Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de la configuration des contrôles d’accès utilisateur

La plate-forme de gestion du réseau Junos Space fournit un système robuste de contrôle d’accès utilisateur que vous utilisez pour appliquer des stratégies d’accès appropriées sur le système Junos Space par le biais de vos administrateurs Junos Space. Dans Junos Space, les administrateurs peuvent remplir différents rôles fonctionnels. Un administrateur CLI installe et configure les appliances Junos Space. Un administrateur en mode maintenance effectue des tâches au niveau du système, telles que le dépannage et les opérations de restauration de la base de données. Une fois les appliances installées et configurées, vous pouvez créer des utilisateurs et leur attribuer des rôles qui leur permettent d’accéder aux espaces de travail de la plate-forme Junos Space et de gérer les applications, les utilisateurs, les équipements, les services, les clients, etc.

Le tableau 1 présente les administrateurs Junos Space et les tâches qui peuvent être exécutées.

Tableau 1 : Administrateurs Junos Space
Fonction Administrateur Junos Space Description Tâches

Administrateur CLI

Administrateur responsable de la configuration et de la gestion des paramètres système des appliances Junos Space à partir de la console série

Le nom de l’administrateur CLI est admin.

Le mot de passe de l’administrateur CLI peut être modifié à partir du menu des paramètres système de la console.

  • Installez et configurez les paramètres de base des appliances Junos Space.

  • Modifier les paramètres réseau et système des appliances, par exemple :

    • Changez le mot de passe de l’administrateur CLI.

    • Modifiez les paramètres de routage.

    • Modifiez les paramètres du serveur DNS.

    • Changez le fuseau horaire et les paramètres du serveur NTP.

    • Augmentez la taille du lecteur vm (équipements virtuels Junos Space uniquement).

    • Récupérez les fichiers journaux pour le dépannage.

Administrateur en mode maintenance

Un administrateur responsable de la maintenance au niveau du système sur la plate-forme de gestion du réseau Junos Space

Le nom de l’administrateur en mode maintenance est maintenance.

Le mot de passe du mode maintenance est configuré à partir de la console série lors de la première configuration d’une appliance Junos Space.

  • Restaurez la plate-forme de gestion du réseau Junos Space à son état précédent à l’aide d’un fichier de sauvegarde de base de données.

  • Arrêtez les nœuds Junos Space en entrant en mode maintenance.

  • Récupérez les fichiers journaux pour le dépannage.

  • Quittez le mode maintenance et démarrez explicitement le système Junos Space.

Utilisateurs de l’interface utilisateur Junos Space

Utilisateur Junos Space auquel un ou plusieurs rôles prédéfinis sont assignés. Chaque rôle assigné à un utilisateur offre des privilèges d’accès et de gestion spécifiques sur les objets (applications, équipements, utilisateurs, travaux, services et clients) disponibles à partir d’un espace de travail dans l’interface utilisateur Junos Space.

Pour plus d’informations sur les rôles prédéfinis pouvant être assignés à un utilisateur Junos Space, consultez La présentation de la configuration des contrôles d’accès utilisateur.

Vous pouvez configurer le contrôle d’accès utilisateur en :

  • Déterminer comment les utilisateurs seront authentifiés et autorisés à accéder à la plate-forme Junos Space

  • Ségrégation des utilisateurs en fonction des fonctionnalités système qu’ils sont autorisés à accéder. Vous pouvez attribuer un ensemble différent de rôles à différents utilisateurs. La plate-forme de gestion du réseau Junos Space comprend plus de 25 rôles d’utilisateur prédéfinis et vous permet de créer des rôles personnalisés en fonction des besoins de votre organisation. Lorsqu’un utilisateur se connecte à Junos Space, les espaces de travail auxquels il peut accéder et les tâches qu’il peut effectuer sont déterminés par les rôles assignés à ce compte utilisateur particulier.

  • Ségrégation des utilisateurs en fonction des domaines auxquels ils sont autorisés à accéder. Vous pouvez utiliser la fonctionnalité Domains de Junos Space pour affecter des utilisateurs et des équipements au domaine global et créer des sous-domaines, puis affecter des utilisateurs à un ou plusieurs de ces domaines. Un domaine est un regroupement logique d’objets, qui peut inclure des équipements, des modèles, des utilisateurs, etc. Lorsqu’un utilisateur se connecte à Junos Space, l’ensemble des objets qu’il est autorisé à voir est basé sur les domaines auxquels ce compte d’utilisateur a été assigné.

    Vous pouvez utiliser plusieurs domaines pour séparer des systèmes de grande taille et géographiquement distants en sections plus petites et plus faciles à gérer et contrôler l’accès administratif à chaque système. Vous pouvez affecter des administrateurs ou des utilisateurs de domaine à la gestion des équipements et objets assignés à leurs domaines. Vous pouvez concevoir la hiérarchie des domaines de manière à ce qu’un utilisateur assigné à un domaine n’ait pas nécessairement accès aux objets d’un autre domaine. Vous pouvez même restreindre les utilisateurs assignés à un domaine de l’affichage des objets qui se trouvent dans le domaine parent (dans Junos Space Version 13.3, de l’affichage des objets dans le domaine global).

    Par exemple, une petite organisation peut n’avoir qu’un seul domaine (le domaine global) pour l’ensemble de son réseau, tandis qu’une grande organisation internationale peut avoir plusieurs sous-domaines dans le domaine global pour représenter chacun de ses réseaux régionaux à travers le monde.

Les sections suivantes décrivent comment configurer un mécanisme de contrôle d’accès utilisateur :

Mode d’authentification et d’autorisation

La première décision à prendre concerne le mode d’authentification et d’autorisation que vous souhaitez. Le mode par défaut de Junos Space est l’authentification et l’autorisation locales, ce qui signifie que vous devez créer des comptes utilisateur dans la base de données Junos Space avec un mot de passe valide et attribuer un ensemble de rôles à ces comptes. Les sessions utilisateur sont authentifiées sur la base de ce mot de passe, et l’ensemble des rôles assignés au compte d’utilisateur déterminent l’ensemble des tâches que l’utilisateur peut effectuer.

Si votre organisation s’appuie sur un ensemble centralisé de serveurs d’authentification, d’autorisation et de comptabilité (AAA), vous pouvez configurer Junos Space pour qu’il fonctionne avec ces serveurs en accédant à la page Serveurs d’authentification dans l’espace de travail d’administration (plate-forme de gestion du réseau > administration).

Note:
  • Vous devez disposer des privilèges de super administrateur ou d’administrateur système pour configurer Junos Space pour qu’il fonctionne avec ces serveurs.

  • Vous devez connaître les adresses IP, les numéros de port et les secrets partagés des serveurs AAA distants pour configurer Junos Space pour y accéder. Nous vous recommandons d’utiliser le bouton Connexion pour tester la connexion entre Junos Space et le serveur AAA dès que vous ajoutez le serveur dans Junos Space. Cela vous permet de savoir immédiatement s’il y a un problème avec l’adresse IP, le port ou les informations d’identification configurées.

  • Vous pouvez configurer une liste ordonnée de serveurs AAA. Junos Space les contacte dans l’ordre que vous avez configuré ; le deuxième serveur n’est contacté que si le premier est inaccessible, etc.

  • Vous pouvez configurer les serveurs RADIUS ou TACACS+ sur le protocole PAP (Password Authentication Protocol) ou Challenge Handshake Authentication Protocol (CHAP). Vous pouvez avoir un mélange de serveurs RADIUS et TACACS+ dans la liste ordonnée de serveurs AAA que Junos Space gère.

  • Il existe deux modes d’authentification et d’autorisation à distance : distant uniquement et local à distance.

    • à distance uniquement : l’authentification et l’autorisation sont effectuées par un ensemble de serveurs AAA distants (RADIUS ou TACACS+).

    • distant-local : dans ce cas, lorsqu’un utilisateur n’est pas configuré sur les serveurs d’authentification distants, lorsque les serveurs sont inaccessibles ou lorsque les serveurs distants refusent l’accès à l’utilisateur, alors le mot de passe local est utilisé si un tel utilisateur local existe dans la base de données Junos Space.

Si vous utilisez le mode distant uniquement, vous n’avez pas besoin de créer de comptes d’utilisateurs locaux dans Junos Space. Au lieu de cela, vous devez créer des comptes d’utilisateurs sur les serveurs AAA que vous utilisez et associer un nom de profil distant à chaque compte d’utilisateur. Un profil distant est un ensemble de rôles qui définissent l’ensemble des fonctions qu’un utilisateur est autorisé à exécuter dans Junos Space. Vous créez les profils distants dans Junos Space. Pour plus d’informations sur les profils distants, voir Profils distants. Les noms de profils distants peuvent être configurés en tant qu’attribut spécifique au fournisseur (VSA) dans RADIUS et en tant que paire attribut-valeur (AVP) dans TACACS+. Lorsqu’un serveur AAA authentifie une session utilisateur, le nom du profil distant est inclus dans le message de réponse envoyé à Junos Space. Junos Space recherche le profil distant en fonction du nom de ce profil distant et détermine l’ensemble des fonctions que l’utilisateur est autorisé à exécuter.

Même dans le cas du mode distant uniquement, vous pouvez créer des comptes d’utilisateurs locaux dans Junos Space dans l’un des cas suivants :

  • Vous voulez vous assurer qu’un utilisateur est autorisé à se connecter à Junos Space même si tous les serveurs AAA sont en panne. Dans ce cas, si un compte d’utilisateur local existe dans la base de données Junos Space, la session utilisateur est authentifiée et autorisée en fonction des données locales. Vous pouvez choisir de le faire pour quelques comptes d’utilisateurs importants pour lesquels vous souhaitez garantir l’accès, même dans ce scénario.

  • Vous souhaitez utiliser des partitions d’équipements pour partitionner un équipement en sous-groupes et attribuer ces sous-objectifs à différents utilisateurs. Vous utilisez des partitions d’équipements pour partager les interfaces physiques, les interfaces logiques et les éléments d’inventaire physique sur plusieurs sous-domaines. Les partitions d’équipements ne sont prises en charge que sur les routeurs M Series et MX Series. Pour plus d’informations, consultez la rubrique Création de partitions d’équipements dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space.

Pour plus d’informations sur l’authentification des utilisateurs, consultez la rubrique Présentation des modes d’authentification Junos Space (dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space).

Authentification basée sur les certificats et sur les paramètres de certificat

La plate-forme de gestion du réseau Junos Space prend en charge l’authentification basée sur les certificats et les paramètres de certificat pour un utilisateur. À partir de la version 15.2R1, vous pouvez également authentifier les utilisateurs en mode d’authentification basé sur les paramètres de certificat. Grâce à l’authentification basée sur les certificats et les paramètres de certificat, au lieu d’authentifier un utilisateur en fonction des informations d’identification de l’utilisateur, vous pouvez authentifier un utilisateur en fonction du certificat et des paramètres de certificat de l’utilisateur. Ces modes d’authentification sont considérés comme plus sécurisés que l’authentification basée sur un mot de passe. Avec l’authentification basée sur les paramètres de certificat, vous pouvez définir un maximum de quatre paramètres qui sont authentifiés pendant le processus de connexion. L’authentification basée sur des certificats et des paramètres de certificat sur une connexion SSL peut être utilisée pour authentifier et autoriser des sessions entre divers serveurs et utilisateurs. Ces certificats peuvent être stockés sur une carte à puce, une clé USB ou le disque dur d’un ordinateur. Les utilisateurs glissent généralement leur carte à puce pour se connecter au système sans entrer leur nom d’utilisateur et leur mot de passe.

Pour plus d’informations sur l’authentification basée sur les certificats et les paramètres de certificat, consultez la rubrique Présentation de la gestion des certificats dans le Guide des fonctionnalités des espaces de travail de la plate-forme de gestion du réseau Junos Space.

Rôles utilisateur

Lors de la configuration de Junos Space, vous devez décider de la manière dont vous souhaitez isoler les utilisateurs en fonction des fonctionnalités système auxquelles les utilisateurs sont autorisés à accéder. Pour ce faire, vous attribuez un ensemble différent de rôles à différents utilisateurs. Un rôle définit un ensemble d’espaces de travail auxquels un utilisateur Junos Space est autorisé à accéder et un ensemble d’actions que l’utilisateur est autorisé à effectuer dans chaque espace de travail. Pour évaluer les rôles d’utilisateur prédéfinis que la plate-forme de gestion du réseau Junos Space prend en charge, accédez à la page Rôles (plate-forme de gestion du réseau > contrôle d’accès basé sur les rôles > rôles). En outre, chaque application Junos Space installée sur la plate-forme de gestion du réseau Junos Space a ses propres rôles d’utilisateur prédéfinis. La page Rôles répertorie tous les rôles d’application Junos Space existants, leurs descriptions et les tâches incluses dans chaque rôle.

Si les rôles d’utilisateur par défaut ne répondent pas à vos besoins, vous pouvez configurer des rôles personnalisés en accédant à la page Créer un rôle (plate-forme de gestion du réseau > contrôle d’accès basé sur les rôles > rôles > créer un rôle). Pour créer un rôle, vous sélectionnez les espaces de travail auxquels un utilisateur avec ce rôle est autorisé à accéder, et pour chaque espace de travail, choisissez l’ensemble des tâches que l’utilisateur peut effectuer à partir de cet espace de travail.

Note:

Vous devrez peut-être passer par plusieurs itérations de création de rôles d’utilisateur pour obtenir l’ensemble optimal de rôles d’utilisateur dont votre organisation a besoin.

Une fois les rôles d’utilisateur définis, ils peuvent être assignés à divers comptes d’utilisateurs (dans le cas de comptes d’utilisateurs locaux créés dans Junos Space) ou assignés à des profils distants à utiliser pour l’autorisation à distance.

Pour plus d’informations sur la configuration des rôles d’utilisateur, consultez la rubrique Présentation du contrôle d’accès basé sur les rôles (dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space).

Profils distants

Les profils distants sont utilisés en cas d’autorisation à distance. Un profil distant est un ensemble de rôles définissant l’ensemble des fonctions qu’un utilisateur est autorisé à exécuter dans Junos Space. Il n’y a pas de profils distants créés par défaut, et vous devez les créer en accédant à la page Créer un profil distant (plate-forme de gestion du réseau > contrôle d’accès basé sur les rôles > profils distants > créer un profil distant). Lors de la création d’un profil distant, vous devez sélectionner un ou plusieurs rôles qui lui appartiennent. Vous pouvez ensuite configurer le nom du profil distant pour un ou plusieurs comptes d’utilisateurs sur les serveurs AAA distants.

Lorsqu’un serveur AAA authentifie une session utilisateur, il inclut le nom du profil distant configuré de cet utilisateur dans le message de réponse qui revient à Junos Space. Junos Space recherche le profil distant basé sur ce nom et détermine l’ensemble des rôles de l’utilisateur. Junos Space utilise ensuite ces informations pour contrôler l’ensemble des espaces de travail accessibles par l’utilisateur et les tâches qu’il est autorisé à effectuer.

Note:

Si vous décidez d’utiliser l’autorisation locale et l’authentification à distance, vous n’avez pas besoin de configurer de profils distants. Dans ce cas, vous devez créer des comptes d’utilisateurs locaux et attribuer des rôles à ces comptes d’utilisateur. Les serveurs AAA configurés effectuent l’authentification, et pour chaque session authentifiée, Junos Space effectue l’autorisation en fonction des rôles configurés localement pour le compte d’utilisateur dans la base de données.

Pour plus d’informations sur la création de profils distants, consultez la rubrique Création d’un profil distant (dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space).

Domaines

Vous pouvez ajouter, modifier ou supprimer un domaine de la page Domaines (contrôle d’accès basé sur les rôles > domaines). Cette page n’est accessible que lorsque vous êtes connecté au domaine global, ce qui signifie que vous pouvez ajouter, modifier ou supprimer un domaine uniquement à partir du domaine global. Par défaut, tout domaine que vous créez est ajouté sous le domaine global. Lorsque vous ajoutez un domaine, vous pouvez autoriser les utilisateurs de ce domaine à avoir un accès en lecture seule au domaine parent. Si vous le souhaitez, tous les utilisateurs du sous-domaine peuvent afficher les objets du domaine parent en lecture seule.

Note:

Seuls deux niveaux de hiérarchie sont pris en charge : le domaine global et tous les autres domaines que vous pouvez ajouter sous le domaine global.

Pour plus d’informations sur la gestion des domaines, consultez la rubrique Présentation des domaines (dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space).

Comptes utilisateur

Vous devez créer des comptes d’utilisateurs dans Junos Space dans les cas suivants :

  • Pour effectuer l’authentification et l’autorisation locales : vous créez des comptes d’utilisateurs dans Junos Space. Chaque compte utilisateur doit contenir un mot de passe valide et un ensemble de rôles d’utilisateur. Pour créer des comptes d’utilisateurs, accédez à la page Créer un utilisateur (plate-forme de gestion du réseau > contrôle d’accès basé sur les rôles> comptes utilisateur > créer un utilisateur).

  • Pour effectuer l’authentification à distance et l’autorisation locale : vous créez un compte utilisateur pour chaque utilisateur du système et assurez-vous qu’un ensemble de rôles est assigné à chaque compte utilisateur. Il n’est pas obligatoire d’entrer un mot de passe pour les comptes utilisateur, car l’authentification est effectuée à distance.

  • Pour effectuer l’authentification et l’autorisation à distance et permettre à certains utilisateurs d’accéder à Junos Space même si tous les serveurs AAA sont en panne ou ne sont pas accessibles depuis Junos Space, vous créez des comptes d’utilisateurs locaux avec un mot de passe valide. Le système vous oblige à configurer au moins un rôle pour ces utilisateurs. Toutefois, l’autorisation est effectuée en fonction du nom du profil distant que le serveur AAA fournit.

  • Pour effectuer l’authentification et l’autorisation à distance, mais aussi remplacer les échecs d’authentification à distance pour les utilisateurs spécifiés et leur permettre d’accéder à Junos Space . Dans un scénario typique, vous devez créer un nouvel utilisateur Junos Space, mais vous n’avez pas d’accès immédiat pour configurer l’utilisateur sur les serveurs AAA distants. Vous devez créer des comptes d’utilisateurs locaux pour ces utilisateurs avec un mot de passe valide et un ensemble de rôles valides.

  • Pour effectuer l’authentification et l’autorisation à distance, mais également isoler les équipements entre les utilisateurs en fonction des domaines : comme les domaines doivent être assignés à des objets utilisateur dans Junos Space, vous devez créer des profils distants dans Junos Space et attribuer des rôles et des domaines à ces profils.

    Note:

    Si vous décidez d’utiliser l’autorisation locale et l’authentification à distance, vous n’avez pas besoin de configurer de profils distants. Dans ce cas, vous devez créer des comptes d’utilisateurs locaux et attribuer des rôles à ces comptes d’utilisateur. Les serveurs AAA configurés effectuent l’authentification, et pour chaque session authentifiée, Junos Space effectue l’autorisation en fonction des rôles configurés localement pour le compte d’utilisateur dans la base de données.

Note:

Junos Space applique certaines règles pour les mots de passe valides. Vous configurez ces règles dans les paramètres de la plate-forme de gestion du réseau à partir de la page Applications (plate-forme de gestion du réseau > administration > applications). Cliquez avec le bouton droit sur l’application et sélectionnez Modifier les paramètres de l’application. Puis sélectionnez Mot de passe sur le côté gauche de la fenêtre. Sur la page suivante, vous pouvez consulter et modifier les paramètres actuels.

Pour plus d’informations sur la création de comptes d’utilisateurs, consultez la rubrique Création d’utilisateurs dans la plate-forme de gestion du réseau Junos Space (dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space).

Partitions d’équipements

Vous pouvez partitionner un équipement à partir de la page Équipements (plate-forme de gestion du réseau > équipements > gestion des équipements). Vous pouvez partitionner un équipement en sous-groupes, puis attribuer ces sous-objectifs à différents utilisateurs en assignant les partitions à différents domaines. Une seule partition d’un équipement peut être affectée à un domaine.

Note:

Les partitions d’équipements ne sont prises en charge que sur les routeurs M Series et MX Series.

Pour plus d’informations sur les partitions d’équipements, consultez la rubrique Création de partitions d’équipements (dans le Guide de l’utilisateur de la plate-forme de gestion du réseau Junos Space).

Tableau de l’historique des versions
Libération
Description
15.2R1
À partir de la version 15.2R1, vous pouvez également authentifier les utilisateurs en mode d’authentification basé sur les paramètres de certificat.