Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Paramètres de connexion

Junos OS Permet de définir différents paramètres pour les utilisateurs lorsqu’ils se connectent à un appareil. Vous (l’administrateur système) pouvez configurer :

  • Messages ou annonces à afficher avant ou après la connexion
  • Indique s’il faut afficher les alarmes du système lors de la connexion
  • Conseils de connexion
  • Accès utilisateur basé sur le temps
  • Valeurs de délai d’expiration pour les sessions inactives
  • Limites du nombre de tentatives de connexion
  • Indique s’il faut verrouiller un compte d’utilisateur après un certain nombre de tentatives d’authentification infructueuses

Affichage d’une annonce ou d’un message de connexion au système

Parfois, vous souhaitez faire des annonces uniquement aux utilisateurs autorisés une fois qu’ils se sont connectés à un appareil. Par exemple, vous pouvez annoncer un événement de maintenance à venir. À d’autres moments, il peut être approprié d’afficher un message, tel qu’un avertissement de sécurité, à tout utilisateur qui se connecte à l’appareil.

Par défaut, Junos OS n’affiche aucun message ou annonce de connexion. Vous pouvez configurer l’appareil pour qu’il affiche un message ou une annonce de connexion en incluant l’instruction ou l’instruction messageannouncement au niveau de la [edit system login] hiérarchie. Alors que l’appareil affiche une connexion message après qu’un utilisateur se connecte à l’appareil mais avant que l’utilisateur ne se connecte, il affiche une announcement seule fois que l’utilisateur s’est connecté avec succès à l’appareil.

Vous pouvez mettre en forme le texte du message ou de l’annonce à l’aide des caractères spéciaux suivants. Si le texte contient des espaces, mettez-le entre guillemets :

  • \n—Nouvelle ligne

  • \t : onglet Horizontal (Horizontal)

  • \' : guillemet simple

  • \ » : guillemet double

  • \\—Barre oblique inverse

Pour configurer une annonce que seuls les utilisateurs autorisés peuvent voir et un message que tous les utilisateurs peuvent voir :

  1. Incluez l’instruction et l’instruction announcementmessage au niveau de la [edit system login] hiérarchie.

    Par exemple :

  2. Validez la configuration.
  3. Connectez-vous à l’appareil pour vérifier la présence du nouveau message.

    L’exemple de configuration précédent affiche le message de connexion suivant après que l’utilisateur s’est connecté à l’appareil. L’exemple affiche l’annonce une fois que l’utilisateur s’est connecté :

Affichage des alarmes du système lors de la connexion

Vous pouvez configurer les équipements Juniper Networks pour qu’ils exécutent la show system alarms commande chaque fois qu’un utilisateur d’une classe de connexion donnée se connecte à l’équipement.

Pour afficher des alarmes chaque fois qu’un utilisateur d’une classe de connexion spécifique se connecte à l’appareil :

  1. Configurez l’instruction login-alarms pour la classe de connexion appropriée.

    Par exemple, pour afficher des alarmes chaque fois qu’un utilisateur de la admin classe de connexion se connecte à l’appareil :

  2. Validez la configuration.

Lorsqu’un utilisateur de la classe de connexion donnée se connecte à l’appareil, celui-ci affiche les alarmes actuelles.

Configurer les conseils de connexion

Vous pouvez configurer l’interface de ligne de commande pour qu’elle affiche un pourboire chaque fois qu’un utilisateur de la classe de connexion donnée se connecte à l’appareil Junos OS . L’appareil n’affiche pas les pourboires par défaut.

Pour activer les pourboires :

  1. Configurez l’instruction login-tip au niveau de la [edit system login class class-name] hiérarchie.
  2. Validez la configuration.

Lorsque vous configurez l’instruction, l’appareil affiche une astuce à tout utilisateur de la classe spécifiée qui se connecte à l’appareil login-tip .

Configurer l’accès utilisateur basé sur le temps

Vous pouvez configurer les équipements Juniper Networks pris en charge pour appliquer un accès utilisateur basé sur le temps aux utilisateurs d’une classe donnée. L’accès utilisateur basé sur le temps limite l’heure et la durée des connexions utilisateur pour tous les utilisateurs appartenant à la classe. Vous pouvez restreindre l’accès des utilisateurs en fonction de l’heure de la journée ou du jour de la semaine.

Pour restreindre l’accès de l’utilisateur à certains jours ou heures, incluez les instructions suivantes au niveau de la [edit system login class class-name] hiérarchie :

  • allowed-days: configurez l’accès des utilisateurs à des jours spécifiques de la semaine.

  • access-start et : configurez l’accès de l’utilisateur entre l’heure de début et access-endl’heure de fin spécifiées (hh:mm).

Pour configurer l’accès utilisateur basé sur le temps :

  1. Activez l’accès certains jours de la semaine.

    Par exemple, pour configurer l’accès utilisateur à la operator-round-the-clock-access classe de connexion du lundi au vendredi sans aucune restriction de temps d’accès :

  2. Activez l’accès à des moments précis de la journée.

    Par exemple, pour configurer l’accès utilisateur à la classe de connexion de 8 h 30 à 16 h 30 tous les jours de la operator-day-shift-all-days-of-the-week semaine :

Vous pouvez également configurer l’accès pour inclure à la fois les jours et les heures. L’exemple suivant configure l’accès utilisateur pour la operator-day-shift classe de connexion les lundis, mercredis et vendredis de 8 h 30 à 16 h 30 :

Vous pouvez également spécifier l’heure de début et l’heure de fin de la connexion pour la operator-day-shift classe de connexion à l’aide du format suivant :

REMARQUE :

Les heures de début et de fin d’accès peuvent s’étendre sur 12h00 un jour donné. Dans ce cas, l’utilisateur y a toujours accès jusqu’au lendemain, même si vous ne configurez pas explicitement ce jour dans l’instruction allowed-days .

Configurer la valeur du délai d’expiration pour les sessions de connexion inactives

Une session de connexion inactive est une session dans laquelle l’interface de ligne de commande affiche l’invite du mode de fonctionnement ou du mode de configuration, mais il n’y a pas d’entrée du clavier. Par défaut, une session de connexion reste établie jusqu’à ce qu’un utilisateur se déconnecte de l’appareil, même si cette session est inactive. Pour fermer automatiquement les sessions inactives, vous devez configurer une limite de temps pour chaque classe de connexion. Si une session établie par un utilisateur de cette classe reste inactive pendant la limite de temps configurée, la session se ferme automatiquement. La fermeture automatique des sessions de connexion inactives permet d’empêcher les utilisateurs malveillants d’accéder à l’appareil et d’effectuer des opérations avec un compte d’utilisateur autorisé.

Vous ne pouvez configurer un délai d’inactivité que pour les classes définies par l’utilisateur. Vous ne pouvez pas configurer cette option pour les classes prédéfinies du système : operator, , super-user ou superuser, read-onlyet unauthorized.

Pour définir la valeur du délai d’expiration pour les sessions de connexion inactives :

  1. Spécifiez le nombre de minutes pendant lesquelles une session peut être inactive avant que le système ne ferme automatiquement la session.

    Par exemple, pour déconnecter automatiquement les sessions inactives des utilisateurs de la admin classe au bout d’un quart d’heure :

  2. Validez la configuration.

Si vous configurez une valeur de délai d’expiration, l’interface de ligne de commande affiche des messages similaires aux suivants lors de l’expiration du délai d’attente d’un utilisateur inactif. La CLI commence à afficher ces messages 5 minutes avant de déconnecter l’utilisateur.

Si vous configurez un délai d’expiration, la session se ferme après l’expiration du délai spécifié, sauf dans les cas suivants :

  • L’utilisateur exécute la ssh commande ou telnet .

  • L’utilisateur est connecté à l’interpréteur de commandes UNIX local.

  • L’utilisateur surveille les interfaces à l’aide de la commande ou de la monitor interfacemonitor traffic commande.

Options de nouvelle tentative de connexion

Vous pouvez configurer les options de nouvelle tentative de connexion sur les équipements réseau Juniper afin de les protéger des utilisateurs malveillants. Vous pouvez configurer les options suivantes :

  • Nombre de fois qu’un utilisateur peut entrer des identifiants de connexion non valides avant que le système ne ferme la connexion.

  • Si et pendant combien de temps verrouiller un compte d’utilisateur une fois que l’utilisateur a atteint le seuil des tentatives d’authentification infructueuses.

Limiter les tentatives de connexion et verrouiller le compte d’utilisateur permet de protéger l’appareil contre les utilisateurs malveillants qui tentent d’accéder au système en devinant le mot de passe d’un compte d’utilisateur autorisé. Vous pouvez déverrouiller le compte d’utilisateur ou définir une période pendant laquelle le compte d’utilisateur doit rester verrouillé.

Vous configurez les options de nouvelle tentative de connexion au niveau de la [edit system login retry-options] hiérarchie. L’instruction tries-before-disconnect définit le seuil de tentatives de connexion infructueuses avant que l’appareil ne déconnecte l’utilisateur. L’appareil autorise trois tentatives de connexion infructueuses par défaut.

L’instruction lockout-period indique à l’appareil de verrouiller le compte d’utilisateur pendant la durée spécifiée si l’utilisateur atteint le seuil de tentatives de connexion infructueuses. Le verrou empêche l’utilisateur d’effectuer des activités nécessitant une authentification jusqu’à ce que la période de verrouillage soit écoulée ou qu’un administrateur système efface manuellement le verrou. Tous les verrous existants sont ignorés lorsque l’utilisateur tente de se connecter à partir de la console locale.

Pour configurer les options de nouvelle tentative de connexion :

  1. Configurez le nombre de tentatives de saisie d’un mot de passe par un utilisateur.

    Par exemple, pour permettre à un utilisateur d’entrer un mot de passe quatre fois avant que l’appareil ne ferme la connexion :

  2. Configurez le nombre de minutes pendant lesquelles le compte d’utilisateur reste verrouillé une fois qu’un utilisateur a atteint le seuil des tentatives de connexion infructueuses.

    Par exemple, pour verrouiller un compte d’utilisateur pendant 120 minutes après qu’un utilisateur a atteint le seuil des tentatives de connexion infructueuses :

  3. Validez la configuration.

REMARQUE :

Pour effacer la console lors d’une déconnexion initiée par l’administrateur, incluez des caractères de nouvelle ligne (\n) lorsque vous configurez l’instruction message au niveau de la [edit system login] hiérarchie. Pour effacer complètement la console, l’administrateur peut entrer 50 caractères \n ou plus dans la chaîne de message. Par exemple :

Limiter le nombre de tentatives de connexion des utilisateurs pour les sessions SSH et Telnet

Vous pouvez limiter le nombre de tentatives de saisie d’un mot de passe par un utilisateur lorsqu’il se connecte à un appareil via SSH ou Telnet. L’appareil met fin à la connexion si un utilisateur ne parvient pas à se connecter après le nombre de tentatives spécifié. Vous pouvez également spécifier un délai, en secondes, avant qu’un utilisateur puisse essayer de saisir un mot de passe après une tentative infructueuse. En outre, vous pouvez spécifier le seuil du nombre de tentatives infructueuses avant que l’utilisateur ne subisse un délai pour pouvoir saisir à nouveau un mot de passe.

Pour spécifier le nombre de tentatives qu’un utilisateur peut saisir un mot de passe lors de la connexion, incluez l’instruction retry-options au niveau de la [edit system login] hiérarchie :

Vous pouvez configurer les options suivantes :

  • tries-before-disconnect: nombre maximal de fois qu’un utilisateur peut saisir un mot de passe lorsqu’il se connecte à l’appareil via SSH ou Telnet. La connexion se ferme si un utilisateur ne parvient pas à se connecter après le numéro spécifié. La plage est comprise entre 1 et 10 et la valeur par défaut est 3.

  • backoff-threshold: seuil du nombre de tentatives de connexion infructueuses avant que l’utilisateur ne subisse un délai pour pouvoir saisir à nouveau un mot de passe. La plage est comprise entre 1 et 3 et la valeur par défaut est 2. Utilisez l’option backoff-factor pour spécifier la durée du délai.

  • backoff-factor: durée, en secondes, pendant laquelle l’utilisateur doit attendre après l’échec d’une tentative de connexion au-dessus de .backoff-threshold Le délai augmente de la valeur spécifiée pour chaque tentative suivante après la backoff-threshold valeur. La plage est comprise entre 5 et 10 et la valeur par défaut est de 5 secondes.

  • lockout-period: durée, en minutes, pendant laquelle un compte d’utilisateur est verrouillé après avoir atteint le tries-before-disconnect seuil. La plage est comprise entre 1 et 43 200 minutes.

  • maximum-time seconds: durée maximale, en secondes, pendant laquelle la connexion reste ouverte pour que l’utilisateur puisse saisir un nom d’utilisateur et un mot de passe pour se connecter. Si l’utilisateur reste inactif et ne saisit pas de nom d’utilisateur et de mot de passe dans le , maximum-timela connexion se ferme. La plage est comprise entre 20 et 300 secondes, et la valeur par défaut est de 120 secondes.

  • minimum-time: durée minimale, en secondes, pendant laquelle une connexion reste ouverte pendant qu’un utilisateur tente d’entrer un mot de passe correct. La plage est comprise entre 20 et 60 et la valeur par défaut est de 20 secondes.

Limiter le nombre de tentatives de connexion SSH et Telnet par utilisateur est l’une des méthodes les plus efficaces pour empêcher les attaques par force brute de compromettre la sécurité de votre réseau. Les attaquants par force brute exécutent un grand nombre de tentatives de connexion dans un court laps de temps pour accéder illégitimement à un réseau privé. En configurant les retry-options instructions, vous pouvez créer un délai croissant après chaque tentative de connexion infructueuse, déconnectant éventuellement tout utilisateur qui dépasse le seuil de tentatives de connexion que vous avez défini.

Pour limiter les tentatives de connexion lorsqu’un utilisateur se connecte via SSH ou Telnet :

  1. Configurez la limite du nombre de tentatives de connexion.
  2. Configurez le nombre de tentatives de connexion avant que l’utilisateur ne subisse un retard.
  3. Configurez le nombre de secondes pendant lesquelles l’utilisateur doit attendre l’invite de connexion après avoir atteint la backoff-threshold valeur.
  4. Configurez le nombre de secondes pendant lesquelles la connexion reste ouverte pendant qu’un utilisateur tente de se connecter.

Pour la configuration suivante, l’utilisateur subit un délai de 5 secondes après l’échec de la deuxième tentative de saisie d’un mot de passe correct. Après chaque tentative infructueuse, le délai augmente de 5 secondes. Après la quatrième et dernière tentative infructueuse de saisie d’un mot de passe correct, l’utilisateur subit un délai supplémentaire de 10 secondes. La connexion se ferme après un total de 40 secondes.

Exemple : Configurer les options de nouvelle tentative de connexion

Cet exemple montre comment configurer les options de nouvelle tentative de connexion pour protéger un appareil contre les utilisateurs malveillants.

Conditions préalables

Avant de commencer, vous devez comprendre Limiter le nombre de tentatives de connexion des utilisateurs pour les sessions SSH et Telnet.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Présentation

Les utilisateurs malveillants tentent parfois de se connecter à un appareil sécurisé en devinant le mot de passe d’un compte d’utilisateur autorisé. Vous pouvez verrouiller un compte d’utilisateur après un certain nombre de tentatives d’authentification infructueuses. Cette précaution permet de protéger les appareils contre les utilisateurs malveillants.

Vous pouvez configurer le nombre de tentatives de connexion infructueuses avant que l’appareil ne verrouille le compte d’utilisateur, ainsi que la durée pendant laquelle le compte reste verrouillé. Vous pouvez également configurer le temps que l’utilisateur doit attendre entre les tentatives de connexion infructueuses.

REMARQUE :

Cet exemple inclut les paramètres suivants :

  • backoff-factor: durée du délai en secondes que l’utilisateur doit attendre après chaque tentative de connexion infructueuse au-dessus de la valeur backoff-threshold. Le délai augmente de cette valeur pour chaque tentative de connexion suivante après la valeur spécifiée dans l’instruction backoff-threshold .

  • backoff-threshold: seuil du nombre de tentatives de connexion infructueuses sur l’appareil avant que l’utilisateur ne subisse un délai lorsqu’il tente de saisir à nouveau un mot de passe. Lorsqu’un utilisateur atteint le seuil des tentatives de connexion infructueuses, il subit le délai défini dans l’instruction backoff-factor . Après ce délai, l’utilisateur peut effectuer une autre tentative de connexion.

  • lockout-period: nombre de minutes pendant lesquelles le compte d’utilisateur est verrouillé une fois que l’utilisateur a atteint le tries-before-disconnect seuil. L’utilisateur doit attendre le nombre de minutes configuré avant de pouvoir se reconnecter à l’appareil.

  • tries-before-disconnect: nombre maximal de fois que l’utilisateur peut entrer un mot de passe pour tenter de se connecter à l’appareil via SSH ou Telnet.

REMARQUE :

Si l’accès de l’appareil est verrouillé, vous pouvez vous connecter au port de console de l’appareil, qui ignore les verrous utilisateur. Cela permet aux administrateurs de supprimer le verrou d’utilisateur sur leur propre compte d’utilisateur.

Dans cet exemple, l’option tries-before-disconnect est définie sur 3. Par conséquent, l’utilisateur dispose de trois tentatives pour se connecter à l’appareil. Si le nombre de tentatives de connexion infructueuses est égal à la valeur spécifiée dans l’instruction, l’utilisateur doit attendre le backoff-threshold multiplié par l’intervalle, en secondes, pour obtenir l’invite backoff-thresholdbackoff-factor de connexion. Dans cet exemple, l’utilisateur doit attendre 5 secondes après la première tentative de connexion infructueuse et 10 secondes après la deuxième tentative de connexion infructueuse pour obtenir l’invite de connexion. L’appareil déconnecte l’utilisateur après la troisième tentative infructueuse.

Si l’utilisateur ne parvient pas à se connecter après trois tentatives, le compte utilisateur est verrouillé. L’utilisateur ne peut pas se connecter tant que 120 minutes ne se sont pas écoulées, à moins qu’un administrateur système n’efface manuellement le verrou pendant ce temps.

Un administrateur système peut déverrouiller manuellement un compte en exécutant la clear system login lockout user <username> commande. La show system login lockout commande affiche quels comptes d’utilisateur sont verrouillés et quand la période de verrouillage commence et se termine pour chaque utilisateur.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

Pour configurer les options de nouvelle tentative du système :

  1. Configurez le facteur d’interruption.

  2. Configurez le seuil d’interruption.

  3. Configurez le nombre de minutes pendant lesquelles le compte d’utilisateur reste verrouillé une fois qu’un utilisateur a atteint le seuil des tentatives de connexion infructueuses.

  4. Configurez le nombre de tentatives de saisie d’un mot de passe par un utilisateur.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show system login retry-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Afficher les identifiants d’utilisateur verrouillés

But

Vérifiez que la configuration de verrouillage de connexion est activée.

Action

Essayez trois connexions infructueuses pour un nom d’utilisateur particulier. L’appareil sera verrouillé pour ce nom d’utilisateur. Connectez-vous ensuite à l’appareil avec un autre nom d’utilisateur. À partir du mode opérationnel, exécutez la show system login lockout commande pour afficher les comptes verrouillés.

Sens

Après avoir effectué trois tentatives de connexion infructueuses avec un nom d’utilisateur particulier, l’appareil est verrouillé pour cet utilisateur pendant 120 minutes, comme configuré dans l’exemple. Vous pouvez vérifier que l’appareil est verrouillé pour cet utilisateur en vous connectant à l’appareil avec un autre nom d’utilisateur et en entrant la show system login lockout commande.