Configuration d’un système logique
Exemple : configuration du mot de passe racine pour les systèmes logiques
Exigences
Avant de commencer, lisez la présentation des tâches de configuration principale de l’administrateur srX Series pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
L’exemple utilise un équipement SRX5600 exécutant Junos OS avec des systèmes logiques.
Aperçu
Le logiciel Junos OS est installé sur le routeur avant qu’il ne soit livré depuis l’usine. Lorsque vous allumez votre routeur, il est prêt à être configuré. Au début, vous vous connectez en tant qu’utilisateur racine sans utiliser de mot de passe.
Une fois connecté, vous pouvez configurer un mot de passe pour l’utilisateur racine ou, en termes de systèmes logiques, pour l’administrateur principal. L’administrateur principal dispose de privilèges racines sur l’équipement.
Topologie
Configuration
Configuration du mot de passe racine
Procédure étape par étape
Configurez un mot de passe racine pour l’équipement.
user@host# set system root-authentication Talk22rt6
Exemple : création de systèmes logiques d’utilisateurs, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion
Cet exemple montre comment créer des systèmes logiques utilisateur et leur affecter des administrateurs. Il montre comment ajouter des utilisateurs à un système logique utilisateur. Et l’exemple montre comment créer un système logique d’interconnexion, ce qui est facultatif.
Seul l’administrateur principal peut créer des comptes d’identification d’utilisateurs pour les administrateurs et les utilisateurs. Si un administrateur système logique utilisateur souhaite ajouter des utilisateurs à son système logique, il doit transmettre les informations à l’administrateur principal, qui ajoutera les utilisateurs.
Exigences
L’exemple utilise un équipement SRX5600 exécutant Junos OS avec des systèmes logiques.
Aperçu
Avant de commencer, lisez la présentation des tâches de configuration principale de l’administrateur srX Series pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Cet exemple concerne une entreprise qui comprend des services de conception de produits, de marketing et de comptabilité. L’entreprise veut réduire les coûts matériels et énergétiques, mais pas au risque d’exposer les données entre les départements ou à Internet.
Chaque ministère a ses propres exigences de sécurité à la fois vis-à-vis des autres départements et d’Internet. Pour répondre à ses exigences de contrôle des coûts sans perdre en sécurité, l’entreprise déploie l’équipement SRX5600. L’administrateur principal configure trois systèmes logiques utilisateur pour donner à chaque service un équipement logique privé et entièrement sécurisé.
Ce sujet vous explique comment :
Créez des systèmes logiques d’utilisateur et un système logique d’interconnexion utilisé comme commutateur VPLS interne pour permettre au trafic de passer d’un système logique à un autre.
Créez des administrateurs pour les systèmes logiques utilisateurs autres que le système logique d’interconnexion. Un système logique utilisateur peut avoir plusieurs administrateurs. Le système logique d’interconnexion ne nécessite pas d’administrateur.
Ajouter des utilisateurs à un système logique utilisateur.
Note:Cet exemple montre comment configurer seulement deux utilisateurs : lsdesignuser1 et lsdesignuser2. En réalité, chaque système logique utilisateur comprendra de nombreux utilisateurs qui nécessiteraient des configurations similaires à celles illustrées dans cet exemple.
Topologie
La figure 1 montre un équipement SRX5600 déployé et configuré pour les systèmes logiques. Les exemples de configuration reflètent ce déploiement.
Configuration
Configuration des systèmes logiques des utilisateurs, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set logical-systems ls-product-design set system login class ls-design-admin logical-system ls-product-design set system login class ls-design-admin permissions all set system login user lsdesignadmin1 full-name lsdesignadmin1 set system login user lsdesignadmin1 class ls-design-admin set system login user lsdesignadmin1 authentication encrypted-password "$ABC123" set system login class ls-design-user logical-system ls-product-design set system login class ls-design-user permissions view set system login user lsdesignuser1 full-name lsdesignuser1 set system login user lsdesignuser1 class ls-design-user set system login user lsdesignuser1 authentication encrypted-password "$ABC123" set system login user lsdesignuser2 full-name lsdesignuser2 set system login user lsdesignuser2 class ls-design-user set system login user lsdesignuser2 authentication encrypted-password "$ABC123" set logical-systems ls-marketing-dept set system login class ls-marketing-admin logical-system ls-marketing-dept set system login class ls-marketing-admin permissions all set system login user lsmarketingadmin1 class ls-marketing-admin set system login user lsmarketingadmin1 full-name lsmarketingadmin1 set system login user lsmarketingadmin1 authentication encrypted-password "$ABC123" set system login user lsmarketingadmin2 full-name lsmarketingadmin2 set system login user lsmarketingadmin2 class ls-marketing-admin set system login user lsmarketingadmin2 authentication encrypted-password "$ABC123" set logical-systems ls-accounting-dept set system login class ls-accounting-admin logical-system ls-accounting-dept set system login class ls-accounting-admin permissions all set system login user lsaccountingadmin1 full-name lsaccountingadmin1 set system login user lsaccountingadmin1 class ls-accounting-admin set system login user lsaccountingadmin1 authentication encrypted-password "$ABC123" set logical-systems interconnect-logical-system
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Créez le premier système logique utilisateur et définissez son administrateur.
Procédure étape par étape
Créez le système logique de l’utilisateur.
[edit] user@host# set logical-systems ls-product-design
Attribuez la classe de connexion utilisateur au système logique de l’utilisateur.
[edit system] user@host# set login class ls-design-admin logical-system ls-product-design
Créez la classe de connexion pour donner à l’administrateur système logique l’autorisation totale sur le système logique de l’utilisateur.
[edit system] user@host# set login class ls-design-admin permissions all
Attribuez un nom complet à l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsdesignadmin1 full-name lsdesignadmin1
Associez la classe de connexion à l’administrateur système logique de l’utilisateur pour permettre à l’administrateur de se connecter au système logique de l’utilisateur.
[edit system] user@host# set login user lsdesignadmin1 class ls-design-admin
Créez un mot de passe d’identification utilisateur pour l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsdesignadmin1 authentication plain-text-password New password: Talk1234 Retype new password: Talk1234
Configurez le premier utilisateur pour le système logique.
Procédure étape par étape
Configurez la classe de connexion utilisateur et attribuez-la au système logique de l’utilisateur.
[edit system] user@host# set login class ls-design-user logical-system ls-product-design
Pour permettre au premier utilisateur de voir les ressources et les paramètres du système logique, mais sans les modifier, attribuez
viewl’autorisation à la classe de connexion.[edit system] user@host# set login class ls-design-user permissions view
Attribuez un nom complet à l’utilisateur du système logique.
[edit system] user@host# set login user lsdesignuser1 full-name lsdesignuser1
Associez la classe de connexion à l’utilisateur pour permettre à l’utilisateur de se connecter au système logique de l’utilisateur.
user@host# set login user lsdesignuser1 class ls-design-user
Créez un mot de passe d’identification utilisateur pour l’utilisateur.
[edit system] user@host# set login user lsdesignuser1 authentication plain-text-password New password: Talk4234 Retype new password: Talk4234
Créez le deuxième utilisateur pour la conception ls-produit du système logique.
Procédure étape par étape
Attribuez un nom complet à l’utilisateur.
[edit system] user@host# set login user lsdesignuser2 full-name lsdesignuser2
Associez l’utilisateur à la classe de connexion pour permettre à l’utilisateur de se connecter au système logique de l’utilisateur.
user@host# set login user lsdesignuser2 class ls-design-user
Créez un mot de passe d’identification utilisateur.
[edit system] user@host# set login user lsdesignuser2 authentication plain-text-password New password: Talk9234 Retype new password: Talk9234
Créez le deuxième système logique utilisateur et définissez son administrateur.
Procédure étape par étape
Créez le système logique de l’utilisateur.
[edit] user@host# set logical-systems ls-marketing-dept
Configurez la classe de connexion utilisateur et attribuez-la au système logique de l’utilisateur.
[edit system] user@host# set login class ls-marketing-admin logical-system ls-marketing-dept
Pour donner à l’administrateur système logique utilisateur le contrôle sur le système logique de l’utilisateur, attribuez
allles autorisations à la classe de connexion.[edit system] user@host# set login class ls-marketing-admin permissions all
Attribuez un nom complet à l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsmarketingadmin1 full-name lsmarketingadmin1
Associez l’administrateur système logique utilisateur à la classe de connexion pour permettre à l’administrateur de se connecter au système logique de l’utilisateur.
[edit system] user@host# set login user lsmarketingadmin1 class ls-marketing-admin
Créez un mot de passe d’identification utilisateur pour l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsmarketingadmin1 authentication plain-text-password New password: Talk2345 Retype new password: Talk2345
Créez un deuxième administrateur système logique utilisateur pour le système logique ls-marketing-dept.
Procédure étape par étape
Attribuez un nom complet à l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsmarketingadmin2 full-name lsmarketingadmin2
Associez l’administrateur système logique utilisateur à la classe de connexion pour permettre à l’administrateur de se connecter au système logique de l’utilisateur.
[edit system] user@host# set login lsmarketingadmin2 class ls-marketing-admin
Créez un mot de passe d’identification utilisateur pour l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsmarketingadmin2 authentication plain-text-password New password: Talk6345 Retype new password: Talk6345
Créez le troisième système logique utilisateur et définissez son administrateur.
Procédure étape par étape
Créez le système logique de l’utilisateur.
[edit] user@host# set logical-systems ls-accounting-dept
Configurez la classe de connexion utilisateur et attribuez-la au système logique de l’utilisateur.
[edit system] user@host# set login class ls-accounting-admin logical-system ls-accounting-dept
Pour donner à l’administrateur système logique utilisateur un contrôle sur le système logique utilisateur, attribuez des autorisations à la classe de connexion.
[edit system] user@host# set login class ls-accounting-admin permissions all
Attribuez un nom complet à l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsaccountingadmin1 full-name lsaccountingadmin1
Associez l’administrateur système logique utilisateur à la classe de connexion pour permettre à l’administrateur de se connecter au système logique de l’utilisateur.
[edit system] user@host# set login user lsaccountingadmin1 class ls-accounting-admin
Créez un mot de passe d’identification pour l’administrateur système logique utilisateur.
[edit system] user@host# set login user lsaccountingadmin1 authentication plain-text-password New password: Talk5678 Retype new password: Talk5678
Configurez un système logique d’interconnexion pour permettre aux systèmes logiques de passer le trafic d’un à un autre.
user@host# set logical-systems interconnect-logical-system
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show logical-systems commande pour vérifier que les systèmes logiques ont été créés. Saisissez également la show system login class commande pour chaque classe que vous avez définie.
Pour vous assurer que les administrateurs de systèmes logiques ont été créés, saisissez la show system login user commande.
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show logical-systems ? interconnect-logical-system; ls-accounting-dept; ls-marketing-dept; ls-product-design;
user@host# show system login class ls-design-admin logical-system ls-product-design; permissions all;
user@host# show system login class ls-design-user logical-system ls-product-design permissions view;
user@host show system login class ls-marketing-admin logical-system ls-marketing-dept; permissions all;
user@host show system login class ls-accounting-admin logical-system ls-accounting-dept; permissions all;
user@host show system login user ? lsaccountingadmin1 lsaccountingadmin1 lsdesignadmin1 lsdesignadmin1 lsdesignuser2 lsdesignuser2 lsmarketingadmin1 lsmarketingadmin1 lsmarketingadmin2 lsmarketingadmin2
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification des systèmes logiques utilisateur et des configurations de connexion à partir du système logique principal
- Vérification des systèmes logiques utilisateur et des configurations de connexion à l’aide de SSH
Vérification des systèmes logiques utilisateur et des configurations de connexion à partir du système logique principal
But
Vérifiez que les systèmes logiques de l’utilisateur existent et que vous, en tant qu’administrateur principal, pouvez les saisir à partir de la racine. Revenez d’un système logique utilisateur au système logique principal.
Action
Depuis le mode opérationnel, saisissez la commande suivante :
root@host> set cli logical-system ls-product-design Logical system:ls-product-design root@host:ls-product-design>
root@host:ls-product-design> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-marketing-dept Logical system:ls-marketing-dept root@host:ls-marketing-dept>
root@host:ls-marketing-dept> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-accounting-dept Logical system:ls-accounting-dept root@host:ls-accounting-dept>
root@host:ls-accounting-dept> clear cli logical-system Cleared default logical system root@host>
Vérification des systèmes logiques utilisateur et des configurations de connexion à l’aide de SSH
But
Vérifiez que les systèmes logiques utilisateur que vous avez créés existent et que les identifiants de connexion et les mots de passe des administrateurs que vous avez créés sont corrects.
Action
Utilisez SSH pour se connecter à chaque système logique utilisateur comme le ferait son administrateur utilisateur.
-
Exécutez SSH en spécifiant l’adresse IP de votre pare-feu SRX Series.
Saisissez l’ID d’identification et le mot de passe de l’administrateur pour l’un des systèmes logiques utilisateur que vous avez créés. Une fois que vous vous êtes connecté, l’invite affiche le nom de l’administrateur. Notez en quoi ce résultat diffère du résultat produit lorsque vous vous connectez au système logique utilisateur à partir du système logique principal à la racine. Répétez cette procédure pour tous vos systèmes logiques utilisateur.
login: lsdesignadmin1 Password: Talk1234 lsdesignadmin1@host: ls-product-design>