Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Paramètres de connexion

Junos OS vous permet de définir différents paramètres pour les utilisateurs lorsqu’ils se connectent à un équipement. Vous (l’administrateur système) pouvez configurer :

  • Messages ou annonces à afficher avant ou après la connexion
  • Si vous souhaitez afficher les alarmes du système lors de la connexion
  • Conseils de connexion
  • Accès utilisateur basé sur le temps
  • Valeurs de délai d’expiration pour les sessions inactifs
  • Limites du nombre de tentatives de connexion
  • Verrouillage d’un compte utilisateur après un certain nombre de tentatives d’authentification infructuées

Affichez un message ou une annonce de connexion au système

Parfois, vous souhaitez faire des annonces uniquement aux utilisateurs autorisés après qu’ils se sont connectés à un équipement. Par exemple, vous pouvez annoncer un prochain événement de maintenance. À d’autres moments, il peut être approprié d’afficher un message, tel qu’un avertissement de sécurité, à tout utilisateur qui se connecte à l’équipement.

Par défaut, n’affiche Junos OS aucun message de connexion ou annonce. Vous pouvez configurer l’équipement pour qu’il affiche un message de connexion ou une annonce en incluant l’instruction message ou l’instruction announcement au niveau de la [edit system login] hiérarchie. Alors que l’équipement affiche une connexion message après qu’un utilisateur s’est connecté à l’équipement, mais avant qu’il ne se connecte, il affiche une announcement seule fois que l’utilisateur s’est connecté à l’équipement avec succès.

Vous pouvez mettre en forme le message ou le texte d’annonce à l’aide des caractères spéciaux suivants. Si le texte contient des espaces, joignez-le entre guillemets :

  • \n — Nouvelle ligne

  • \t — Onglet horizontal

  • \'— Un seul point de citation

  • \"— Double guillemet

  • \\— Backslash

Pour configurer une annonce que seuls les utilisateurs autorisés peuvent voir et un message que n’importe quel utilisateur peut voir :

  1. Incluez l’instruction announcement et l’instruction message au niveau de la [edit system login] hiérarchie.

    Par exemple :

  2. Validez la configuration.
  3. Connectez-vous à l’équipement pour vérifier la présence du nouveau message.

    L’exemple de configuration précédent affiche le message de connexion suivant après que l’utilisateur se soit connecté à l’équipement. L’exemple affiche l’annonce après la connexion de l’utilisateur :

Affichez les alarmes système lors de la connexion

Vous pouvez configurer les équipements Juniper Networks pour qu’ils exécutent la show system alarms commande chaque fois qu’un utilisateur d’une classe de connexion donnée se connecte à l’équipement.

Pour afficher des alarmes chaque fois qu’un utilisateur d’une classe de connexion spécifique se connecte à l’équipement :

  1. Configurez l’instruction login-alarms pour la classe de connexion appropriée.

    Par exemple, pour afficher des alarmes chaque fois qu’un utilisateur de la admin classe de connexion se connecte à l’équipement :

  2. Validez la configuration.

Lorsqu’un utilisateur de la classe de connexion donnée se connecte à l’équipement, l’équipement affiche les alarmes actuelles.

Configurer les conseils de connexion

Vous pouvez configurer la Junos OS CLI pour qu’elle affiche un conseil chaque fois qu’un utilisateur de la classe de connexion donnée se connecte à l’équipement. L’équipement n’affiche pas de conseils par défaut.

Pour activer des conseils :

  1. Configurez l’instruction login-tip au niveau de la [edit system login class class-name] hiérarchie.
  2. Validez la configuration.

Lorsque vous configurez l’instruction login-tip , l’équipement affiche un conseil à n’importe quel utilisateur de la classe spécifiée qui se connecte à l’équipement.

Configurer l’accès utilisateur en fonction du temps

Vous pouvez configurer les équipements Juniper Networks pris en charge pour appliquer un accès utilisateur basé sur le temps pour les utilisateurs d’une classe donnée. L’accès utilisateur basé sur le temps limite le temps et la durée des connexions utilisateur pour tous les utilisateurs appartenant à la classe. Vous pouvez restreindre l’accès des utilisateurs en fonction de l’heure du jour ou du jour de la semaine.

Pour restreindre l’accès des utilisateurs à certains jours ou heures, incluez les déclarations suivantes au niveau de la [edit system login class class-name] hiérarchie :

  • allowed-days— Configurez l’accès des utilisateurs sur des jours spécifiques de la semaine.

  • access-start et access-end: configurez l’accès utilisateur entre l’heure de début et l’heure de fin spécifiée (hh:mm).

Pour configurer l’accès utilisateur basé sur le temps :

  1. Activez l’accès à certains jours de la semaine.

    Par exemple, pour configurer l’accès utilisateur pour la operator-round-the-clock-access classe de connexion du lundi au vendredi sans aucune restriction sur le temps d’accès :

  2. Activez l’accès à des moments précis de la journée.

    Par exemple, pour configurer l’accès utilisateur pour la operator-day-shift-all-days-of-the-week classe de connexion de 8 h 30 à 16 h 30 tous les jours de la semaine :

Vous pouvez également configurer l’accès pour inclure les jours et les heures. L’exemple suivant configure l’accès utilisateur pour la operator-day-shift classe de connexion les lundis, mercredis et vendredis de 8 h 30 à 16 h 30 :

Vous pouvez également spécifier l’heure de début et l’heure de fin de connexion pour la operator-day-shift classe de connexion en utilisant le format suivant :

REMARQUE :

Les heures de début et de fin d’accès peuvent s’étendre à 0 h 00 un jour donné. Dans ce cas, l’utilisateur a encore accès jusqu’au jour suivant, même si vous ne configurez pas explicitement ce jour dans l’instruction allowed-days .

Configurer la valeur du délai d’expiration pour les sessions de connexion inactives

Une session de connexion inactif est une session dans laquelle l’interface cli affiche l’invite du mode opérationnel ou du mode de configuration, mais il n’y a pas d’entrée du clavier. Par défaut, une session de connexion reste établie jusqu’à ce qu’un utilisateur se déconnecte de l’équipement, même si cette session est inactive. Pour fermer automatiquement les sessions inactives, vous devez configurer une limite de temps pour chaque classe de connexion. Si une session établie par un utilisateur de cette classe reste inactive pendant la limite de temps configurée, la session se termine automatiquement. La fermeture automatique des sessions de connexion inactives permet d’empêcher les utilisateurs malveillants d’accéder à l’équipement et d’effectuer des opérations avec un compte utilisateur autorisé.

Vous pouvez configurer un délai d’inactivité uniquement pour les classes définies par l’utilisateur. Vous ne pouvez pas configurer cette option pour les classes prédéfinies du système : operator, read-onlyou super-user , et superuserunauthorized.

Pour définir la valeur du délai d’expiration des sessions de connexion inactifs :

  1. Spécifiez le nombre de minutes d’inactivité d’une session avant que le système ne la ferme automatiquement.

    Par exemple, pour déconnecter automatiquement les sessions inactifs des utilisateurs de la admin classe après une quinzaine de minutes :

  2. Validez la configuration.

Si vous configurez une valeur de délai d’expiration, la CLI affiche des messages similaires à ceux qui suivent lorsque vous horodatez un utilisateur inactif. L’interface CLI commence à afficher ces messages 5 minutes avant de déconnecter l’utilisateur.

Si vous configurez une valeur de délai d’expiration, la session se termine après l’expiration du temps spécifié, sauf dans les cas suivants :

  • L’utilisateur exécute la ssh commande ou telnet .

  • L’utilisateur est connecté au shell UNIX local.

  • L’utilisateur surveille les interfaces à l’aide de la monitor interface ou de la monitor traffic commande.

Options de tentative de connexion

Vous pouvez configurer des options de nouvelle tentative de connexion sur les équipements Juniper Network pour les protéger contre les utilisateurs malveillants. Vous pouvez configurer les options suivantes :

  • Nombre de fois qu’un utilisateur peut saisir des informations d’identification non valides avant que le système ne ferme la connexion.

  • Si et pendant combien de temps pour verrouiller un compte utilisateur après que l’utilisateur a atteint le seuil de tentatives d’authentification infructuées.

En limitant les tentatives de connexion et en verrouillant le compte utilisateur, l’équipement est protégé contre les utilisateurs malveillants qui tentent d’accéder au système en devinant le mot de passe d’un compte utilisateur autorisé. Vous pouvez déverrouiller le compte utilisateur ou définir une période de verrouillage du compte utilisateur.

Vous configurez les options de tentative de connexion au niveau de la [edit system login retry-options] hiérarchie. L’instruction tries-before-disconnect définit le seuil d’échec des tentatives de connexion avant que l’équipement ne déconnecte l’utilisateur. L’équipement permet trois tentatives de connexion infructueuses par défaut.

L’instruction lockout-period indique à l’équipement de verrouiller le compte utilisateur pendant la durée spécifiée si l’utilisateur atteint le seuil de tentatives de connexion infructueuses. Le verrouillage empêche l’utilisateur d’effectuer des activités qui nécessitent une authentification, jusqu’à ce que la période de verrouillage s’est écoulée ou qu’un administrateur système efface manuellement le verrouillage. Tous les verrous existants sont ignorés lorsque l’utilisateur tente de se connecter à partir de la console locale.

Pour configurer les options de nouvelle tentative de connexion :

  1. Configurez le nombre de fois qu’un utilisateur peut tenter de saisir un mot de passe.

    Par exemple, pour permettre à un utilisateur d’entrer un mot de passe quatre fois avant que l’équipement ne ferme la connexion :

  2. Configurez le nombre de minutes pendant que le compte utilisateur reste verrouillé une fois qu’un utilisateur a atteint le seuil de tentatives de connexion infructuées.

    Par exemple, pour verrouiller un compte utilisateur pendant 120 minutes après qu’un utilisateur a atteint le seuil de tentatives de connexion infructuées :

  3. Validez la configuration.

REMARQUE :

Pour effacer la console lors d’une déconnexion initiée par l’administrateur, ajoutez des caractères de nouvelle ligne (\n) lorsque vous configurez l’instruction message au niveau de la [edit system login] hiérarchie. Pour vider complètement la console, l’administrateur peut saisir 50 caractères \n ou plus dans la chaîne de message. Par exemple :

Limiter le nombre de tentatives de connexion utilisateur pour les sessions SSH et Telnet

Vous pouvez limiter le nombre de fois qu’un utilisateur peut tenter d’entrer un mot de passe lorsqu’il se connecte à un équipement via SSH ou Telnet. L’équipement termine la connexion si un utilisateur ne parvient pas à se connecter après le nombre de tentatives spécifiées. Vous pouvez également spécifier un délai, en quelques secondes, avant qu’un utilisateur ne puisse tenter de saisir un mot de passe après une tentative infructuante. En outre, vous pouvez spécifier le seuil du nombre de tentatives infructuées avant que l’utilisateur ne soit en mesure de saisir à nouveau un mot de passe.

Pour spécifier le nombre de fois qu’un utilisateur peut tenter d’entrer un mot de passe lors de la connexion, incluez l’instruction retry-options au niveau de la [edit system login] hiérarchie :

Vous pouvez configurer les options suivantes :

  • tries-before-disconnect— Nombre maximum de fois qu’un utilisateur peut saisir un mot de passe lorsqu’il se connecte à l’équipement via SSH ou Telnet. La connexion se ferme si un utilisateur ne parvient pas à se connecter après le nombre spécifié. La plage est de 1 à 10, et la valeur par défaut est 3.

  • backoff-threshold— Seuil du nombre de tentatives d’identification infructuées avant que l’utilisateur ne puisse saisir à nouveau un mot de passe. La plage est de 1 à 3, et la valeur par défaut est 2. Utilisez l’option backoff-factor pour spécifier la durée du délai.

  • backoff-factor— En quelques secondes, l’utilisateur doit attendre après une tentative de connexion échouée au-dessus du .backoff-threshold Le délai augmente de la valeur spécifiée pour chaque tentative ultérieure après la backoff-threshold valeur. La plage est de 5 à 10, et la valeur par défaut est de 5 secondes.

  • lockout-period— Durée de verrouillage d’un compte utilisateur en quelques minutes après avoir atteint le tries-before-disconnect seuil. La portée est de 1 à 43 200 minutes.

  • maximum-time seconds— La connexion reste ouverte en quelques secondes maximum pour permettre à l’utilisateur d’entrer un nom d’utilisateur et un mot de passe pour se connecter. Si l’utilisateur reste inactif et ne saisit pas de nom d’utilisateur et de mot de passe dans la configuration maximum-time, la connexion se ferme. La plage est de 20 à 300 secondes, et la valeur par défaut est de 120 secondes.

  • minimum-time— Durée minimale d’ouverture d’une connexion (en quelques secondes) pendant qu’un utilisateur tente d’entrer un mot de passe correct. La plage est de 20 à 60, et la valeur par défaut est de 20 secondes.

Limiter le nombre de tentatives de connexion SSH et Telnet par utilisateur est l’une des méthodes les plus efficaces pour empêcher les attaques par force brute de compromettre la sécurité de votre réseau. Les attaquants par force brute exécutent un grand nombre de tentatives de connexion dans un court laps de temps pour accéder de manière illégitime à un réseau privé. En configurant les instructions, vous pouvez augmenter le retry-options délai après chaque tentative de connexion infructuée, ce qui finit par déconnecter tout utilisateur qui dépasse le seuil défini de tentatives de connexion.

Pour limiter les tentatives de connexion lorsqu’un utilisateur se connecte via SSH ou Telnet :

  1. Configurez la limite du nombre de tentatives de connexion.
  2. Configurez le nombre de tentatives de connexion avant que l’utilisateur ne soit retardé.
  3. Configurez le nombre de secondes que l’utilisateur doit attendre l’invite de connexion après avoir atteint la backoff-threshold valeur.
  4. Configurez le nombre de secondes pendant que la connexion reste ouverte pendant qu’un utilisateur tente de se connecter.

Pour la configuration suivante, l’utilisateur subit un délai de 5 secondes après l’échec de la deuxième tentative de saisie d’un mot de passe correct. Après chaque tentative infructuante, le délai augmente de 5 secondes. Après la quatrième et dernière tentative infructuée de saisir un mot de passe correct, l’utilisateur subit un délai supplémentaire de 10 secondes. La connexion se ferme au bout de 40 secondes.

Exemple : Configurer les options de nouvelle tentative de connexion

Cet exemple montre comment configurer des options de nouvelle tentative de connexion pour protéger un équipement contre les utilisateurs malveillants.

Conditions préalables

Avant de commencer, vous devez comprendre Limiter le nombre de tentatives de connexion utilisateur pour les sessions SSH et Telnet.

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.

Présentation

Les utilisateurs malveillants tentent parfois de se connecter à un équipement sécurisé en devinant le mot de passe d’un compte utilisateur autorisé. Vous pouvez verrouiller un compte utilisateur après un certain nombre de tentatives d’authentification infructuées. Cette précaution aide à protéger les appareils contre les utilisateurs malveillants.

Vous pouvez configurer le nombre de tentatives de connexion infructuées avant que l’équipement ne verrouille le compte utilisateur, et vous pouvez configurer le temps pendant lequel le compte reste verrouillé. Vous pouvez également configurer le temps d’attente que l’utilisateur doit attendre entre les tentatives de connexion infructuées.

REMARQUE :

Cet exemple inclut les paramètres suivants :

  • backoff-factor— Durée du délai en quelques secondes que l’utilisateur doit attendre après chaque tentative de connexion échouée au-dessus du .backoff-threshold Le délai augmente de cette valeur pour chaque tentative de connexion ultérieure après la valeur spécifiée dans l’instruction backoff-threshold .

  • backoff-threshold— Seuil pour le nombre de tentatives de connexion infructuées sur l’équipement avant que l’utilisateur ne rencontre un retard lors de la tentative de réentration d’un mot de passe. Lorsqu’un utilisateur atteint le seuil de tentatives de connexion infructuées, il subit le délai défini dans l’instruction backoff-factor . Après le délai, l’utilisateur peut faire une autre tentative de connexion.

  • lockout-period— Nombre de minutes que le compte d’utilisateur est verrouillé une fois que l’utilisateur a atteint le tries-before-disconnect seuil. L’utilisateur doit attendre le nombre de minutes configuré avant de pouvoir se connecter à nouveau à l’équipement.

  • tries-before-disconnect— Nombre maximum de fois que l’utilisateur peut saisir un mot de passe pour tenter de se connecter à l’équipement via SSH ou Telnet.

REMARQUE :

Si vous n’êtes pas connecté à l’équipement, vous pouvez vous connecter au port de la console de l’équipement, qui ignore les verrous de l’utilisateur. Les administrateurs peuvent ainsi supprimer le verrouillage de leur propre compte utilisateur.

Cet exemple définit l’option tries-before-disconnect 3. En conséquence, l’utilisateur a trois tentatives pour se connecter à l’équipement. Si le nombre de tentatives de connexion infructuées est égal à la valeur spécifiée dans l’instruction backoff-threshold , l’utilisateur doit attendre le multiplié par l’intervalle backoff-thresholdbackoff-factor , en quelques secondes, pour obtenir l’invite de connexion. Dans cet exemple, l’utilisateur doit attendre 5 secondes après la première tentative de connexion échouée et 10 secondes après la deuxième tentative de connexion échouée pour obtenir l’invite de connexion. L’équipement déconnecte l’utilisateur après la troisième tentative infructuée.

Si l’utilisateur ne parvient pas à se connecter après trois tentatives, le compte utilisateur est verrouillé. L’utilisateur ne peut pas se connecter avant que 120 minutes ne se soient écoulées, à moins qu’un administrateur système ne l’efface manuellement pendant ce temps.

Un administrateur système peut déverrouiller manuellement un compte en émettant la clear system login lockout user <username> commande. La show system login lockout commande affiche les comptes d’utilisateur verrouillés et le début et la fin de la période de verrouillage pour chaque utilisateur.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Pour configurer les options de nouvelle tentative du système :

  1. Configurez le facteur de retour.

  2. Configurez le seuil de backoff.

  3. Configurez le nombre de minutes pendant que le compte utilisateur reste verrouillé une fois qu’un utilisateur a atteint le seuil de tentatives de connexion infructuées.

  4. Configurez le nombre de fois qu’un utilisateur peut tenter de saisir un mot de passe.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show system login retry-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Afficher les connexions des utilisateurs verrouillées

But

Vérifiez que la configuration du verrouillage de connexion est activée.

Action

Essayez trois connexions infructueuses pour un nom d’utilisateur particulier. L’équipement sera verrouillé pour ce nom d’utilisateur. Connectez-vous ensuite à l’équipement avec un autre nom d’utilisateur. À partir du mode opérationnel, émettez la show system login lockout commande pour afficher les comptes verrouillés.

Sens

Après avoir effectué trois tentatives de connexion infructueuses avec un nom d’utilisateur particulier, l’équipement est verrouillé pour cet utilisateur pendant 120 minutes, comme configuré dans l’exemple. Vous pouvez vérifier que l’équipement est verrouillé pour cet utilisateur en vous connectant à l’équipement avec un autre nom d’utilisateur et en entrant la show system login lockout commande.