Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vue d’ensemble des classes de connexion

Junos OS Les classes login définissent les privilèges d’accès, les autorisations d’utilisation des commandes et des instructions CLI, ainsi que le temps d’inactivité de session pour les utilisateurs affectés à cette classe. Vous (l’administrateur système) pouvez appliquer une classe de connexion à un compte d’utilisateur individuel, attribuant ainsi certains privilèges et autorisations à l’utilisateur.

Vue d’ensemble des classes de connexion

Tous les utilisateurs qui peuvent se connecter à un appareil en cours d’exécution Junos OS doivent faire partie d’une classe de connexion. Chaque classe de connexion définit les éléments suivants :

  • Privilèges d’accès dont disposent les utilisateurs lorsqu’ils se connectent à l’équipement réseau

  • Commandes que les utilisateurs peuvent et ne peuvent pas exécuter

  • Déclarations de configuration que les utilisateurs peuvent ou ne peuvent pas afficher ou modifier

  • Durée pendant laquelle une session de connexion peut être inactive avant que le système ne déconnecte l’utilisateur

Vous pouvez définir autant de classes de connexion que vous le souhaitez. Cependant, vous n’affectez qu’une seule classe de connexion à un compte d’utilisateur individuel.

Junos OS comprend des classes de connexion prédéfinies, qui sont répertoriées dans Tableau 1. Vous ne pouvez pas modifier les classes de connexion prédéfinies.

Tableau 1 : Classes de connexion système prédéfinies

Classe de connexion

Ensemble d’indicateurs d’autorisation

operator

Effacer, mettre en réseau, réinitialiser, tracer et afficher

read-only

Vue

superuser Ou super-user

Tous

unauthorized

Aucune

REMARQUE :
  • Vous ne pouvez pas modifier le nom d’une classe de connexion prédéfinie. Si vous exécutez la commande sur un nom de classe prédéfini, l’appareil ajoute -local au nom de la set classe de connexion et émet l’avertissement suivant :

  • Vous ne pouvez pas émettre la commande ou la rename commande sur copy une classe de connexion prédéfinie. Le message d’erreur suivant s’affiche alors :

Bits d’autorisation

Chaque commande CLI de niveau supérieur et chaque instruction de configuration est associée à un niveau de privilège d’accès. Les utilisateurs ne peuvent exécuter que ces commandes et configurer et afficher uniquement les instructions pour lesquelles ils disposent de privilèges d’accès. Chaque classe de connexion définit un ou plusieurs bits d’autorisation qui déterminent les privilèges d’accès.

Deux formulaires d’autorisation contrôlent si un utilisateur peut afficher ou modifier les différentes parties de la configuration :

  • Formulaire « Plain » : fournit une fonctionnalité en lecture seule pour ce type d’autorisation. Un exemple est interface.

  • -control form : fournit des fonctionnalités de lecture et d’écriture pour ce type d’autorisation. Un exemple est interface-control.

Tableau 2 Décrit les indicateurs d’autorisation et les privilèges d’accès associés.

Tableau 2 : Indicateurs d’autorisation de la classe de connexion

Indicateur d’autorisation

Description

access

Peut visualiser la configuration d’accès en mode opérationnel ou en mode configuration.

access-control

Peut afficher et configurer les informations d’accès au niveau de la [edit access] hiérarchie.

admin

Peut afficher les informations du compte utilisateur en mode opérationnel ou en mode configuration.

admin-control

Peut afficher les informations du compte utilisateur et les configurer au niveau de la [edit system] hiérarchie.

all

Peut accéder à toutes les commandes du mode opérationnel et à toutes les commandes du mode de configuration. Peut modifier la configuration dans tous les niveaux de la hiérarchie de configuration.

clear

Peut effacer (supprimer) les informations que l’équipement apprend du réseau et stocke dans diverses bases de données réseau (à l’aide clear des commandes).

configure

Peut entrer en mode de configuration (à l’aide de la commande) et valider les configurations (à l’aide de la configurecommit commande).

control

Peut effectuer toutes les opérations au niveau du contrôle, c’est-à-dire toutes les opérations configurées avec les indicateurs d’autorisation -control .

field

Peut afficher les commandes de débogage de champ. Réservé à la prise en charge du débogage.

firewall

Peut visualiser la configuration du filtre de pare-feu en mode opérationnel ou en mode configuration.

firewall-control

Peut afficher et configurer les informations de filtre de pare-feu au niveau de la [edit firewall] hiérarchie.

floppy

Peut lire et écrire sur le support amovible.

flow-tap

Peut visualiser la configuration flow-tap en mode opérationnel ou en mode configuration.

flow-tap-control

Peut afficher et configurer les informations de flux au niveau de la [edit services flow-tap] hiérarchie.

flow-tap-operation

Peut envoyer des requêtes de débit au routeur ou au commutateur. Par exemple, un client DTCP (Dynamic Tasking Control Protocol) doit être flow-tap-operation autorisé à s’authentifier en Junos OS tant qu’utilisateur administratif.

REMARQUE :

L’option flow-tap-operation n’est pas incluse dans l’indicateur d’autorisations all-control .

idp-profiler-operation

Permet d’afficher les données du profileur.

interface

Peut visualiser la configuration de l’interface en mode opérationnel et en mode configuration.

interface-control

Peut afficher le châssis, la classe de service (CoS), les groupes, les options de transfert et les informations de configuration des interfaces. Peut modifier la configuration aux niveaux hiérarchiques suivants :

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

Peut effectuer la maintenance du système, y compris démarrer un shell local sur l’appareil et devenir le superutilisateur dans l’interpréteur de commandes (à l’aide de la su root commande) et arrêter et redémarrer l’appareil (à l’aide des request system commandes).

network

Peut accéder au réseau à l’aide des pingcommandes , ssh, telnetet traceroute .

pgcp-session-mirroring

Peut afficher la configuration de la mise en miroir de session pgcp .

pgcp-session-mirroring-control

Peut modifier la configuration de la mise en miroir de session pgcp .

reset

Peut redémarrer les processus logiciels à l’aide de la restart commande.

rollback

Peut utiliser la rollback commande pour revenir à une configuration précédemment validée.

routing

Peut afficher les informations générales de configuration du routage, du protocole de routage et de la stratégie de routage en mode de configuration et en mode opérationnel.

routing-control

Peut afficher et configurer le routage général au niveau de la [edit routing-options] hiérarchie, les protocoles de routage au niveau de la hiérarchie et les informations de stratégie de routage au niveau de la [edit protocols][edit policy-options] hiérarchie.

secret

Peut afficher les mots de passe et autres clés d’authentification dans la configuration.

secret-control

Peut afficher et modifier les mots de passe et autres clés d’authentification dans la configuration.

security

Peut afficher les informations de configuration de sécurité en mode opérationnel et en mode configuration.

security-control

Permet d’afficher et de configurer les informations de sécurité au niveau hiérarchique [edit security] .

shell

Peut démarrer un shell local sur le routeur ou le commutateur à l’aide de la start shell commande.

snmp

Peut afficher les informations de configuration SNMP (Simple Network Management Protocol) en mode opérationnel ou en mode configuration.

snmp-control

Permet d’afficher et de modifier les informations de configuration SNMP au niveau de la [edit snmp] hiérarchie.

Permet d’afficher les informations de configuration du stockage Fibre Channel au niveau de la [edit fc-fabrics] hiérarchie.

Peut modifier les informations de configuration du stockage Fibre Channel au niveau de la [edit fc-fabrics] hiérarchie.

system

Peut afficher les informations au niveau du système en mode opérationnel ou en mode configuration.

system-control

Peut afficher et modifier les informations de configuration au niveau du système au niveau de la [edit system] hiérarchie.

trace

Peut afficher les paramètres du fichier de trace et configurer les propriétés du fichier de trace.

trace-control

Peut modifier les paramètres du fichier de trace et configurer les propriétés du fichier de trace.

Permet d’afficher la configuration du dispositif Edge unifié au niveau de la [edit unified-edge] hiérarchie.

Peut modifier la configuration liée au dispositif Edge unifié au niveau de la [edit unified-edge] hiérarchie.

view

Peut utiliser diverses commandes pour afficher les valeurs et statistiques actuelles à l’échelle du système, de la table de routage et du protocole. Impossible d’afficher la configuration secrète.

view-configuration

Peut afficher toute la configuration, à l’exception des secrets, des scripts système et des options d’événements.

REMARQUE :

Seuls les utilisateurs autorisés peuvent afficher la configuration du script de validation, du script op ou du script d’événement maintenance .

Refuser ou autoriser des commandes individuelles et des hiérarchies d’instructions

Par défaut, toutes les commandes et instructions CLI de niveau supérieur sont associées à des niveaux de privilège d’accès. Les utilisateurs ne peuvent exécuter que ces commandes et afficher et configurer uniquement les instructions pour lesquelles ils disposent de privilèges d’accès. Pour chaque classe de connexion, vous pouvez explicitement refuser ou autoriser les utilisateurs à utiliser des commandes en mode opérationnel, des commandes en mode de configuration et des hiérarchies d’instructions de configuration qui sont autrement autorisées ou refusées par un bit d’autorisation.

Exemple : Créer des classes de connexion avec des privilèges spécifiques

Vous définissez des classes de connexion pour attribuer certaines autorisations ou restrictions à des groupes d’utilisateurs, en veillant à ce que les commandes sensibles ne soient accessibles qu’aux utilisateurs appropriés. Par défaut, les équipements Juniper Networks disposent de quatre types de classes de connexion avec des autorisations prédéfinies : en lecture seule, superutilisateur ou super-utilisateur et non autorisé.

Vous pouvez créer des classes de connexion personnalisées pour définir différentes combinaisons d’autorisations qui ne se trouvent pas dans les classes de connexion par défaut. L’exemple suivant montre trois classes de connexion personnalisées, chacune avec des privilèges et des minuteurs d’inactivité spécifiques. Les minuteries d’inactivité aident à protéger la sécurité du réseau en déconnectant un utilisateur du réseau s’il est inactif pendant trop longtemps. La déconnexion de l’utilisateur permet d’éviter les risques de sécurité potentiels qui surviennent lorsqu’un utilisateur laisse un compte sans surveillance connecté à un commutateur ou à un routeur. Les autorisations et les minuteries d’inactivité indiquées ici ne sont que des exemples ; Vous devez personnaliser les valeurs en fonction de votre organisation.

Les trois classes de connexion et leurs privilèges sont les suivants. Les trois classes de connexion utilisent le même minuteur d’inactivité de 5 minutes.

  • observation—Ne peut afficher que les statistiques et la configuration
  • operation: permet d’afficher et de modifier la configuration
  • engineering—Accès et contrôle illimités

Comprendre les privilèges d’accès exacts pour les classes de connexion

Les privilèges d’accès Exact Match vous permettent d’autoriser ou de refuser explicitement des chaînes de configuration exactes afin de définir des règles de contrôle d’accès pour les classes de connexion. À partir de Junos OS et de Junos OS Evolved version 23.4R1, vous pouvez utiliser les instructions de configuration et deny-configuration-exact-match pour contrôler les allow-configuration-exact-match privilèges d’accès exacts.

Avantages

  • Restreindre la suppression des hiérarchies de configuration de niveau supérieur tout en autorisant la suppression de sous-hiérarchies spécifiques. Cela permet d’obtenir des autorisations de commande plus ciblées.

  • Assurez-vous que set les commandes restent autorisées dans une hiérarchie même si la suppression est refusée. Cette séparation des autorisations set permet delete d’assouplir les contrôles d’accès.

  • Autorisez ou refusez les chaînes de commande de configuration précises, en plus des expressions régulières. Cela permet de configurer des règles d’accès très spécifiques en cas de besoin.

  • Tirez parti des règles d’autorisation avancées des serveurs TACACS+ externes, en plus des règles locales. Cela facilite la gestion centralisée des stratégies.

Vous pouvez configurer des privilèges d’accès de correspondance exacte à l’aide des allow-configuration-exact-match instructions de configuration et au niveau de deny-configuration-exact-match la [edit system login class name] hiérarchie. Utilisez des chaînes hiérarchiques commençant par l’un des opérateurs suivants :

  • set
  • delete
  • active
  • deactivate

Les caractères génériques sont également pris en charge. Par exemple, l’instruction deny-configuration-exact-match delete interfaces* utilise le caractère générique * pour spécifier toutes les interfaces.

Si delete ou deactivate est refusé pour une hiérarchie de configuration donnée, les set commandes or activate peuvent toujours être autorisées à l’aide allow-configuration-exact-matchde . Si vous configurez les deux allow-configuration-exact-match et avec le même opérateur et deny-configuration-exact-match la même configuration, l’accès à la configuration sera refusé.

Les nouvelles règles de correspondance exacte peuvent être configurées localement ou sur des serveurs TACACS+ externes.