Présentation de la configuration des contrôles d’accès utilisateur
La plate-forme de gestion du réseau Junos Space fournit un système robuste de mécanisme de contrôle d’accès utilisateur que vous utilisez pour appliquer les stratégies d’accès appropriées sur le système Junos Space par l’intermédiaire de vos administrateurs Junos Space. Dans Junos Space, les administrateurs peuvent remplir différents rôles fonctionnels. Un administrateur CLI installe et configure les appliances Junos Space. Un administrateur en mode Maintenance effectue des tâches au niveau du système, telles que des opérations de dépannage et de restauration de base de données. Une fois les appliances installées et configurées, vous pouvez créer des utilisateurs et leur attribuer des rôles qui leur permettent d’accéder aux espaces de travail de Junos Space Platform et de gérer les applications, utilisateurs, équipements, services, clients, etc.
Le tableau 1 présente les administrateurs Junos Space et les tâches à effectuer.
| Fonction d’administrateur Junos Space | Description | Tâches |
Administrateur CLI |
Un administrateur responsable de la configuration et de la gestion des paramètres système des équipements Junos Space à partir de la console série Le nom de l’administrateur CLI est admin. Le mot de passe administrateur de l’interface de ligne de commande peut être modifié à partir du menu des paramètres du système de console. |
|
Administrateur en mode maintenance |
Un administrateur responsable de la maintenance au niveau du système sur la plate-forme de gestion du réseau Junos Space Le nom de l’administrateur du mode Maintenance est maintenance. Le mot de passe du mode Maintenance est configuré à partir de la console série lors de la première configuration d’un matériel Junos Space. |
|
Utilisateurs de l’interface utilisateur Junos Space |
Utilisateur Junos Space auquel est attribué un ou plusieurs rôles prédéfinis. Chaque rôle attribué à un utilisateur fournit des privilèges d’accès et de gestion spécifiques sur les objets (applications, équipements, utilisateurs, tâches, services et clients) disponibles à partir d’un espace de travail dans l’interface utilisateur de Junos Space. |
Pour plus d’informations sur les rôles prédéfinis pouvant être attribués à un utilisateur Junos Space, reportez-vous à la section Présentation de la configuration des contrôles d’accès utilisateur. |
Vous pouvez configurer le contrôle d’accès utilisateur en procédant en :
Décider comment les utilisateurs seront authentifiés et autorisés à accéder à Junos Space Platform
Séparer les utilisateurs en fonction des fonctionnalités du système auxquelles ils sont autorisés à accéder. Vous pouvez attribuer un ensemble différent de rôles à différents utilisateurs. La plate-forme de gestion du réseau Junos Space comprend plus de 25 rôles utilisateur prédéfinis et vous permet de créer des rôles personnalisés en fonction des besoins de votre organisation. Lorsqu’un utilisateur se connecte à Junos Space, les espaces de travail auxquels il peut accéder et les tâches qu’il peut effectuer sont déterminés par les rôles qui ont été attribués à ce compte d’utilisateur particulier.
Séparer les utilisateurs en fonction des domaines auxquels ils sont autorisés à accéder. Vous pouvez utiliser la fonction Domaines de Junos Space pour affecter des utilisateurs et des équipements au domaine global et créer des sous-domaines, puis affecter des utilisateurs à un ou plusieurs de ces domaines. Un domaine est un regroupement logique d’objets, qui peut inclure des périphériques, des modèles, des utilisateurs, etc. Lorsqu’un utilisateur se connecte à Junos Space, l’ensemble des objets qu’il est autorisé à voir dépend des domaines auxquels ce compte d’utilisateur a été affecté.
Vous pouvez utiliser plusieurs domaines pour séparer des systèmes volumineux et géographiquement éloignés en sections plus petites et plus faciles à gérer, et pour contrôler l’accès administratif aux systèmes individuels. Vous pouvez affecter des administrateurs de domaine ou des utilisateurs à la gestion des appareils et des objets affectés à leurs domaines. Vous pouvez concevoir la hiérarchie de domaine de telle sorte qu’un utilisateur affecté à un domaine n’ait pas nécessairement besoin d’avoir accès aux objets d’un autre domaine. Vous pouvez même empêcher les utilisateurs affectés à un domaine d’afficher les objets qui se trouvent dans le domaine parent (dans Junos Space version 13.3, d’afficher les objets du domaine global).
Par exemple, une petite organisation peut n’avoir qu’un seul domaine (le domaine global) pour l’ensemble de son réseau, alors qu’une grande organisation internationale peut avoir plusieurs sous-domaines dans le domaine global pour représenter chacun de ses réseaux de bureaux régionaux à travers le monde.
Les sections suivantes décrivent comment configurer un mécanisme de contrôle d’accès utilisateur :
Mode d’authentification et d’autorisation
La première décision à prendre concerne le mode d’authentification et d’autorisation que vous souhaitez. Le mode par défaut dans Junos Space est l’authentification et l’autorisation locales, ce qui signifie que vous devez créer des comptes d’utilisateur dans la base de données Junos Space avec un mot de passe valide et attribuer un ensemble de rôles attribués à ces comptes. Les sessions utilisateur sont authentifiées en fonction de ce mot de passe, et l’ensemble des rôles attribués au compte d’utilisateur détermine l’ensemble des tâches que l’utilisateur peut effectuer.
Si votre organisation s’appuie sur un ensemble de serveurs d’authentification, d’autorisation et de comptabilité (AAA) centralisés, vous pouvez configurer Junos Space pour qu’il fonctionne avec ces serveurs en accédant à la page Serveurs d’authentification de l’espace de travail Administration (Plate-forme de gestion réseau > Administration).
Vous devez disposer des privilèges de super administrateur ou d’administrateur système pour configurer Junos Space afin qu’il fonctionne avec ces serveurs.
Vous devez connaître les adresses IP, les numéros de port et les secrets partagés des serveurs AAA distants pour configurer Junos Space afin d’y accéder. Nous vous recommandons d’utiliser le bouton Connexion pour tester la connexion entre Junos Space et le serveur AAA dès que vous ajoutez le serveur dans Junos Space. Cela vous permet de savoir immédiatement s’il y a un problème avec l’adresse IP, le port ou les informations d’identification configurés.
Vous pouvez configurer une liste ordonnée de serveurs AAA. Junos Space les contacte dans l’ordre que vous avez configuré ; Le deuxième serveur n’est contacté que si le premier est inaccessible, et ainsi de suite.
Vous pouvez configurer des serveurs RADIUS ou TACACS+ via le protocole PAP (Password Authentication Protocol) ou le protocole CHAP (Challenge Handshake Authentication Protocol). Vous êtes autorisé à avoir un mélange de serveurs RADIUS et TACACS+ dans la liste ordonnée des serveurs AAA gérés par Junos Space.
Il existe deux modes d’authentification et d’autorisation à distance : distant-uniquement et distant-local.
à distance uniquement : l’authentification et l’autorisation sont effectuées par un ensemble de serveurs AAA distants (RADIUS ou TACACS+).
remote-local : dans ce cas, lorsqu’un utilisateur n’est pas configuré sur les serveurs d’authentification distants, que les serveurs sont inaccessibles ou que les serveurs distants refusent l’accès à l’utilisateur, le mot de passe local est utilisé si un tel utilisateur local existe dans la base de données Junos Space.
Si vous utilisez le mode distant uniquement, vous n’avez pas besoin de créer de compte utilisateur local dans Junos Space. Au lieu de cela, vous devez créer des comptes d’utilisateur dans les serveurs AAA que vous utilisez et associer un nom de profil distant à chaque compte d’utilisateur. Un profil distant est un ensemble de rôles qui définissent l’ensemble des fonctions qu’un utilisateur est autorisé à exécuter dans Junos Space. Vous créez les profils distants dans Junos Space. Pour plus d’informations sur les profils distants, consultez Profils distants. Les noms de profil distant peuvent être configurés en tant qu’attribut spécifique au fournisseur (VSA) dans RADIUS et en tant que paire attribut-valeur (AVP) dans TACACS+. Lorsqu’un serveur AAA authentifie avec succès une session utilisateur, le nom du profil distant est inclus dans le message de réponse renvoyé à Junos Space. Junos Space recherche le profil distant en fonction de ce nom et détermine l’ensemble des fonctions que l’utilisateur est autorisé à exécuter.
Même dans le cas du mode distant uniquement, vous pouvez créer des comptes d’utilisateurs locaux dans Junos Space dans l’un des cas suivants :
Vous voulez vous assurer qu’un utilisateur est autorisé à se connecter à Junos Space même si tous les serveurs AAA sont hors service. Dans ce cas, si un compte d’utilisateur local existe dans la base de données Junos Space, la session utilisateur est authentifiée et autorisée en fonction des données locales. Vous pouvez choisir de le faire pour quelques comptes d’utilisateurs importants pour lesquels vous souhaitez garantir l’accès, même dans ce scénario.
Vous souhaitez utiliser des partitions de périphériques pour partitionner un périphérique en sous-groupes et affecter ces sous-objets à différents utilisateurs. Vous utilisez des partitions d’appareils pour partager les interfaces physiques, les interfaces logiques et les éléments d’inventaire physique sur plusieurs sous-domaines. Les partitions de périphériques ne sont prises en charge que sur les routeurs M Series et MX Series. Pour plus d’informations, reportez-vous à la rubrique Création de partitions de périphériques dans le Guide de l’utilisateur de Junos Space Network Management Platform Workspaces.
Pour plus d’informations sur l’authentification des utilisateurs, reportez-vous à la rubrique Présentation des modes d’authentification Junos Space (dans le Guide de l’utilisateur des espaces de travail de la plate-forme de gestion du réseau Junos Space).
Authentification basée sur les certificats et les paramètres de certificat
La plate-forme de gestion du réseau Junos Space prend en charge l’authentification basée sur les certificats et les paramètres de certificat pour un utilisateur. À partir de la version 15.2R1, vous pouvez également authentifier les utilisateurs en mode d’authentification basée sur les paramètres de certificat. Avec l’authentification basée sur les certificats et les paramètres de certificat, au lieu d’authentifier un utilisateur en fonction de ses informations d’identification, vous pouvez authentifier un utilisateur en fonction de son certificat et de ses paramètres. Ces modes d’authentification sont considérés comme plus sûrs que l’authentification par mot de passe. Avec l’authentification basée sur les paramètres de certificat, vous pouvez définir un maximum de quatre paramètres qui sont authentifiés pendant le processus de connexion. L’authentification basée sur les certificats et les paramètres de certificat sur une connexion SSL peut être utilisée pour authentifier et autoriser des sessions entre différents serveurs et utilisateurs. Ces certificats peuvent être stockés sur une carte à puce, une clé USB ou le disque dur d’un ordinateur. Les utilisateurs glissent généralement leur carte à puce pour se connecter au système sans entrer leur nom d’utilisateur et leur mot de passe.
Pour plus d’informations sur l’authentification basée sur les certificats et les paramètres de certificat, reportez-vous à la rubrique Présentation de la gestion des certificats du Guide des fonctionnalités des espaces de travail de la plate-forme de gestion du réseau Junos Space.
Rôles d’utilisateur
Lorsque vous configurez Junos Space, vous devez décider comment séparer les utilisateurs en fonction des fonctionnalités système auxquelles ils sont autorisés à accéder. Pour ce faire, attribuez un ensemble différent de rôles à différents utilisateurs. Un rôle définit un ensemble d’espaces de travail auxquels un utilisateur Junos Space est autorisé à accéder et un ensemble d’actions que l’utilisateur est autorisé à effectuer dans chaque espace de travail. Pour évaluer les rôles d’utilisateur prédéfinis pris en charge par la plate-forme de gestion du réseau Junos Space, accédez à la page Rôles (Plate-forme de gestion réseau > Contrôle d’accès basé sur les rôles > Rôles). En outre, chaque application Junos Space installée sur la plate-forme de gestion du réseau Junos Space possède ses propres rôles utilisateur prédéfinis. La page Rôles répertorie tous les rôles existants de l’application Junos Space, leurs descriptions et les tâches incluses dans chaque rôle.
Si les rôles d’utilisateur par défaut ne répondent pas à vos besoins, vous pouvez configurer des rôles personnalisés en accédant à la page Créer un rôle (Plateforme de gestion réseau > Contrôle d’accès basé sur les rôles > Rôles > Créer un rôle). Pour créer un rôle, vous sélectionnez les espaces de travail auxquels un utilisateur avec ce rôle est autorisé à accéder et, pour chaque espace de travail, choisissez l’ensemble des tâches que l’utilisateur peut effectuer à partir de cet espace de travail.
Vous devrez peut-être passer par plusieurs itérations de création de rôles d’utilisateur pour arriver à l’ensemble optimal de rôles d’utilisateur dont votre organisation a besoin.
Une fois les rôles d’utilisateur définis, ils peuvent être affectés à différents comptes utilisateur (dans le cas de comptes d’utilisateurs locaux créés dans Junos Space) ou à des profils distants à utiliser pour l’autorisation à distance.
Pour plus d’informations sur la configuration des rôles d’utilisateur, reportez-vous à la rubrique Vue d’ensemble du contrôle d’accès basé sur les rôles (dans le Guide de l’utilisateur des espaces de travail de la plate-forme de gestion du réseau Junos Space).
Profils distants
Les profils distants sont utilisés en cas d’autorisation à distance. Un profil distant est un ensemble de rôles définissant l’ensemble des fonctions qu’un utilisateur est autorisé à exécuter dans Junos Space. Aucun profil distant n’est créé par défaut et vous devez les créer en accédant à la page Créer un profil distant (Plateforme de gestion réseau > Contrôle d’accès basé sur les rôles > Profils distants > Créer un profil distant). Lors de la création d’un profil distant, vous devez sélectionner un ou plusieurs rôles qui lui appartiennent. Vous pouvez ensuite configurer le nom du profil distant pour un ou plusieurs comptes d’utilisateurs sur les serveurs AAA distants.
Lorsqu’un serveur AAA authentifie avec succès une session utilisateur, il inclut le nom du profil distant configuré pour cet utilisateur dans le message de réponse qui revient à Junos Space. Junos Space recherche le profil distant en fonction de ce nom et détermine l’ensemble des rôles de l’utilisateur. Junos Space utilise ensuite ces informations pour contrôler l’ensemble des espaces de travail auxquels l’utilisateur peut accéder et les tâches qu’il est autorisé à effectuer.
Si vous décidez d’utiliser l’autorisation locale avec l’authentification à distance, vous n’avez pas besoin de configurer de profils distants. Dans ce cas, vous devez créer des comptes d’utilisateurs locaux et leur attribuer des rôles. Les serveurs AAA configurés effectuent l’authentification et, pour chaque session authentifiée, Junos Space effectue l’autorisation en fonction des rôles configurés localement pour le compte utilisateur dans la base de données.
Pour plus d’informations sur la création de profils distants, reportez-vous à la rubrique Création d’un profil distant (dans le Guide de l’utilisateur des espaces de travail de la plate-forme de gestion du réseau Junos Space).
Domaines
Vous pouvez ajouter, modifier ou supprimer un domaine à partir de la page Domaines (Contrôle d’accès basé sur les rôles > domaines). Cette page n’est accessible que lorsque vous êtes connecté au domaine global, ce qui signifie que vous pouvez ajouter, modifier ou supprimer un domaine uniquement du domaine global. Par défaut, tout domaine que vous créez est ajouté sous le domaine global. Lorsque vous ajoutez un domaine, vous pouvez choisir d’autoriser les utilisateurs de ce domaine à disposer d’un accès en lecture seule au domaine parent. Si vous choisissez de le faire, tous les utilisateurs du sous-domaine peuvent afficher les objets du domaine parent en mode lecture seule.
Seuls deux niveaux de hiérarchie sont pris en charge : le domaine global et tout autre domaine que vous pouvez ajouter sous le domaine global.
Pour plus d’informations sur la gestion des domaines, reportez-vous à la rubrique Présentation des domaines (dans le Guide de l’utilisateur des espaces de travail de la plate-forme de gestion du réseau Junos Space).
Comptes d’utilisateurs
Vous devez créer des comptes utilisateur dans Junos Space dans les cas suivants :
Pour effectuer l’authentification et l’autorisation locales : vous créez des comptes utilisateur dans Junos Space. Chaque compte d’utilisateur doit contenir un mot de passe valide et un ensemble de rôles d’utilisateur. Pour créer des comptes d’utilisateurs, accédez à la page Créer un utilisateur (Plateforme de gestion réseau > Contrôle d’accès basé sur les rôles> Comptes d’utilisateurs > Créer un utilisateur).
Pour effectuer l’authentification à distance et l’autorisation locale : vous créez un compte d’utilisateur pour chaque utilisateur du système et assurez-vous qu’un ensemble de rôles est attribué à chaque compte d’utilisateur. Il n’est pas obligatoire de saisir un mot de passe pour les comptes d’utilisateurs car l’authentification est effectuée à distance.
Pour effectuer une authentification et une autorisation à distance et permettre à certains utilisateurs d’accéder à Junos Space même si tous les serveurs AAA sont hors service ou inaccessibles depuis Junos Space : vous créez des comptes d’utilisateurs locaux pour ces utilisateurs avec un mot de passe valide. Le système vous oblige à configurer au moins un rôle pour ces utilisateurs. Toutefois, l’autorisation est effectuée en fonction du nom de profil distant fourni par le serveur AAA.
Pour effectuer une authentification et une autorisation à distance, mais aussi remplacer les échecs d’authentification à distance pour des utilisateurs spécifiés et leur permettre d’accéder à Junos Space : un scénario typique est lorsque vous devez créer un nouvel utilisateur Junos Space mais que vous ne disposez pas d’un accès immédiat pour configurer l’utilisateur sur les serveurs AAA distants. Vous devez créer des comptes d’utilisateurs locaux pour ces utilisateurs avec un mot de passe valide et un ensemble de rôles valides.
Pour effectuer l’authentification et l’autorisation à distance, mais aussi pour séparer les périphériques entre les utilisateurs en fonction des domaines : les domaines doivent être affectés aux objets utilisateur dans Junos Space, vous devez créer des profils distants dans Junos Space et leur attribuer des rôles et des domaines.
Note:Si vous décidez d’utiliser l’autorisation locale avec l’authentification à distance, vous n’avez pas besoin de configurer de profils distants. Dans ce cas, vous devez créer des comptes d’utilisateurs locaux et leur attribuer des rôles. Les serveurs AAA configurés effectuent l’authentification et, pour chaque session authentifiée, Junos Space effectue l’autorisation en fonction des rôles configurés localement pour le compte utilisateur dans la base de données.
Junos Space applique certaines règles relatives à la validité des mots de passe. Vous configurez ces règles dans le cadre des paramètres de la plate-forme de gestion du réseau à partir de la page Applications (Plate-forme de gestion du réseau > Administration > Applications). Cliquez avec le bouton droit sur l’application et sélectionnez Modifier les paramètres de l’application. Sélectionnez ensuite Mot de passe sur le côté gauche de la fenêtre. Sur la page suivante, vous pouvez afficher et modifier les paramètres actuels.
Pour plus d’informations sur la création de comptes utilisateur, reportez-vous à la rubrique Création d’utilisateurs dans la plate-forme de gestion du réseau Junos Space (dans le Guide de l’utilisateur des espaces de travail de la plate-forme de gestion du réseau Junos Space).
Partitions de périphérique
Vous pouvez partitionner un périphérique à partir de la page Périphériques (Plate-forme de gestion réseau > Périphériques > Gestion des périphériques). Vous pouvez partitionner un périphérique en sous-groupes, puis affecter ces sous-objets à différents utilisateurs en affectant les partitions à différents domaines. Une seule partition d’un appareil peut être attribuée à un domaine.
Les partitions de périphériques ne sont prises en charge que sur les routeurs M Series et MX Series.
Pour plus d’informations sur les partitions de périphériques, reportez-vous à la rubrique Création de partitions de périphériques (dans le Guide de l’utilisateur des espaces de travail de la plate-forme de gestion de réseau Junos Space).