Rôles administratifs
Junos OS vous permet de définir un utilisateur système qui agira en tant qu’administrateur spécifique pour le système. Vous pouvez attribuer un rôle d’administrateur à un utilisateur en configurant une classe de connexion pour qu’elle ait les attributs de rôle d’administrateur. Vous pouvez attribuer l’un des attributs de rôle, tels que audit-officer, crypto-officer, security-officer, ids-officer, à un utilisateur administratif.
Comment concevoir des rôles administratifs
Un utilisateur système peut être membre d’une classe qui lui permet d’agir en tant qu’administrateur spécifique pour le système. L’exigence d’un rôle spécifique pour afficher ou modifier un élément limite l’étendue des informations qu’un utilisateur peut obtenir du système. Il limite également la mesure dans laquelle le système est ouvert à la modification ou à l’observation par un utilisateur. Vous (l’administrateur système) devez suivre les instructions suivantes lorsque vous concevez des rôles d’administrateur :
N’autorisez aucun utilisateur à se connecter au système en tant que
root.Limitez chaque utilisateur au plus petit ensemble de privilèges nécessaires à l’exécution de ses tâches.
N’autorisez aucun utilisateur à appartenir à une classe de connexion contenant l’indicateur d’autorisation
shell. L’indicateurshelld’autorisation permet aux utilisateurs d’exécuter lastart shellcommande à partir de l’interface de ligne de commande.Autorisez les utilisateurs à disposer d’autorisations de restauration. Les autorisations de restauration permettent aux utilisateurs d’annuler une action effectuée par un administrateur, mais ne leur permettent pas de valider les modifications.
Vous pouvez attribuer un rôle d’administrateur à un utilisateur en configurant une classe de connexion pour qu’elle dispose des privilèges requis pour ce rôle. Vous pouvez configurer chaque classe pour autoriser ou refuser l’accès aux instructions et commandes de configuration par son nom. Ces restrictions remplacent et sont prioritaires sur tous les indicateurs d’autorisation également configurés dans la classe. Vous pouvez attribuer l’un des attributs de rôle suivants à un utilisateur administratif :
Crypto-administrator: permet à l’utilisateur de configurer et de surveiller les données cryptographiques.Security-administrator: permet à l’utilisateur de configurer et de surveiller les données de sécurité.Audit-administrator: permet à l’utilisateur de configurer et de surveiller les données d’audit.IDS-administrator: permet à l’utilisateur de surveiller et d’effacer les journaux de sécurité du service de détection d’intrusion (IDS).
Chaque rôle peut remplir les fonctions de gestion spécifiques suivantes :
Cryptographic Administrator
Configure l’autotest cryptographique.
Modifie les paramètres de données de sécurité cryptographiques.
Audit Administrator
Configure et supprime la fonction de recherche et de tri de l’examen d’audit.
Recherche et trie les enregistrements d’audit.
Configure les paramètres de recherche et de tri.
Supprime manuellement les journaux d’audit.
Security Administrator
Appelle, détermine et modifie le comportement d’autotest cryptographique.
Active, désactive, détermine et modifie les fonctions d’analyse d’audit et de sélection d’audit, et configure l’équipement pour qu’il supprime automatiquement les journaux d’audit.
Active ou désactive les alarmes de sécurité.
Spécifie les limites des quotas sur les connexions de la couche transport.
Spécifie les limites, les identificateurs de réseau et les périodes de temps pour les quotas sur les ressources orientées connexion contrôlée.
Spécifie les adresses réseau autorisées à utiliser le protocole ICMP (Internet Control Message Protocol) ou le protocole ARP (Address Resolution Protocol).
Configure l’heure et la date utilisées dans les horodatages.
Interroge, modifie, supprime et crée les règles et attributs de flux d’informations ou de contrôle d’accès pour la stratégie de fonction de sécurité (SFP) de flux d’informations non authentifiés, la stratégie de fonction de sécurité de flux d’informations authentifiés, les services d’équipement non authentifiés et la stratégie de contrôle d’accès discrétionnaire.
Spécifie les valeurs initiales qui remplacent les valeurs par défaut lorsque des informations d’objet sont créées sous le SFP de flux d’informations non authentifié, le SFP de flux d’informations authentifié, les services de cible d’évaluation non authentifiée (TOE) et la stratégie de contrôle d’accès discrétionnaire.
Crée, supprime ou modifie les règles qui contrôlent l’adresse à partir de laquelle les sessions de gestion peuvent être établies.
Spécifie et révoque les attributs de sécurité associés aux utilisateurs, aux sujets et aux objets.
Spécifie le pourcentage de la capacité de stockage d’audit à partir duquel l’appareil alerte les administrateurs.
Gère les échecs d’authentification et modifie le nombre de tentatives d’authentification infructueuses via SSH ou à partir de l’interface de ligne de commande qui peuvent se produire avant que la limitation progressive ne soit appliquée pour d’autres tentatives d’authentification et avant que la connexion ne soit abandonnée.
Gère la configuration réseau de base de l’appareil.
IDS Administrator: spécifie les alarmes de sécurité IDS, les alarmes d’intrusion, les sélections d’audit et les données d’audit.
Vous devez définir l’attribut security-role dans les classes créées pour ces rôles administratifs. Cet attribut restreint les utilisateurs qui peuvent afficher et effacer les journaux de sécurité, actions qui ne peuvent pas être effectuées uniquement via la configuration.
Par exemple, vous devez définir l’attribut security-role dans la ids-admin classe créée pour le rôle d’administrateur IDS si vous souhaitez limiter l’effacement et l’affichage des journaux IDS au rôle d’administrateur IDS. De même, vous devez définir le rôle de sécurité sur l’une des autres valeurs d’administrateur pour empêcher cette classe d’effacer et d’afficher uniquement les journaux non-IDS.
Lorsqu’un utilisateur supprime une configuration existante, les instructions de configuration sous le niveau hiérarchique de la configuration supprimée (les objets enfants que l’utilisateur n’est pas autorisé à modifier) restent dans l’appareil.
Exemple : Comment configurer les rôles d’administration
Cet exemple montre comment configurer des rôles administratifs individuels pour un ensemble distinct et unique de privilèges, en dehors de tous les autres rôles administratifs.
Conditions préalables
Aucune action au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Présentation
Cet exemple illustre comment configurer quatre rôles d’utilisateur administrateur :
audit-officerde la classeaudit-admincrypto-officerde la classecrypto-adminsecurity-officerde la classesecurity-adminids-officerde la classeids-admin
Lorsqu’une security-admin classe est configurée, les privilèges de création d’administrateurs sont révoqués par l’utilisateur qui l’a security-admin créée. La création de nouveaux utilisateurs et de nouveaux identifiants est à la security-officerdiscrétion du .
Dans cet exemple, vous créez les quatre rôles d’utilisateur administratif indiqués dans la liste précédente (administrateur d’audit, administrateur de chiffrement, administrateur de sécurité et administrateur d’IDS). Pour chaque rôle, vous attribuez des indicateurs d’autorisation pertinents pour le rôle. Vous autorisez ou refusez ensuite l’accès aux instructions et commandes de configuration par nom pour chaque rôle d’administrateur. Ces restrictions spécifiques sont prioritaires sur les indicateurs d’autorisation configurés dans la classe. Par exemple, seul le peut crypto-admin exécuter la request system set-encryption-key commande, ce qui nécessite d’avoir l’indicateur d’autorisation security pour y accéder. Seul le security-admin peut inclure l’instruction system time-zone dans la configuration, ce qui nécessite d’avoir l’indicateur d’autorisation system-control .
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Procédure étape par étape
Pour configurer les rôles d’administrateur :
-
Créez la
audit-adminclasse de connexion.[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
-
Configurez les restrictions de la
audit-adminclasse de connexion.[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
-
Créez la
crypto-adminclasse de connexion.[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
-
Configurez les restrictions de la
crypto-adminclasse de connexion.[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
-
Créez la
security-adminclasse de connexion.[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
-
Configurez les restrictions de la
security-adminclasse de connexion.[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
-
Créez la
ids-adminclasse de connexion.[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
-
Configurez les restrictions de la
ids-adminclasse de connexion.[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
-
Affectez des utilisateurs aux rôles.
[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
-
Configurez les mots de passe des utilisateurs.
[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Résultats
En mode configuration, confirmez votre configuration en entrant la show system commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show system
system {
login {
class audit-admin {
permissions [ maintenance security trace ];
allow-commands "^clear (log|security log)";
deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
security-role audit-administrator;
}
class crypto-admin {
permissions [ admin-control configure maintenance security-control system-control trace ];
allow-commands "^request (system set-encryption-key)";
deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ];
security-role crypto-administrator;
}
class security-admin {
permissions [all];
deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell";
deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ];
security-role security-administrator;
}
class ids-admin {
permissions [ configure maintenance security-control trace ];
deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type
(authentication | cryptographic-self-test | decryption-failures | encryption-failures
| ike-phase1-failures | ike-phase2-failures|key-generation-self-test |
non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename)
|^request (security|system set-encryption-key) | ^rollback |
^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell";
allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ];
deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption-
failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|
key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"
security-role ids-administrator;
}
user audit-officer {
class audit-admin;
authentication {
encrypted-password "$1$ABC123"; ## SECRET-DATA
}
}
user crypto-officer {
class crypto-admin;
authentication {
encrypted-password "$1$ABC123."; ## SECRET-DATA
}
}
user security-officer {
class security-admin;
authentication {
encrypted-password "$1$ABC123."; ##SECRET-DATA
}
}
user ids-officer {
class ids-admin;
authentication {
encrypted-password "$1$ABC123/"; ## SECRET-DATA
}
}
}
}
Après avoir configuré l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifier les autorisations de connexion
But
Vérifiez les autorisations de connexion de l’utilisateur actuel.
Action
En mode opérationnel, entrez la show cli authorization commande pour vérifier les autorisations de connexion de l’utilisateur.
user@host> show cli authorization
Current user: 'example' class 'super-user'
Permissions:
admin -- Can view user accounts
admin-control-- Can modify user accounts
clear -- Can clear learned network info
configure -- Can enter configuration mode
control -- Can modify any config
edit -- Can edit full files
field -- Can use field debug commands
floppy -- Can read and write the floppy
interface -- Can view interface configuration
interface-control-- Can modify interface configuration
network -- Can access the network
reset -- Can reset/restart interfaces and daemons
routing -- Can view routing configuration
routing-control-- Can modify routing configuration
shell -- Can start a local shell
snmp -- Can view SNMP configuration
snmp-control-- Can modify SNMP configuration
system -- Can view system configuration
system-control-- Can modify system configuration
trace -- Can view trace file settings
trace-control-- Can modify trace file settings
view -- Can view current values and statistics
maintenance -- Can become the super-user
firewall -- Can view firewall configuration
firewall-control-- Can modify firewall configuration
secret -- Can view secret statements
secret-control-- Can modify secret statements
rollback -- Can rollback to previous configurations
security -- Can view security configuration
security-control-- Can modify security configuration
access -- Can view access configuration
access-control-- Can modify access configuration
view-configuration-- Can view all configuration (not including secrets)
flow-tap -- Can view flow-tap configuration
flow-tap-control-- Can modify flow-tap configuration
idp-profiler-operation-- Can Profiler data
pgcp-session-mirroring-- Can view pgcp session mirroring configuration
pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura
tion
storage -- Can view fibre channel storage protocol configuration
storage-control-- Can modify fibre channel storage protocol configuration
all-control -- Can modify any configuration
Individual command authorization:
Allow regular expression: none
Deny regular expression: none
Allow configuration regular expression: none
Deny configuration regular expression: noneCette sortie récapitule les autorisations de connexion.
Comment configurer un compte d’administrateur local
Les privilèges de superutilisateur donnent à un utilisateur l’autorisation d’utiliser n’importe quelle commande sur le routeur et sont généralement réservés à quelques utilisateurs sélectionnés, tels que les administrateurs système. Vous (l’administrateur système) devez protéger le compte d’administrateur local avec un mot de passe pour empêcher les utilisateurs non autorisés d’accéder aux commandes de superutilisateur. Ces commandes de superutilisateur peuvent être utilisées pour modifier la configuration du système. Les utilisateurs disposant d’une authentification RADIUS doivent également configurer un mot de passe local. Si le serveur RADIUS ne répond pas, le processus de connexion revient à l’authentification par mot de passe local sur le compte d’administrateur local.
L’exemple suivant montre comment configurer un compte d’administration locale protégé par mot de passe appelé admin avec des privilèges de superutilisateur :
[edit]
system {
login {
user admin {
uid 1000;
class superuser;
authentication {
encrypted-password "<PASSWORD>"; ## SECRET-DATA
}
}
}
}