Vue d’ensemble des classes de connexion

Junos OS Les classes login définissent les privilèges d’accès, les autorisations d’utilisation des commandes et des instructions CLI, ainsi que le temps d’inactivité de session pour les utilisateurs affectés à cette classe. Vous (l’administrateur système) pouvez appliquer une classe de connexion à un compte d’utilisateur individuel, attribuant ainsi certains privilèges et autorisations à l’utilisateur.

Vue d’ensemble des classes de connexion

Tous les utilisateurs qui peuvent se connecter à un appareil en cours d’exécution Junos OS doivent faire partie d’une classe de connexion. Chaque classe de connexion définit les éléments suivants :

Privilèges d’accès dont disposent les utilisateurs lorsqu’ils se connectent à l’équipement réseau
Commandes que les utilisateurs peuvent et ne peuvent pas exécuter
Déclarations de configuration que les utilisateurs peuvent ou ne peuvent pas afficher ou modifier
Durée pendant laquelle une session de connexion peut être inactive avant que le système ne déconnecte l’utilisateur

Vous pouvez définir autant de classes de connexion que vous le souhaitez. Cependant, vous n’affectez qu’une seule classe de connexion à un compte d’utilisateur individuel.

Junos OS comprend des classes de connexion prédéfinies, qui sont répertoriées dans Tableau 1. Vous ne pouvez pas modifier les classes de connexion prédéfinies.

Tableau 1 : Classes de connexion système prédéfinies
Classe de connexion	Ensemble d’indicateurs d’autorisation
`operator`	Effacer, mettre en réseau, réinitialiser, tracer et afficher
`read-only`	Vue
`superuser` ou `super-user`	tout
`unauthorized`	Aucune

La fonctionnalité des serveurs SFTP et SCP est désactivée lors de l’utilisation des classes de operator connexion prédéfinies read-only .

À partir de Junos OS Evolved version 23.4R2, la superuser classe de connexion ne peut pas écrire dans le /var/log/ répertoire. Seul l’utilisateur root peut écrire en /var/log/.

Bits d’autorisation
Refuser ou autoriser des commandes individuelles et des hiérarchies d’instructions

Bits d’autorisation

Chaque commande CLI de niveau supérieur et chaque instruction de configuration est associée à un niveau de privilège d’accès. Les utilisateurs ne peuvent exécuter que ces commandes et configurer et afficher uniquement les instructions pour lesquelles ils disposent de privilèges d’accès. Chaque classe de connexion définit un ou plusieurs bits d’autorisation qui déterminent les privilèges d’accès.

Deux formulaires d’autorisation contrôlent si un utilisateur peut afficher ou modifier les différentes parties de la configuration :

Formulaire « Plain » : fournit une fonctionnalité en lecture seule pour ce type d’autorisation. Un exemple est interface.
-control form : fournit des fonctionnalités de lecture et d’écriture pour ce type d’autorisation. Un exemple est interface-control.

Tableau 2 Décrit les indicateurs d’autorisation et les privilèges d’accès associés.

Tableau 2 : Indicateurs d’autorisation de la classe de connexion
Indicateur d’autorisation	Description
`access`	Peut visualiser la configuration d’accès en mode opérationnel ou en mode configuration.
`access-control`	Peut afficher et configurer les informations d’accès au niveau de la `[edit access]` hiérarchie.
`admin`	Peut afficher les informations du compte utilisateur en mode opérationnel ou en mode configuration.
`admin-control`	Peut afficher les informations du compte utilisateur et les configurer au niveau de la `[edit system]` hiérarchie.
`all`	Peut accéder à toutes les commandes du mode opérationnel et à toutes les commandes du mode de configuration. Peut modifier la configuration dans tous les niveaux de la hiérarchie de configuration.
`clear`	Peut effacer (supprimer) les informations que l’équipement apprend du réseau et stocke dans diverses bases de données réseau (à l’aide `clear` des commandes).
`configure`	Peut entrer en mode de configuration (à l’aide de la `configure` commande) et valider les configurations (à l’aide de la `commit` commande).
`control`	Peut effectuer toutes les opérations au niveau du contrôle, c’est-à-dire toutes les opérations configurées avec les indicateurs d’autorisation `-control` .
`field`	Peut afficher les commandes de débogage de champ. Réservé à la prise en charge du débogage.
`firewall`	Peut visualiser la configuration du filtre de pare-feu en mode opérationnel ou en mode configuration.
`firewall-control`	Peut afficher et configurer les informations de filtre de pare-feu au niveau de la `[edit firewall]` hiérarchie.
`floppy`	Peut lire et écrire sur le support amovible.
`flow-tap`	Peut visualiser la configuration flow-tap en mode opérationnel ou en mode configuration.
`flow-tap-control`	Peut afficher et configurer les informations de flux au niveau de la `[edit services flow-tap]` hiérarchie.
`flow-tap-operation`	Peut envoyer des requêtes de débit au routeur ou au commutateur. Par exemple, un client DTCP (Dynamic Tasking Control Protocol) doit être `flow-tap-operation` autorisé à s’authentifier en Junos OS tant qu’utilisateur administratif. REMARQUE : L’option `flow-tap-operation` n’est pas incluse dans l’indicateur d’autorisations `all-control` .
`idp-profiler-operation`	Permet d’afficher les données du profileur.
`interface`	Peut visualiser la configuration de l’interface en mode opérationnel et en mode configuration.
`interface-control`	Peut afficher le châssis, la classe de service (CoS), les groupes, les options de transfert et les informations de configuration des interfaces. Peut modifier la configuration aux niveaux hiérarchiques suivants : `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	Peut effectuer la maintenance du système, y compris démarrer un shell local sur l’appareil et devenir le superutilisateur dans l’interpréteur de commandes (à l’aide de la `su root` commande) et arrêter et redémarrer l’appareil (à l’aide des `request system` commandes).
`network`	Peut accéder au réseau à l’aide des `ping`commandes , `ssh`, `telnet`et `traceroute` .
`pgcp-session-mirroring`	Peut afficher la configuration de la mise en miroir de session `pgcp` .
`pgcp-session-mirroring-control`	Peut modifier la configuration de la mise en miroir de session `pgcp` .
`reset`	Peut redémarrer les processus logiciels à l’aide de la `restart` commande.
`rollback`	Peut utiliser la `rollback` commande pour revenir à une configuration précédemment validée.
`routing`	Peut afficher les informations générales de configuration du routage, du protocole de routage et de la stratégie de routage en mode de configuration et en mode opérationnel.
`routing-control`	Peut afficher et configurer le routage général au niveau de la `[edit routing-options]` hiérarchie, les protocoles de routage au niveau de la `[edit protocols]` hiérarchie et les informations de stratégie de routage au niveau de la `[edit policy-options]` hiérarchie.
`secret`	Peut afficher les mots de passe et autres clés d’authentification dans la configuration.
`secret-control`	Peut afficher et modifier les mots de passe et autres clés d’authentification dans la configuration.
`security`	Peut afficher les informations de configuration de sécurité en mode opérationnel et en mode configuration.
`security-control`	Permet d’afficher et de configurer les informations de sécurité au niveau hiérarchique `[edit security]` .
`shell`	Peut démarrer un shell local sur le routeur ou le commutateur à l’aide de la `start shell` commande.
`snmp`	Peut afficher les informations de configuration SNMP (Simple Network Management Protocol) en mode opérationnel ou en mode configuration.
`snmp-control`	Permet d’afficher et de modifier les informations de configuration SNMP au niveau de la `[edit snmp]` hiérarchie.
	Permet d’afficher les informations de configuration du stockage Fibre Channel au niveau de la `[edit fc-fabrics]` hiérarchie.
	Peut modifier les informations de configuration du stockage Fibre Channel au niveau de la `[edit fc-fabrics]` hiérarchie.
`system`	Peut afficher les informations au niveau du système en mode opérationnel ou en mode configuration.
`system-control`	Peut afficher et modifier les informations de configuration au niveau du système au niveau de la `[edit system]` hiérarchie.
`trace`	Peut afficher les paramètres du fichier de trace et configurer les propriétés du fichier de trace.
`trace-control`	Peut modifier les paramètres du fichier de trace et configurer les propriétés du fichier de trace.
	Permet d’afficher la configuration du dispositif Edge unifié au niveau de la `[edit unified-edge]` hiérarchie.
	Peut modifier la configuration liée au dispositif Edge unifié au niveau de la `[edit unified-edge]` hiérarchie.
`view`	Peut utiliser diverses commandes pour afficher les valeurs et statistiques actuelles à l’échelle du système, de la table de routage et du protocole. Impossible d’afficher la configuration secrète.
`view-configuration`	Peut afficher toute la configuration, à l’exception des secrets, des scripts système et des options d’événements. REMARQUE : Seuls les utilisateurs autorisés peuvent afficher la configuration du script de validation, du script op ou du script d’événement `maintenance` .

Refuser ou autoriser des commandes individuelles et des hiérarchies d’instructions

Par défaut, toutes les commandes et instructions CLI de niveau supérieur sont associées à des niveaux de privilège d’accès. Les utilisateurs ne peuvent exécuter que ces commandes et afficher et configurer uniquement les instructions pour lesquelles ils disposent de privilèges d’accès. Pour chaque classe de connexion, vous pouvez explicitement refuser ou autoriser les utilisateurs à utiliser des commandes en mode opérationnel, des commandes en mode de configuration et des hiérarchies d’instructions de configuration qui sont autrement autorisées ou refusées par un bit d’autorisation.

Exemple : Créer des classes de connexion avec des privilèges spécifiques

Vous définissez des classes de connexion pour attribuer certaines autorisations ou restrictions à des groupes d’utilisateurs, en veillant à ce que les commandes sensibles ne soient accessibles qu’aux utilisateurs appropriés. Par défaut, les équipements Juniper Networks disposent de quatre types de classes de connexion avec des autorisations prédéfinies : en lecture seule, superutilisateur ou super-utilisateur et non autorisé.

Vous pouvez créer des classes de connexion personnalisées pour définir différentes combinaisons d’autorisations qui ne se trouvent pas dans les classes de connexion par défaut. L’exemple suivant montre trois classes de connexion personnalisées, chacune avec des privilèges et des minuteurs d’inactivité spécifiques. Les minuteries d’inactivité aident à protéger la sécurité du réseau en déconnectant un utilisateur du réseau s’il est inactif pendant trop longtemps. La déconnexion de l’utilisateur permet d’éviter les risques de sécurité potentiels qui surviennent lorsqu’un utilisateur laisse un compte sans surveillance connecté à un commutateur ou à un routeur. Les autorisations et les minuteries d’inactivité indiquées ici ne sont que des exemples ; Vous devez personnaliser les valeurs en fonction de votre organisation.

Les trois classes de connexion et leurs privilèges sont les suivants. Les trois classes de connexion utilisent le même minuteur d’inactivité de 5 minutes.

observation—Ne peut afficher que les statistiques et la configuration
operation: permet d’afficher et de modifier la configuration
engineering—Accès et contrôle illimités

Comprendre les privilèges d’accès exacts pour les classes de connexion

Les privilèges d’accès Exact Match vous permettent d’autoriser ou de refuser explicitement des chaînes de configuration exactes afin de définir des règles de contrôle d’accès pour les classes de connexion. À partir de Junos OS et de Junos OS Evolved version 23.4R1, vous pouvez utiliser les instructions de allow-configuration-exact-match configuration et deny-configuration-exact-match pour contrôler les privilèges d’accès exacts.

Avantages

Restreindre la suppression des hiérarchies de configuration de niveau supérieur tout en autorisant la suppression de sous-hiérarchies spécifiques. Cela permet d’obtenir des autorisations de commande plus ciblées.
Assurez-vous que set les commandes restent autorisées dans une hiérarchie même si la suppression est refusée. Cette séparation des autorisations set permet delete d’assouplir les contrôles d’accès.
Autorisez ou refusez les chaînes de commande de configuration précises, en plus des expressions régulières. Cela permet de configurer des règles d’accès très spécifiques en cas de besoin.
Tirez parti des règles d’autorisation avancées des serveurs TACACS+ externes, en plus des règles locales. Cela facilite la gestion centralisée des stratégies.

Vous pouvez configurer des privilèges d’accès de correspondance exacte à l’aide des allow-configuration-exact-match instructions de configuration et deny-configuration-exact-match au niveau de la [edit system login class name] hiérarchie. Utilisez des chaînes hiérarchiques commençant par l’un des opérateurs suivants :

set
delete
active
deactivate

Les caractères génériques sont également pris en charge. Par exemple, l’instruction deny-configuration-exact-match delete interfaces* utilise le caractère générique * pour spécifier toutes les interfaces.

Si delete ou deactivate est refusé pour une hiérarchie de configuration donnée, les set commandes or activate peuvent toujours être autorisées à l’aide allow-configuration-exact-matchde . Si vous configurez les deux allow-configuration-exact-match et deny-configuration-exact-match avec le même opérateur et la même configuration, l’accès à la configuration sera refusé.

Les nouvelles règles de correspondance exacte peuvent être configurées localement ou sur des serveurs TACACS+ externes.