Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

class (Defining Login Classes)

Syntax

Hierarchy Level

Description

Définir une classe de connexion. Tous les utilisateurs qui se connectent au routeur ou au commutateur doivent se connecter. Vous devez donc définir une classe Junos OS de connexion pour chaque utilisateur ou type d’utilisateur. Vous pouvez définir un certain nombre de classes de connexion en fonction des types de permissions nécessaires aux utilisateurs. Vous n’avez peut-être pas à définir de classes de connexion ; Junos OS dispose de plusieurs classes de connexion prédéfinées, pour répondre à différents besoins. Toutefois, les classes de connexion prédéfinées ne peuvent pas être modifiées. Si vous définissez une classe avec le même nom qu’une classe prédéfinée, Junos OS au nom de classe de connexion et crée une -local nouvelle classe de connexion. Pour plus d’informations, consultez les classes de connexion système prédéfinées.

Options

nom de classe

Un nom que vous choisissez pour la classe de connexion.

de bout en bout

Indiquez l’heure de fin au format (24 heures), où représentent les heures et HH:MM HH les MM minutes.

Remarque :

Les temps de début et de fin d’accès, qui s’étendent à 12 h 00 à partir d’un jour spécifié, étendent l’accès à l’utilisateur jusqu’au jour suivant, même si le jour d’accès n’est pas explicitement configuré sur allowed-days l’énoncé.

access-start

Indiquez l’heure de début au format (24 heures), qui représente les heures et HH:MM HH les MM minutes.

Remarque :

Les temps de début et de fin d’accès, qui s’étendent à 12 h 00 à partir d’un jour spécifié, étendent l’accès à l’utilisateur jusqu’au jour suivant, même si le jour d’accès n’est pas explicitement configuré sur allowed-days l’énoncé.

( commandes d'| 'allow-commands-regexps)

Indiquez une ou plusieurs expressions régulières afin de permettre aux utilisateurs de cette catégorie d’émettre des commandes de mode opérationnel. Vous utilisez l’ou l’énoncé pour autoriser explicitement l’autorisation de commandes qui seraient autrement refusés par les niveaux de privilège d’accès pour allow-commandsallow-commands-regexps une classe de connexion.

Pour l’énoncé, chaque expression séparée par un symbole de pipe (|) doit être une expression autonome complète et doit être fermée entre allow-commands parenthèses ( ). N’utilisez pas d’espaces entre les expressions régulières séparées par des parenthèses et connectées par le symbole de la pipe (|).

Pour l’énoncé, vous configurez un ensemble de chaînes dans lesquelles chaque chaîne est une expression régulière, fermée en citations doubles et séparées par un allow-commands-regexps opérateur d’espace. Chaque chaîne est évaluée par rapport à l’ensemble du chemin de la commande, ce qui permet une correspondance plus rapide que allow-command l’instruction. Vous pouvez également inclure des valeurs pour variables dans les expressions régulières, qui n’est pas prise en charge à l’aide de allow-commands l’énoncé.

deny-commandsL’instruction deny-commands-regexps ou l’instruction a préséance si elle est utilisée dans la même définition de classe de connexion.

Remarque :

Les allow/deny-commandsallow/deny-commands-regexps déclarations et les énoncés sont mutuellement exclusifs et ne peuvent pas être configurés ensemble pour un cours de connexion. À un moment donné, un cours de connexion peut inclure les allow/deny-commands instructions ou allow/deny-commands-regexps les instructions. Si vous avez des configurations existantes utilisant les instructions, l’utilisation des mêmes options de configuration avec ces instructions peut ne pas produire les mêmes résultats, les méthodes de recherche et de correspondance diffèrent selon les deux formes de ces allow/deny-commandsallow/deny-commands-regexps instructions.

Les autorisations peuvent également être configurées à distance en Juniper Networks attributs TACACS+ propres à chaque fournisseur dans la configuration de votre serveur d’authentification. Pour un utilisateur distant, lorsque les paramètres d’autorisation sont configurés à distance et localement, les paramètres d’autorisation configurés à distance et localement sont tous deux pris en compte ensemble pour l’autorisation. Pour un utilisateur local, seuls les paramètres d’autorisation configurés localement pour la classe sont pris en compte.

  • Par défaut: Si vous ne configurez pas les autorisations pour les commandes du mode opérationnel à l’aide des instructions ou des instructions, les utilisateurs peuvent uniquement modifier les commandes pour lesquelles ils ont des privilèges d’accès configurés avec allow/deny-commandsallow/deny-commands-regexpspermissions l’instruction.

  • Syntaxe: regular-expression—Expression régulière (moderne) étendue telle que définie dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, l’entourez de guillemets. Saisissez autant d’expressions que nécessaire.

( autoriser la configuration et |-configuration-regexps)

Indiquez une ou plusieurs expressions régulières pour permettre aux utilisateurs de cette classe d’accéder aux niveaux spécifiés dans la hiérarchie de configuration, même si les autorisations définies avec l’énoncé ne permettent pas cet permissions accès.

Pour l’énoncé, chaque expression séparée par un symbole de pipe (|) doit être une expression autonome complète et doit être fermée entre allow-configuration parenthèses ( ). N’utilisez pas d’espaces entre les expressions régulières séparées par des parenthèses et connectées par le symbole de la pipe (|).

Pour l’énoncé, vous configurez un ensemble de chaînes dans lesquelles chaque chaîne est une expression régulière, fermée en citations doubles et séparées par un allow-configuration-regexps opérateur d’espace. Chaque chaîne est évaluée en se fiant au chemin complet de la commande, ce qui permet une correspondance plus rapide que allow/deny-configuration les instructions. Vous pouvez également inclure des valeurs pour variables dans les expressions régulières, qui n’est pas prise en charge à l’aide allow/deny-configuration des instructions.

deny-configurationdeny-configuration-regexps L’instruction ou l’instruction a préséance si elle est utilisée dans la même définition de classe de connexion.

Remarque :

Les allow/deny-configurationallow/deny-configuration-regexps déclarations et les énoncés sont mutuellement exclusifs et ne peuvent pas être configurés ensemble pour un cours de connexion. À un moment donné, un cours de connexion peut inclure les allow/deny-configuration instructions ou allow/deny-configuration-regexps les instructions. Si vous avez des configurations existantes utilisant les instructions, l’utilisation des mêmes options de configuration avec ces instructions peut ne pas produire les mêmes résultats, les méthodes de recherche et de correspondance diffèrent selon les deux formes de ces allow/deny-configurationallow/deny-configuration-regexps instructions.

  • Par défaut: Si vous omettez l’énoncé et l’énoncé, les utilisateurs peuvent modifier uniquement les commandes pour lesquelles ils ont des privilèges d’accès allow-configuration/allow-configuration-regexps par le biais de deny-configuration/deny-configuration-regexpspermissions l’énoncé.

  • Syntaxe: regular-expression—Expression régulière (moderne) étendue telle que définie dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, l’entourez de guillemets. Saisissez autant d’expressions que nécessaire.

commandes d’autoriser des commandes cachées

Exécuter toutes les commandes cachées. Si l’instruction n’est pas masquée est spécifiée au niveau de la hiérarchie [edit system], remplace cette restriction pour cette classe de connexion. Les commandes cachées Junos OS commandes non publiées mais qui peuvent être exécutés sur un routeur. Les commandes cachées servent un but spécifique, mais ne doivent pas être utilisées pour la plupart et, par conséquent, ne sont pas prise en charge activement. L’instruction sans commandes cachées au niveau hiérarchique [edit system] vous permet de bloquer toutes les commandes cachées à tous les utilisateurs, à l’exception des utilisateurs racines.

  • Par défaut: Les commandes cachées sont activées par défaut.

allow-sources [ adresses source ...]

Limiter l’accès distant entrant aux hôtes spécifiques uniquement. Indiquez une ou plusieurs adresses source à partir de laquelle l’accès est autorisé. Les adresses source peuvent être les adresses IPv4 ou IPv6, les longueurs de préfixe ou les noms d’hôte.

horaires [horaires...]

Limiter l’accès à distance à certaines heures.

jours autorisés [ jours de la semaine ]

Indiquez un ou plusieurs jours de la semaine lorsque les utilisateurs de cette classe sont autorisés à se connecter.

  • Valeurs:

    • tous les mardis — mardi

    • mardi — mardi

    • mercredi — mercredi

    • jeudi — jeudi

    • vendredi— vendredi

    • ne sera-t-ce pas?

    • ne sera-t-ce pas?

Cli

Définissez l CLI in prompt à être spécifiée pour la classe de connexion. Si une invite de CLI est également définie au niveau de la hiérarchie [edit system login user cli], l’ensemble d’invites de l’utilisateur de connexion a préséance sur l’ensemble d’invites pour la classe de connexion.

invite rapide

Indiquez la chaîne d’invite que vous souhaitez afficher dans l CLI in prompte.

le pain sur la configuration

Activez l’affichage du pain d’CLI configuration pour afficher l’emplacement dans la hiérarchie de configuration. Pour un exemple de mise en place de cette vue, consultez la affiche Enabling Configuration Breadcrumbs .

commandes de confirmation

Indiquez que la confirmation de commandes spécifiques est explicitement requise et, facultatif, précisez l’autorisation du message affiché à l’heure de confirmer. Vous pouvez spécifier les commandes à l’aide d’une liste d’expressions ou de commandes régulières.

  • Syntaxe: Message

  • Par défaut: Si vous omettez cette option, alors la confirmation des commandes n’est pas requise. Si le message facultatif n’est pas définir, le message par défaut « Voulez-vous poursuivre? » s’affiche.

( commandes deny-command | deny-commands-regexps )

Indiquez une ou plusieurs expressions régulières pour refuser explicitement aux utilisateurs de cette classe l’autorisation d’émettre des commandes de mode opérationnel, même si les autorisations définies avec l’énoncé permissions l’autorisent.

Pour l’énoncé, chaque expression séparée par un symbole de pipe (|) doit être une expression autonome complète et doit être fermée entre deny-commands parenthèses ( ). N’utilisez pas d’espaces entre les expressions régulières séparées par des parenthèses et connectées par le symbole de la pipe (|).

Pour l’énoncé, vous configurez un ensemble de chaînes dans lesquelles chaque chaîne est une expression régulière, fermée en citations doubles et séparées par un deny-commands-regexps opérateur d’espace. Chaque chaîne est évaluée en se fiant au chemin complet de la commande, ce qui permet une correspondance plus rapide que allow/deny-command les instructions. Vous pouvez également inclure des valeurs pour variables dans les expressions régulières, qui n’est pas prise en charge à l’aide allow/deny-commands des instructions.

Les expressions configurées avec l’ou l’énoncé ont priorité sur les expressions configurées si les deux instructions sont utilisées dans la même définition de classe deny-commandsdeny-commands-regexps de allow-commands/allow-commands-regexps connexion.

Remarque :

Les allow/deny-commandsallow/deny-commands-regexps déclarations et les énoncés sont mutuellement exclusifs et ne peuvent pas être configurés ensemble pour un cours de connexion. À un moment donné, un cours de connexion peut inclure les allow/deny-commands instructions ou allow/deny-commands-regexps les instructions. Si vous avez des configurations existantes utilisant les instructions, l’utilisation des mêmes options de configuration avec ces instructions peut ne pas produire les mêmes résultats, les méthodes de recherche et de correspondance diffèrent selon les deux formes de ces allow/deny-commandsallow/deny-commands-regexps instructions.

Les autorisations peuvent également être configurées à distance en Juniper Networks attributs TACACS+ propres à chaque fournisseur dans la configuration de votre serveur d’authentification. Pour un utilisateur distant, lorsque les paramètres d’autorisation sont configurés à distance et localement, les paramètres d’autorisation configurés à distance et localement sont tous deux pris en compte ensemble pour l’autorisation. Pour un utilisateur local, seuls les paramètres d’autorisation configurés localement pour la classe sont pris en compte.

  • Par défaut: Si vous ne configurez pas les autorisations pour les commandes de mode opérationnel à l’aide ou, les utilisateurs peuvent uniquement modifier les commandes pour lesquelles ils ont des privilèges d’accès allow/deny-commandsallow/deny-commands-regexps configurés avec permissions l’instruction.

  • Syntaxe: regular-expression—Expression régulière (moderne) étendue telle que définie dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, l’entourez de guillemets. Saisissez autant d’expressions que nécessaire.

( deny-configuration | deny-configuration-regexps )

Indiquez une ou plusieurs expressions régulières pour refuser explicitement aux utilisateurs de cette classe d’accès aux niveaux spécifiés dans la hiérarchie de configuration, même si les autorisations définies avec l’énoncé autorisent cet permissions accès. Notez que l’utilisateur ne peut pas afficher une hiérarchie particulière si l’accès à la configuration est refusé pour cette hiérarchie.

Pour l’énoncé, chaque expression séparée par un symbole de pipe (|) doit être une expression autonome complète et doit être fermée entre deny-configuration parenthèses ( ). N’utilisez pas d’espaces entre les expressions régulières séparées par des parenthèses et connectées par le symbole de la pipe (|).

Pour l’énoncé, vous configurez un ensemble de chaînes dans lesquelles chaque chaîne est une expression régulière, fermée en citations doubles et séparées par un deny-configuration-regexps opérateur d’espace. Chaque chaîne est évaluée en se fiant au chemin complet de la commande, ce qui permet une correspondance plus rapide que allow/deny-configuration les instructions. Vous pouvez également inclure des valeurs pour variables dans les expressions régulières, qui n’est pas prise en charge à l’aide allow/deny-configuration des instructions.

Les expressions configurées avec priorité sur les expressions configurées avec si les deux instructions sont utilisées dans la même définition de classe deny-configuration/deny-configuration-regexpsallow-configuration/allow-configuration-regexps de connexion.

Remarque :

Les allow/deny-configurationallow/deny-configuration-regexps déclarations et les énoncés sont mutuellement exclusifs et ne peuvent pas être configurés ensemble pour un cours de connexion. À un moment donné, un cours de connexion peut inclure les allow/deny-configuration instructions ou allow/deny-configuration-regexps les instructions. Si vous avez des configurations existantes utilisant les instructions, l’utilisation des mêmes options de configuration avec ces instructions peut ne pas produire les mêmes résultats, les méthodes de recherche et de correspondance diffèrent selon les deux formes de ces allow/deny-configurationallow/deny-configuration-regexps instructions.

  • Par défaut: Si vous omettez l’énoncé et l’énoncé, les utilisateurs peuvent modifier ces niveaux dans la hiérarchie de configuration pour laquelle ils ont des deny-configuration/deny-configuration-regexpsallow-configuration/allow-configuration-regexps privilèges d’accès via permissions l’énoncé.

  • Syntaxe: regular-expression—Expression régulière (moderne) étendue telle que définie dans POSIX 1003.2. Si l’expression régulière contient des espaces, des opérateurs ou des caractères génériques, l’entourez de guillemets. Saisissez autant d’expressions que nécessaire.

deny-sources [adresses source]

N’autorisez jamais l’accès distant à partir de ces hôtes. Les adresses source peuvent être les adresses IPv4 ou IPv6, les longueurs de préfixe ou les noms d’hôte.

deny-times[times]

N’autorisez jamais l’accès à distance en ces temps-là.

temps d’inactivité

Pour une classe de connexion, configurez la durée maximale en quelques minutes afin qu’une session puisse être ralentie avant l’arrêt de la session et que l’utilisateur soit déconnecté de l’équipement. L’heure de sortie de la session après avoir été CLI’invite au mode opérationnel pour l’heure spécifiée.

Remarque :

Une fois que l’utilisateur se connecte à un équipement à partir d’une invite de shell telle que csh, si l’utilisateur lance un autre programme pour s’exécuter au premier plan du CLI, le contrôle du temps d’inactivité ne peut plus être calculé. Le calcul du temps d’inactivité de la session CLI n’est redémarré qu’après la sortie du premier plan et le contrôle est renvoyé à l’invite shell. Lors du redémarrage du contrôle du temps d’inactivité, si aucune interaction de la part de l’utilisateur ne se produit sur le shell, l’utilisateur est automatiquement connecté après l’heure définie sur cette instruction.

  • Par défaut: Si vous omettez cet énoncé, un utilisateur n’est jamais contraint d’quitter le système après des temps d’inactivité prolongés.

  • Syntaxe: minutes—Temps maximum en minutes pour qu’une session puisse être ralentie avant qu’un utilisateur ne soit connecté.

  • Gamme: Gamme: 0 à 4294967295 minutes

    Remarque :

    La fonction d’inactivité est désactivée si la valeur de minutes est définie par 0.

alarmes de connexion

Affichez les alarmes système lorsqu’un utilisateur ayant obtenu les autorisations se admin connecte à l’équipement. Pour plus d’informations sur la configuration de cette instruction, consultez la page Configurer les alarmes système pour s’affiche automatiquement lors de la connexion.

script de connexion

Exécutez le script d’opération spécifié lorsqu’un utilisateur appartenant à la classe se connecte au CLI. Le script doit être activé dans la configuration.

système logique

Attribuez les utilisateurs de cette classe de connexion à un système logique. Si vous spécifiez un système logique, vous ne pouvez pas inclure l’instruction de configuration satellite dans la configuration de cette classe de connexion.

conseils d’identification

Affichez CLI conseils d’exploitation lors de la connexion.

  • Par défaut: Si cette instruction n’est pas configurée, des CLI de sécurité ne s’affichent pas.

commandes non cachées

Refuser toutes les commandes cachées, à l’exception des commandes spécifiées, pour les utilisateurs de cette classe de connexion. Chaque commande répertoriée comme exception doit être incluse dans des guillemets.

  • Par défaut: Les commandes cachées sont activées par défaut.

  • Syntaxe: sauf ["command 1 » « commande 2 »...]

no-scp-server

Désactivez les connexions SCP entrantes pour cette classe de connexion.

no-sftp-server

Désactivez les connexions SFTP entrantes pour cette classe de connexion.

Autorisations

Spécifiez les privilèges d’accès de connexion pour la classe de connexion.

  • Syntaxe: permissions—Un ou plusieurs indicateurs d’autorisation, qui indiquent ensemble les privilèges d’accès pour la classe de connexion. Les indicateurs d’autorisation ne sont pas cumulés. Ainsi, pour chaque classe, vous devez énumérer tous les indicateurs d’autorisation nécessaires, y compris pour afficher les informations et entrer en viewconfigure mode de configuration. Pour une liste des indicateurs d’autorisation, consultez les indicateurs des autorisations de classe de connexion.

Satellite

Indiquez l’accès Junos Fusion satellites pour la classe de connexion. Tous les utilisateurs assignés à la classe de connexion sont des utilisateurs satellites. Si vous ajoutez cette instruction, vous ne pouvez pas inclure l’instruction de configuration du système logique dans la configuration de cette classe de connexion.

  • Valeurs:

    • tous: indiquez tous Junos Fusion satellites.

rôle sécurité

Indiquez un ou plusieurs rôles de sécurité pour la classe de connexion à un ou plusieurs critères communs (ISO/IEC 15408).

  • Valeurs:

    audit-administrator

    Indiquez les utilisateurs responsables de l’examen régulier des données d’audit des cibles spécifiques de l’évaluation (TOE) et de la suppression des suivis d’audit. Les administrateurs des audits peuvent également utiliser le self-test non cryptographique.

    crypto-administrator

    Indiquez les utilisateurs responsables de la configuration et de la maintenance des éléments cryptographiques liés à la mise en place de connexions sécurisées à l’et à partir des données d’audit TOE.

    ids-administrator

    Indiquez quels utilisateurs peuvent agir en tant qu’administrateurs service de détection d’intrusion (IDS), responsables de toutes les activités relatives à la gestion de l’identité et des accès des employés de l’entreprise.

    security-administrator

    Indiquez les utilisateurs responsables de la mise en place d’une politique de sécurité de l’entreprise.

Locataire

Attribuez les utilisateurs de cette classe à un système de locataire. Les systèmes locataires sont utilisés lorsque vous devez séparer les services, les organisations ou les clients et chacun d’entre eux peut être limité à un routeur virtuel. La principale différence entre un système logique et un système de location est qu’un système logique prend en charge une fonctionnalité de routage avancée à l’aide de plusieurs instances de routage. En comparaison, un système de location ne prend en charge qu’une seule instance de routage, mais prend en charge le déploiement d’un nombre nettement plus important de locataires par système.

Required Privilege Level

admin: pour afficher cet énoncé dans la configuration.

admin-control: pour ajouter cette instruction à la configuration.

Release Information

Le , , , , et les déclarations ont été présentés avant Junos OS classallow-commands version deny-commandsallow-configurationdeny-configurationidle-timeoutlogin-alarmslogin-tippermissions 7.4.

Toutes les déclarations précédemment mentionnées ont été introduites dans Junos OS version 9.0 pour le EX Series.

Cet login-script énoncé a été introduit dans Junos OS version 9.5.

Le , et les déclarations ont été access-endaccess-startallowed-days présentés dans Junos OS version 10.1.

Toutes les déclarations précédemment mentionnées ont été introduites dans Junos OS version 11.1 pour l’QFX Series.

Toutes les déclarations précédemment mentionnées ont été introduites dans Junos OS version 11.2 pour le SRX Series.

Le , et les déclarations ont été allow-configuration-regexpsdeny-configuration-regexpssecurity-role présentés Junos OS version 11.2.

Cet configuration-breadcrumbs énoncé a été introduit dans Junos OS version 12.2.

Toutes les déclarations précédemment mentionnées ont été introduites dans Junos OS version 14.1X53-D20 pour OCX Series.

Toutes les déclarations précédemment mentionnées ont été introduites dans la 15.1X49-D70 de publication Junos OS pour les équipements vSRX, SRX4100, SRX4200 et SRX1500.

Toutes les déclarations précédemment mentionnées ont été introduites dans Junos OS version 16.1 pour les MX Series et PTX Series.

Le , et les déclarations ont été présentés Junos OS allow-hidden-commandsconfirm-commands version no-hidden-commandssatellite 16.1.

Cet cli énoncé a été introduit dans Junos OS version 17.3.

Ces allow-commands-regexpsdeny-commands-regexps déclarations ont été introduites dans Junos OS version 18.1.

La tenant déclaration a été introduite dans Junos OS 18.4.

Ces no-scp-serverno-sftp-server déclarations ont été introduites dans Junos OS version 19.2.