Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS de connexion

Junos OS vous permet de spécifier divers paramètres pour les utilisateurs une fois connectés. Vous pouvez définir les informations à notifier pour les utilisateurs une fois connectés, afficher les alarmes système, fournir des conseils de connexion ou spécifier un accès utilisateur en fonction de l’heure et limiter le nombre de tentatives de connexion. Pour plus d’informations, lisez ce sujet.

Configuration des Junos OS pour afficher une annonce de connexion au système

Parfois, vous souhaitez faire des annonces uniquement pour les utilisateurs autorisés une fois connectés. Par exemple, vous pouvez annoncer un prochain événement de maintenance.

Vous pouvez formater l’annonce en utilisant les caractères spéciaux suivants:

  • \n— Nouvelle ligne

  • \t— Onglet horizontal

  • \'— Guillemet unique

  • \"— Double guillemet

  • \\—Lash

Si le texte du message contient des espaces, enfermables dans des guillemets.

Par défaut, aucune annonce de connexion n’est affichée.

Pour configurer une annonce visible uniquement par les utilisateurs autorisés:

  1. Inclure announcement l’énoncé dans la [edit system login] configuration.

    Quelques chiffres clés :

  2. Valider la configuration.
  3. Connectez-vous à l’équipement dans une nouvelle session pour vérifier la présence de la nouvelle bannière.

    L’exemple de configuration du message de connexion précédent produit un message de connexion similaire à celui suivant:

Si le texte de l’annonce contient des espaces, joindre le texte dans des guillemets.

Une annonce de connexion au système s’affiche après la connexion de l’utilisateur. Un message de connexion au système s’affiche avant que l’utilisateur ne se connecte.

Conseil :

Vous pouvez utiliser les mêmes caractères spéciaux décrits pour la mise en forme de votre annonce de connexion au système.

La configuration des alarmes système pour s’affiche automatiquement lors de la connexion

Vous pouvez configurer Juniper Networks routeurs et commutateurs pour exécuter la commande chaque fois qu’un utilisateur se connecte au routeur ou au commutateur avec les journaux de classe show system alarmsadmin de connexion. Pour ce faire, inclure login-alarms l’instruction au niveau [edit system login class admin] de la hiérarchie.

Pour plus d’informations sur show system alarms la commande, consultez le CLI Explorer.

Conseils de configuration de connexion

La Junos OS CLI fournit la possibilité de configurer des conseils de connexion pour l’utilisateur. Par défaut, la tip commande n’est pas activée lorsqu’un utilisateur se connecte.

  • Pour activer les conseils, inclure login-tip l’instruction au niveau [edit system login class class-name] de la hiérarchie:

L’ajout de cette instruction permet d’activer la commande pour la classe spécifiée, à condition que les journaux tip utilisateurs utilisent CLI.

Exemples: Configuration de l’accès utilisateur en fonction de l’heure

L’exemple suivant indique comment configurer l’accès des utilisateurs au cours de connexion du lundi au vendredi, sans restriction sur les durées d’accès ou operator-round-the-clock-access la durée de la connexion:

L’exemple suivant montre comment configurer l’accès des utilisateurs au cours de connexion le lundi, le mercredi et le vendredi de 8 h operator-day-shift 30 à 16 h 30:

Vous pouvez également spécifier l’heure de début et l’heure de fin du cours de connexion de 8 h operator-day-shift 30 à 16 h 30 au format suivant:

L’exemple suivant montre comment configurer l’accès utilisateur au cours de connexion à tous les jours de la semaine, de 8 h operator-day-shift-all-days-of-the-week 30 à 16 h 30:

Configuration de la valeur de délai d’attente pour les sessions de connexion au ralenti

Une session de connexion au ralenti est une session dans laquelle l’invite CLI en mode opérationnel est affichée, mais aucune entrée du clavier n’est en place. Par défaut, une session de connexion reste établie jusqu’à ce qu’un utilisateur se déconnecte du routeur ou du commutateur, même si cette session est inactive. Pour fermer automatiquement les sessions au ralenti, vous devez configurer un délai limité pour chaque classe de connexion. Si une session établie par un utilisateur de cette classe reste en veille pour la durée limite configurée, la session se ferme automatiquement. Idle-timeout ne peut être configurée que pour les classes définies par l’utilisateur. La configuration ne sera pas efficace pour les classes prédéfines du système: operator, read-only, super-user. Les valeurs et autorisations de ces classes ne peuvent pas être modifiées.

Pour définir la valeur de délai d’attente pour les sessions de connexion au ralenti, inclure l’instruction au niveau idle-timeout[edit system login class class-name] de la hiérarchie:

Indiquez le nombre de minutes qu’une session peut être ralentie avant qu’elle ne soit automatiquement fermée.

Si vous avez configuré une valeur de délai d’attente, l’CLI affiche des messages similaires aux messages suivants lors de l’arrêt d’un utilisateur au ralenti. Il commence à afficher ces messages cinq minutes avant l’heure de synchronisation de l’utilisateur.

Si vous configurez une valeur de délai d’exécution, la session est close après que l’heure spécifiée s’est écoulée, sauf si l’utilisateur exécute Telnet ou des interfaces de surveillance à l’aide de la ou de la monitor interfacemonitor traffic commande.

Options de nouvelle tentative de connexion

L’administrateur sécurité peut configurer le nombre de fois qu’un utilisateur peut essayer de se connecter à l’équipement à l’aide d’informations d’identification non valides. L’équipement peut être verrouillé après le nombre spécifié de tentatives d’authentification réussies. Cela permet de protéger l’équipement contre les utilisateurs malveillants qui tentent d’accéder au système en devinent le mot de passe d’un compte. L’administrateur sécurité peut déverrouiller le compte utilisateur ou définir un délai pour que le compte utilisateur reste verrouillé.

Le système définit la durée de verrou de l’équipement pour un compte utilisateur après un nombre spécifié de tentatives de lockout-period connexion réussies.

L’administrateur sécurité peut configurer une période après laquelle une session inactive sera verrouillée et nécessite une nouvelle authentification pour être déverrouillée. Cela permet de protéger l’appareil contre le temps d’inactivité pendant une longue période avant l’arrêt de la session.

Le système définit la durée pendant CLI que l’invite en mode opérationnel reste idle-timeout active avant l’ouverture de la session.

L’administrateur sécurité peut configurer une bannière avec un avis avis pour l’afficher avant l’identification et l’authentification.

Le système message définit le message de connexion au système. Ce message s’affiche avant qu’un utilisateur ne se connecte.

Le nombre de tentatives de réassuration de l’équipement est défini par tries-before-disconnect l’option. L’équipement permet 3 tentatives infructueuses par défaut ou configurées par l’administrateur. L’équipement empêche les utilisateurs bloqués d’effectuer des activités nécessitant une authentification, jusqu’à ce qu’un administrateur sécurité a ouvert manuellement la verrouille ou que la durée définie pour que l’équipement reste verrouillée s’est écoulée. Cependant, les verrous existants sont ignorés lorsque l’utilisateur tente de se connecter à partir de la console locale.

Remarque :

Pour effacer la console lors d’un journal lancé par l’administrateur, l’administrateur doit configurer la chaîne de messages qui contient des caractères nouveaux (\n) et un message de bannière de connexion à la fin des set system login message “message string” \n caractères.

Pour s’assurer que les informations de configuration sont entièrement autorisées, l’administrateur peut saisir 50 ou plus de caractères dans la chaîne de messages de la set system login message “message string” commande.

Par exemple, set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"

Limitation du nombre de tentatives de connexion utilisateur pour sessions SSH et Telnet

Vous pouvez limiter le nombre de fois qu’un utilisateur tente de saisir un mot de passe lors de la connexion via SSH ou Telnet. La connexion est interrompue si un utilisateur ne se connecte pas après le nombre de tentatives spécifiées. Vous pouvez également spécifier un délai, en quelques secondes, avant qu’un utilisateur puisse tenter d’entrer un mot de passe après une tentative ina échouée. En outre, vous pouvez spécifier le seuil pour le nombre de tentatives ina échouées avant que l’utilisateur n’éprouve un délai pour saisir à nouveau un mot de passe.

Pour spécifier le nombre de fois qu’un utilisateur peut tenter de saisir un mot de passe lors de la connexion, saisissez l’instruction au niveau retry-options[edit system login] de la hiérarchie:

Vous pouvez configurer les options suivantes:

  • tries-before-disconnect—Nombre de fois qu’un utilisateur peut tenter de saisir un mot de passe lors de la connexion. La connexion est close si un utilisateur ne se connecte pas après le numéro spécifié. La plage est de 1 à 10 et la plage par défaut de 10.

  • backoff-threshold—Seuil pour le nombre de tentatives de connexion ins échec avant que l’utilisateur n’éprouve un délai pour saisir à nouveau un mot de passe. Utilisez backoff-factor l’option pour spécifier la durée du délai en quelques secondes. La plage est de 1 à 3 et la plage par défaut 2.

  • backoff-factor—Durée, en secondes, avant qu’un utilisateur ne puisse tenter de se connecter en cas de tentative ina échouée. Le délai augmente par la valeur spécifiée pour chaque tentative suivante après le seuil. La plage est de 5 à 10, et la valeur par défaut est de 5 secondes.

  • maximum-time seconds—Le temps maximum, en secondes, que la connexion reste ouverte pour que l’utilisateur saisisse un nom d’utilisateur et un mot de passe pour se connecter. Si l’utilisateur reste en veille et ne saisisse pas de nom d’utilisateur et de mot de passe dans la maximum-time configuration, la connexion est fermée. La plage est de 20 à 300 secondes, et la distance par défaut est de 120 secondes.

  • minimum-time—Le temps minimum, en secondes, qu’une connexion reste ouverte alors qu’un utilisateur tente de saisir un mot de passe correct. La plage est de 20 à 60 et la plage par défaut de 40.

L’exemple suivant montre comment limiter l’utilisateur à quatre tentatives lorsqu’il pénètre un mot de passe lors de la connexion via SSH ou Telnet:

La limitation du nombre de tentatives de connexion SSH et Telnet par utilisateur est l’une des méthodes les plus efficaces pour empêcher les attaques en force de compromettre la sécurité de votre réseau. Les pirates informatiques forcent un grand nombre de tentatives de connexion en peu de temps pour accéder illégitimement à un réseau privé. En configurant la commande, vous pouvez créer un délai toujours plus élevé en cas de tentative de connexion ins échec, ce qui permet à tout utilisateur ayant franchi le seuil de vos tentatives de connexion de franchir le retry-options seuil fixé.

Définissez backoff-threshold les 2, les back-off-factor 5 secondes et les minimum-time 40 secondes. L’utilisateur subit un délai de 5 secondes après l’échec d’un mot de passe correct lors de la deuxième tentative. Après chaque tentative ina échouée suivante, le délai augmente de 5 secondes. Suite à la quatrième et dernière tentative ina échouée pour saisir un mot de passe correct, l’utilisateur subit un délai supplémentaire de 10 secondes et la connexion se ferme au bout de 40 secondes.

Ces variables supplémentaires maximum-timelockout-period ne sont pas définies dans cet exemple.

Remarque :

Cet exemple ne montre que la partie du niveau de la hiérarchie [edit system login] en cours de modification.

Exemple: Configuration des options de nouvelle tentative de connexion

Cet exemple montre comment configurer des options de nouvelle tentative système pour protéger l’équipement contre les utilisateurs malveillants.

Conditions préalables

Avant de commencer, vous devez comprendre les options de nouvelle tentative de connexion.

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Présentation

Les utilisateurs malveillants tentent parfois de se connecter à un équipement sécurisé en devinent le mot de passe d’un compte utilisateur autorisé. Verrouiller un compte utilisateur en cas d’échec d’une tentative d’authentification contribue à protéger l’équipement des utilisateurs malveillants.

Le verrouillage de l’équipement vous permet de configurer le nombre de tentatives insaisies avant que le compte utilisateur ne soit verrouillé sur l’équipement et de configurer le temps avant que l’utilisateur puisse à nouveau tenter de se connecter à l’équipement. Vous pouvez configurer le temps entre les tentatives de connexion insaisies d’un compte utilisateur et verrouiller et déverrouiller manuellement les comptes utilisateurs.

Remarque :

Cet exemple comprend les paramètres suivants:

  • backoff-factor — Définit la durée du délai en secondes après chaque tentative de connexion échec. Lorsqu’un utilisateur se connecte de façon incorrecte à l’équipement, l’utilisateur doit attendre le temps configuré avant d’tenter de se connecter à nouveau à l’équipement. La durée du délai augmente de cette valeur pour chaque tentative de connexion ultérieure après la valeur spécifiée dans backoff-threshold l’énoncé. La valeur par défaut de cet énoncé est de cinq secondes, avec une plage de cinq à dix secondes.

  • backoff-threshold — Définit le seuil d’échec de tentative de connexion sur l’équipement avant que l’utilisateur n’éprouve un délai lors de la tentative de nouvelle connexion à un mot de passe. Lorsqu’un utilisateur se connecte de façon incorrecte à l’équipement et atteint le seuil de tentatives de connexion inso échec, l’utilisateur subit un délai qui est pris en compte dans l’instruction avant de tenter de se connecter à nouveau à backoff-factor l’équipement. La valeur par défaut de cet énoncé est deux, pour une valeur de 1 à 3.

  • lockout-period — Définit le temps de connexion en quelques minutes avant que l’utilisateur puisse tenter de se connecter à l’équipement après avoir été verrouillé en raison du nombre de tentatives de connexion non spécifiées dans tries-before-disconnect l’énoncé. Lorsqu’un utilisateur ne parvient pas à se connecter correctement après le nombre de tentatives autorisées spécifiées par l’énoncé, l’utilisateur doit attendre le temps configuré pour tenter de se connecter à nouveau à tries-before-disconnect l’équipement. La période de verrouillage doit être supérieure à zéro. La plage à laquelle vous pouvez configurer la période de verrouillage est de une à 43 200 minutes.

  • tries-before-disconnect — Définit le nombre maximal de fois que l’utilisateur est autorisé à saisir un mot de passe pour tenter de se connecter à l’équipement via SSH ou Telnet. Lorsque l’utilisateur atteint le nombre maximal de tentatives de connexion ins échec, l’utilisateur est bloqué hors de l’équipement. L’utilisateur doit attendre le nombre de minutes configurées dans l’énoncé avant de tenter de se connecter lockout-period à l’équipement. tries-before-disconnectL’instruction doit être définie lorsque l’instruction est lockout-period définie. Sinon, elle lockout-period n’a aucun sens. Le nombre de tentatives par défaut est de 10, avec une à dix tentatives.

Lorsqu’un utilisateur est verrouillé hors de l’équipement, si vous êtes l’administrateur sécurité, vous pouvez le supprimer manuellement à l’aide de la clear system login lockout <username> commande. Vous pouvez également utiliser la commande pour afficher les utilisateurs actuellement bloqués, lorsque la période de verrouillage a commencé pour chaque utilisateur et lorsque la période de verrouillage se termine pour show system login lockout chaque utilisateur.

Si l’administrateur sécurité est bloqué sur l’équipement, il peut se connecter à l’équipement à partir du port de console, ce qui ignore les verrous de l’utilisateur. Cet outil permet à l’administrateur de supprimer la verrouillage de l’utilisateur sur son propre compte utilisateur.

Dans cet exemple, l’utilisateur attend l’intervalle, en quelques secondes, pour obtenir backoff-thresholdbackoff-factor l’invite de connexion. Dans cet exemple, l’utilisateur doit attendre 5 secondes après la première tentative de connexion ins échec et 10 secondes après la deuxième tentative de connexion ins échec pour obtenir l’invite de connexion. L’utilisateur obtient une déconnexion au bout de 15 secondes après la troisième tentative ina échouée, car l’option est tries-before-disconnect configurée comme 3.

L’utilisateur ne peut tenter d’accéder à une plus grande connexion tant que 120 minutes ne s’est pas écoulée, sauf si un administrateur sécurité a automatiquement ouvert la verrou en temps et en heure.

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer les options de nouvelle tentative du système:

  1. Configurez le facteur d’advenir.

  2. Configurez le seuil de backoff.

  3. Configurez la durée de verrouillée de l’équipement en cas de tentative ina échouée.

  4. Configurez le nombre de tentatives infructueuses au cours de laquelle l’équipement peut rester déverrouillé.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show system login retry-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Vérifier que la configuration fonctionne correctement.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Affichage des connexions utilisateur verrouillées

But

Vérifiez que la configuration de verrouillage de connexion est activée.

Action

Essayez trois connexions réussies pour un nom d’utilisateur particulier. L’appareil est verrouillé pour le nom d’utilisateur. puis connectez-vous à l’équipement avec un nom d’utilisateur différent. À partir du mode opérationnel, saisissez la show system login lockout commande.

Sens

Lorsque vous réalisez trois tentatives de connexion réussies avec un nom d’utilisateur particulier, l’équipement est verrouillé pour cet utilisateur pendant cinq minutes, tel qu’configuré dans l’exemple. Vous pouvez vérifier que l’équipement est verrouillé pour cet utilisateur en vous connectant à l’équipement avec un nom d’utilisateur différent et en entrant la show system login lockout commande.