Présentation des cours d’identification

Les classes de connexion Junos OS Evolved définissent les privilèges d’accès, les autorisations d’utilisation des commandes et des instructions CLI, ainsi que le temps d’inactivité des sessions pour les utilisateurs assignés à cette classe. Vous (l’administrateur système) pouvez appliquer une classe de connexion à un compte d’utilisateur individuel, ce qui vous permet d’attribuer certains privilèges et autorisations à l’utilisateur.

Présentation des cours d’identification

Tous les utilisateurs qui peuvent se connecter à un équipement exécutant Junos OS Evolved doivent suivre une classe de connexion. Chaque classe de connexion définit les éléments suivants :

Les privilèges d’accès dont disposent les utilisateurs lorsqu’ils se connectent à l’équipement réseau
Commandes que les utilisateurs peuvent et ne peuvent pas exécuter
Déclarations de configuration que les utilisateurs peuvent et ne peuvent pas afficher ou modifier
Durée d’inactivité d’une session de connexion avant que le système ne déconnecte l’utilisateur

Vous pouvez définir n’importe quel nombre de classes de connexion. Toutefois, vous n’attribuez qu’une seule classe de connexion à un compte utilisateur individuel.

Junos OS Evolved comprend des classes de connexion prédéfinies, répertoriées dans le tableau 1. Vous ne pouvez pas modifier les classes de connexion prédéfinies.

Tableau 1 : classes de connexion système prédéfinies
Classe de connexion	Ensemble d’indicateurs d’autorisation
`operator`	clair, réseau, réinitialisation, traçage et vue
`read-only`	Vue
`superuser` Ou `super-user`	Tous
`unauthorized`	Aucun

Note:

Vous ne pouvez pas modifier un nom de classe de connexion prédéfini. Si vous émettez la set commande sur un nom de classe prédéfini, l’équipement ajoute -local le nom de la classe de connexion et émet l’avertissement suivant :
Vous ne pouvez pas émettre la rename copy commande sur une classe de connexion prédéfinie. Le message d’erreur suivant s’affiche :

Bits d’autorisation
Refuser ou autoriser les commandes individuelles et les hiérarchies d’énoncés

Bits d’autorisation

Chaque commande CLI de niveau supérieur et chaque déclaration de configuration a un niveau de privilège d’accès associé. Les utilisateurs peuvent exécuter uniquement les commandes et configurer et afficher uniquement les instructions pour lesquelles ils disposent de privilèges d’accès. Chaque classe de connexion définit un ou plusieurs bits d’autorisation qui déterminent les privilèges d’accès.

Deux formulaires d’autorisation permettent de déterminer si un utilisateur peut afficher ou modifier les parties individuelles de la configuration :

Formulaire « simple » : fournit une fonctionnalité en lecture seule pour ce type d’autorisation. Par exemple interface, .
-control form : permet de lire et d’écrire ce type d’autorisation. Par exemple interface-control, .

Le tableau 2 présente les indicateurs d’autorisation et les privilèges d’accès associés.

Tableau 2 : indicateurs d’autorisation de classe de connexion
Indicateur d’autorisation	Description
`access`	Peut afficher la configuration d’accès en mode opérationnel ou en mode de configuration.
`access-control`	Peut consulter et configurer les informations d’accès au niveau de la `[edit access]` hiérarchie.
`admin`	Peut afficher les informations de compte utilisateur en mode opérationnel ou en mode de configuration.
`admin-control`	Peut consulter les informations de compte utilisateur et les configurer au niveau de la `[edit system]` hiérarchie.
`all`	Peut accéder à toutes les commandes du mode opérationnel et du mode de configuration. Peut modifier la configuration à tous les niveaux de la hiérarchie de configuration.
`clear`	Peut effacer (supprimer) les informations que l’équipement apprend du réseau et stocke dans diverses bases de données réseau (à l’aide `clear` des commandes).
`configure`	Peut entrer en mode configuration (à l’aide de la `configure` commande) et valider les configurations (à l’aide de la `commit` commande).
`control`	Peut effectuer toutes les opérations de niveau contrôle, toutes les opérations configurées avec les indicateurs d’autorisation `-control` .
`field`	Peut afficher les commandes de débogage sur le terrain. Réservé à la prise en charge du débogage.
`firewall`	Peut afficher la configuration du filtre de pare-feu en mode opérationnel ou en mode de configuration.
`firewall-control`	Peut afficher et configurer les informations de filtrage de pare-feu au niveau de la `[edit firewall]` hiérarchie.
`floppy`	Peut lire et écrire sur le support amovible.
`flow-tap`	Peut afficher la configuration flow-tap en mode opérationnel ou en mode de configuration.
`flow-tap-control`	Peut consulter et configurer les informations de flux au niveau de la `[edit services flow-tap]` hiérarchie.
`flow-tap-operation`	Peut faire des requêtes de flux au routeur ou au commutateur. Par exemple, un client DTCP (Dynamic Tasking Control Protocol) doit avoir `flow-tap-operation` l’autorisation de s’authentifier auprès de Junos OS Evolved en tant qu’utilisateur administratif. Note: L’option `flow-tap-operation` n’est pas incluse dans l’indicateur d’autorisation `all-control` .
`idp-profiler-operation`	Peut consulter les données du profileur.
`interface`	Peut afficher la configuration de l’interface en mode opérationnel et en mode de configuration.
`interface-control`	Peut afficher le châssis, la classe de service (CoS), les groupes, les options de transfert et les informations de configuration des interfaces. Peut modifier la configuration aux niveaux hiérarchiques suivants : `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	Peut effectuer la maintenance du système, notamment en commençant un shell local sur l’équipement et en devenant le superutilisateur du shell (à l’aide de la `su root` commande) et en arrêtant et en redémarrant l’équipement (à l’aide `request system` des commandes).
`network`	Peut accéder au réseau à l’aide du `ping`, `ssh`, `telnet`et des `traceroute` commandes.
`pgcp-session-mirroring`	Peut afficher la configuration de `pgcp` mise en miroir de session.
`pgcp-session-mirroring-control`	Peut modifier la configuration de `pgcp` mise en miroir de session.
`reset`	Peut redémarrer les processus logiciels à l’aide de la `restart` commande.
`rollback`	Peut utiliser la `rollback` commande pour revenir à une configuration précédemment validée.
`routing`	Peut consulter les informations générales de configuration du routage, du protocole de routage et des stratégies de routage en mode de configuration et en mode opérationnel.
`routing-control`	Peut afficher et configurer le routage général au niveau de la `[edit routing-options]` hiérarchie, les protocoles de routage au niveau de la hiérarchie et les `[edit protocols]` informations de stratégie de routage au niveau de la `[edit policy-options]` hiérarchie.
`secret`	Peut afficher les mots de passe et autres clés d’authentification dans la configuration.
`secret-control`	Peut afficher et modifier les mots de passe et autres clés d’authentification dans la configuration.
`security`	Peut consulter les informations de configuration de sécurité en mode opérationnel et en mode de configuration.
`security-control`	Peut consulter et configurer les informations de sécurité au niveau de la `[edit security]` hiérarchie.
`shell`	Peut démarrer un shell local sur le routeur ou le commutateur à l’aide de la `start shell` commande.
`snmp`	Peut consulter les informations de configuration SNMP (Simple Network Management Protocol) en mode opérationnel ou en mode de configuration.
`snmp-control`	Peut afficher et modifier les informations de configuration SNMP au niveau de la `[edit snmp]` hiérarchie.
`system`	Peut afficher les informations au niveau du système en mode opérationnel ou en mode de configuration.
`system-control`	Peut consulter et modifier les informations de configuration au niveau du système au niveau de la `[edit system]` hiérarchie.
`trace`	Peut afficher les paramètres du fichier de suivi et configurer les propriétés du fichier de trace.
`trace-control`	Peut modifier les paramètres du fichier de suivi et configurer les propriétés du fichier de trace.
`view`	Peut utiliser diverses commandes pour afficher les valeurs et statistiques actuelles à l’échelle du système, des tables de routage et des valeurs et statistiques spécifiques au protocole. Impossible d’afficher la configuration secrète.
`view-configuration`	Peut afficher toute la configuration, à l’exception des secrets, des scripts système et des options d’événements. Note: Seuls les utilisateurs autorisés peuvent consulter le `maintenance` script de validation, le script op ou la configuration des scripts d’événements.

Refuser ou autoriser les commandes individuelles et les hiérarchies d’énoncés

Par défaut, toutes les commandes et déclarations CLI de niveau supérieur ont des niveaux de privilèges d’accès associés. Les utilisateurs peuvent exécuter uniquement les commandes et afficher et configurer uniquement les instructions pour lesquelles ils disposent de privilèges d’accès. Pour chaque classe de connexion, vous pouvez expressément refuser ou autoriser les utilisateurs à utiliser des commandes du mode opérationnel, des commandes de mode de configuration et des hiérarchies d’déclarations de configuration autorisées ou refusées par un bit d’autorisation.

Exemple : créer des classes d’identification avec des privilèges spécifiques

Vous définissez des classes de connexion pour attribuer certaines autorisations ou restrictions à des groupes d’utilisateurs, en vous assurant que les commandes sensibles ne sont accessibles qu’aux utilisateurs appropriés. Par défaut, les équipements Juniper Networks disposent de quatre types de classes de connexion avec des autorisations prédéfinies : opérateur, lecture seule, superutilisateur ou super-utilisateur, et non autorisé.

Vous pouvez créer des classes de connexion personnalisées pour définir différentes combinaisons d’autorisations qui ne se trouvent pas dans les classes de connexion par défaut. L’exemple suivant montre trois classes de connexion personnalisées, chacune avec des privilèges et des timers d’inactivité spécifiques. Les timers d’inactivité aident à protéger la sécurité du réseau en déconnectant un utilisateur du réseau si l’utilisateur est inactif pendant trop longtemps. La déconnexion de l’utilisateur permet d’éviter les risques de sécurité potentiels qui résultent lorsqu’un utilisateur quitte un compte sans surveillance connecté à un commutateur ou un routeur. Les délais d’autorisation et d’inactivité indiqués ici ne sont que des exemples ; vous devez personnaliser les valeurs en fonction de votre organisation.

Les trois classes de connexion et leurs privilèges sont les suivants. Les trois classes de connexion utilisent le même timer d’inactivité de 5 minutes.

observation— Ne peut afficher que les statistiques et la configuration
operation— Peut afficher et modifier la configuration
engineering— Accès et contrôle illimités