las clases de inicio de sesión

Todos los usuarios que puedan iniciar sesión en un dispositivo en ejecución Junos OS deben pertenecer a una clase de inicio de sesión. Cada clase de inicio de sesión define lo siguiente:

  • Privilegios de acceso que tienen los usuarios cuando inician sesión en el dispositivo de red

  • Comandos que los usuarios pueden y no pueden ejecutar

  • Instrucciones de configuración que los usuarios pueden y no pueden ver o modificar

  • Cantidad de tiempo que una sesión de inicio de sesión puede estar inactiva antes de que el sistema desconecte al usuario

Puede definir cualquier número de clases de inicio de sesión. Sin embargo, solo asigna una clase de inicio de sesión a una cuenta de usuario individual.

Junos OS Incluye clases de inicio de sesión predefinidas, que se enumeran en .Tabla 1 No puede modificar las clases de inicio de sesión predefinidas.

Tabla 1: Clases predefinidas de inicio de sesión del sistema

Login Class

Conjunto de indicadores de permisos

operator

borrar, conectar, restablecer, rastrear y ver

read-only

ver

superuser o super-user

todo

unauthorized

Ninguna
Nota:

  • No puede modificar un nombre de clase de inicio de sesión predefinido. Si ejecuta el comando en un nombre de clase predefinido, el dispositivo se anexa al nombre de clase de inicio de sesión y emite la siguiente advertencia:set-local

  • No puede emitir el comando o en una clase de inicio de sesión predefinida.renamecopy Si lo hace, aparece el siguiente mensaje de error:

Bits de permiso

Cada comando de CLI de nivel superior y cada instrucción de configuración tiene un nivel de privilegio de acceso asociado. Los usuarios solo pueden ejecutar esos comandos y configurar y ver solo aquellas instrucciones para las que tienen privilegios de acceso. Cada clase de inicio de sesión define uno o más bits de permiso que determinan los privilegios de acceso.

Dos formularios para los permisos controlan si un usuario puede ver o modificar las partes individuales de la configuración:

  • Formulario "sin formato": proporciona capacidad de solo lectura para ese tipo de permiso. Un ejemplo es .interface

  • -control form: proporciona capacidad de lectura y escritura para ese tipo de permiso. Un ejemplo es .interface-control

Tabla 2 Describe los indicadores de permisos y los privilegios de acceso asociados.

Tabla 2: Indicadores de permisos de clase de inicio de sesión

Indicador de permiso

Description

access

Puede ver la configuración de acceso en modo operativo o en modo de configuración.

access-control

Puede ver y configurar la información de acceso en el nivel jerárquico .[edit access]

admin

Puede ver la información de la cuenta de usuario en modo operativo o modo de configuración.

admin-control

Puede ver la información de la cuenta de usuario y configurarla en el nivel jerárquico .[edit system]

all

Puede acceder a todos los comandos del modo operativo y del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquía de configuración.

clear

Puede borrar (eliminar) información que el dispositivo aprende de la red y almacena en varias bases de datos de red (usando los comandos).clear

configure

Puede entrar en el modo de configuración (con el comando) y confirmar configuraciones (con el comando).configurecommit

control

Puede realizar todas las operaciones de nivel de control, todas las operaciones configuradas con los indicadores de permisos.-control

field

Puede ver comandos de depuración de campos. Reservado para soporte de depuración.

firewall

Puede ver la configuración del filtro del firewall en modo operativo o en modo de configuración.

firewall-control

Puede ver y configurar la información del filtro del firewall en el nivel jerárquico .[edit firewall]

floppy

Puede leer y escribir en los medios extraíbles.

flow-tap

Puede ver la configuración flow-tap en modo operativo o en modo de configuración.

flow-tap-control

Puede ver y configurar información de flujo y pulsación en el nivel jerárquico .[edit services flow-tap]

flow-tap-operation

Puede realizar solicitudes de flow-tap al enrutador o conmutador. Por ejemplo, un cliente del Protocolo de control dinámico de tareas (DTCP) debe tener permiso para autenticarse como usuario administrativo.flow-tap-operationJunos OS

Nota:

La opción no se incluye en el indicador de permisos.flow-tap-operationall-control

idp-profiler-operation

Puede ver los datos del generador de perfiles.

interface

Puede ver la configuración de la interfaz en modo operativo y modo de configuración.

interface-control

Puede ver el chasis, la clase de servicio (CoS), los grupos, las opciones de reenvío y la información de configuración de las interfaces. Puede modificar la configuración en los siguientes niveles jerárquicos:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

Puede realizar el mantenimiento del sistema, incluido el inicio de un shell local en el dispositivo y convertirse en el superusuario en el shell (usando el comando) y detener y reiniciar el dispositivo (usando los comandos).su rootrequest system

network

Puede tener acceso a la red mediante los comandos , , y .pingsshtelnettraceroute

pgcp-session-mirroring

Puede ver la configuración de creación de reflejo de la sesión.pgcp

pgcp-session-mirroring-control

Puede modificar la configuración de creación de reflejo de la sesión.pgcp

reset

Puede reiniciar procesos de software mediante el comando.restart

rollback

Puede utilizar el comando para volver a una configuración confirmada anteriormente.rollback

routing

Puede ver información general de enrutamiento, protocolo de enrutamiento y configuración de políticas de enrutamiento en modo de configuración y modo operativo.

routing-control

Puede ver y configurar enrutamiento general en el nivel de jerarquía, protocolos de enrutamiento en el nivel de jerarquía e información de políticas de enrutamiento en el nivel de jerarquía.[edit routing-options][edit protocols][edit policy-options]

secret

Puede ver contraseñas y otras claves de autenticación en la configuración.

secret-control

Puede ver y modificar contraseñas y otras claves de autenticación en la configuración.

security

Puede ver información de configuración de seguridad en modo operativo y modo de configuración.

security-control

Puede ver y configurar la información de seguridad en el nivel jerárquico .[edit security]

shell

Puede iniciar un shell local en el enrutador o conmutador mediante el comando.start shell

snmp

Puede ver la información de configuración del Protocolo simple de administración de redes (SNMP) en modo operativo o en modo de configuración.

snmp-control

Puede ver y modificar la información de configuración de SNMP en el nivel jerárquico .[edit snmp]

Puede ver la información de configuración del almacenamiento de canal de fibra en el nivel jerárquico .[edit fc-fabrics]

Puede modificar la información de configuración del almacenamiento del canal de fibra en el nivel jerárquico .[edit fc-fabrics]

system

Puede ver información a nivel de sistema en modo operativo o modo de configuración.

system-control

Puede ver y modificar la información de configuración de nivel de sistema en el nivel de jerarquía.[edit system]

trace

Puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.

trace-control

Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.

Puede ver la configuración unificada del borde en la jerarquía.[edit unified-edge]

Puede modificar la configuración unificada relacionada con el borde en la jerarquía.[edit unified-edge]

view

Puede usar varios comandos para mostrar valores y estadísticas actuales de todo el sistema, tabla de enrutamiento y específicos del protocolo. No se puede ver la configuración secreta.

view-configuration

Puede ver toda la configuración, excepto secretos, scripts del sistema y opciones de eventos.

Nota:

Solo los usuarios con el permiso pueden ver el script de confirmación, el script de operación o la configuración del script de eventos.maintenance

Denegar o permitir comandos individuales y jerarquías de instrucciones

De forma predeterminada, todos los comandos e instrucciones CLI de nivel superior tienen niveles de privilegios de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente a los usuarios el uso de comandos de modo operativo y comandos de modo de configuración y jerarquías de instrucciones de configuración que de otro modo estarían permitidas o denegadas por un bit de permiso.

Ejemplo: Crear clases de inicio de sesión con privilegios específicos

Las clases de inicio de sesión se definen para asignar determinados permisos o restricciones a grupos de usuarios, lo que garantiza que los comandos confidenciales solo sean accesibles para los usuarios adecuados. De forma predeterminada, los dispositivos de Juniper Networks tienen cuatro tipos de clases de inicio de sesión con permisos preestablecidos: operador, solo lectura, superusuario o superusuario, y no autorizado.

Puede crear clases de inicio de sesión personalizadas para definir diferentes combinaciones de permisos que no se encuentran en las clases de inicio de sesión predeterminadas. En el ejemplo siguiente se muestran tres clases de inicio de sesión personalizadas, cada una con privilegios específicos y temporizadores de inactividad. Los temporizadores de inactividad ayudan a proteger la seguridad de la red al desconectar a un usuario de la red si el usuario está inactivo durante demasiado tiempo. La desconexión del usuario evita los posibles riesgos de seguridad que se producen cuando un usuario abandona una cuenta desatendida iniciada en un conmutador o enrutador. Los permisos y temporizadores de inactividad que se muestran aquí son solo ejemplos; Debe personalizar los valores para su organización.

Las tres clases de inicio de sesión y sus privilegios son los siguientes. Las tres clases de inicio de sesión utilizan el mismo temporizador de inactividad de 5 minutos.

  • observation—Solo puede ver las estadísticas y la configuración
  • operation: puede ver y modificar la configuración
  • engineering—Acceso y control ilimitados

Descripción de los privilegios de acceso de coincidencia exacta para las clases de inicio de sesión

Los privilegios de acceso de coincidencia exacta le permiten permitir o denegar explícitamente cadenas de configuración exactas para definir reglas de control de acceso para las clases de inicio de sesión. A partir de Junos OS y Junos OS Evolved versión 23.4R1, puede utilizar las instrucciones y configuración para controlar los privilegios de acceso de coincidencia exacta.allow-configuration-exact-matchdeny-configuration-exact-match

Ventajas

  • Restrinja la eliminación de jerarquías de configuración de nivel superior mientras permite la eliminación de subjerarquías específicas. Esto admite una autorización de comandos más específica.

  • Asegúrese de que los comandos siguen estando permitidos en una jerarquía, incluso si se deniega la eliminación.set Esta separación de autorización y permite controles de acceso más flexibles.setdelete

  • Permitir o denegar cadenas de comandos de configuración precisa, además de expresiones regulares. Esto admite la configuración de reglas de acceso altamente específicas cuando sea necesario.

  • Aproveche las reglas de autorización avanzadas de servidores TACACS+ externos, además de las reglas locales. Esto facilita la administración centralizada de políticas.

Puede configurar privilegios de acceso que coincidan exactamente con las instrucciones de configuración y en el nivel jerárquico .allow-configuration-exact-matchdeny-configuration-exact-match[edit system login class name] Utilice cadenas de jerarquía que comiencen por uno de los siguientes operadores:

  • set
  • delete
  • active
  • deactivate

También se admiten caracteres comodín. Por ejemplo, la instrucción utiliza el carácter comodín * para especificar todas las interfaces.deny-configuration-exact-match delete interfaces*

Si se deniega o se deniega para una jerarquía de configuración determinada, los comandos o aún se pueden permitir mediante .deletedeactivatesetactivateallow-configuration-exact-match Si configura ambos y con el mismo operador y configuración, se denegará el acceso a la configuración.allow-configuration-exact-matchdeny-configuration-exact-match

Las nuevas reglas de coincidencia exacta se pueden configurar localmente o en servidores TACACS+ externos.