Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 관리 역할

Junos OS 사용자들이 시스템에 대한 특정 유형의 관리자의 역할을 할 수 있도록 정의할 수 있습니다. 관리 역할 속성을 가지고 로그인 클래스를 구성하여 사용자에게 관리 역할을 할당할 수 있습니다. 감사 책임자 암호화 책임자, 보안 책임자, ids-officer와 같은 역할 속성 중 하나를 관리 사용자에게 할당할 수 있습니다. 자세한 내용은 이 주제를 읽어 보시죠.

관리 역할 이해

시스템 사용자는 시스템의 특정 유형의 관리자 역할을 할 수 있는 클래스의 구성원일 수 있습니다. 특정 역할이 항목을 보거나 수정하도록 요구하면 시스템에서 얻을 수 있는 정보의 범위를 제한합니다. 또한 사용자의 의도한 또는 의도하지 않은 수정 또는 관찰에 얼마나 많은 시스템이 열려 있는가를 제한합니다. 관리 역할을 설계할 때 다음 지침을 사용하는 것이 좋습니다.

  • 어떤 사용자가 으로 시스템에 로그인하는 것은 허용하지 root 않습니다.

  • 각 사용자를 사용자의 의무를 수행하는 데 필요한 가장 작은 권한 세트로 제한합니다.

  • 사용자가 권한 플래그가 포함된 로그인 클래스에 속하도록 shell 허용하지 않습니다. 권한 플래그를 사용하면 사용자가 shell 명령어에서 명령어를 실행할 start shell CLI.

  • 사용자가 롤백 권한을 부여할 수 있도록 합니다. 롤백 권한을 통해 사용자는 관리자가 수행한 작업을 실행 취소할 수 있지만 변경을 커밋할 수 없습니다.

로그인 클래스를 구성하여 해당 역할에 필요한 권한을 부여하여 사용자에게 관리 역할을 할당할 수 있습니다. 각 클래스를 구성하여 이름별로 구성 명령문 및 명령에 대한 액세스를 허용하거나 거부할 수 있습니다. 이와 같은 특정 제한은 클래스에 구성되어 있는 모든 권한 플래그보다 우선합니다. 다음 역할 속성 중 하나를 관리 사용자에게 할당할 수 있습니다.

  • Crypto-administrator—사용자가 암호화 데이터를 구성하고 모니터링할 수 있도록 합니다.

  • Security-administrator—사용자가 보안 데이터를 구성 및 모니터링할 수 있도록 합니다.

  • Audit-administrator—사용자가 감사 데이터를 구성하고 모니터링할 수 있도록 합니다.

  • IDS-administrator—사용자가 보안 로그를 모니터링하고 침입 탐지 서비스 (침입 탐지 서비스(IDS) 수 있도록 지원)

각 역할은 다음과 같은 특정 관리 기능을 수행할 수 있습니다.

  • Cryptographic Administrator

    • 암호화 셀프 테스트를 구성합니다.

    • 암호화 보안 데이터 매개변수를 수정합니다.

  • Audit Administrator

    • 감사 검토 검색 및 정렬 기능을 구성하고 삭제합니다.

    • 감사 레코드를 검색하고 정렬합니다.

    • 검색 및 정렬 매개변수를 구성합니다.

    • 감사 로그를 수동으로 삭제합니다.

  • Security Administrator

    • 암호화 셀프 테스트 동작을 호출, 확인 및 수정합니다.

    • 감사 분석 및 감사 선택 기능을 활성화, 비활성화, 확인 및 수정하고 감사 로그를 자동으로 삭제하도록 디바이스를 구성합니다.

    • 보안 알람을 활성화하거나 비활성화합니다.

    • 연결에 대한 할당량 제한을 전송 레이어 지정합니다.

    • 제어된 연결 중심 리소스에 대한 할당량에 대한 제한, 네트워크 식별자 및 기간을 지정합니다.

    • ICMP(Internet Control Message Protocol) 또는 ARP(Address Resolution Protocol)를 사용할 수 있는 네트워크 주소를 지정합니다.

    • 타임 스탬프에 사용되는 시간 및 날짜를 구성합니다.

    • 인증되지 않은 정보 흐름 보안 기능 정책(SFP), 인증된 정보 흐름 SFP, 인증된 장치 서비스 및 재량 액세스 제어 정책에 대한 정보 흐름 또는 액세스 제어 규칙 및 속성을 쿼리, 수정, 삭제하고 만듭니다.

    • 인증되지 않은 정보 흐름 SFP, 인증된 정보 흐름 SFP, 인증되지 않은 평가 대상(TOE) 서비스 및 재량 액세스 제어 정책에 따라 객체 정보가 생성될 때 기본값을 까다로워하는 초기 값을 지정합니다.

    • 관리 세션이 설정될 수 있는 주소를 제어하는 규칙을 생성, 삭제 또는 수정합니다.

    • 사용자, subject, 객체와 관련된 보안 속성을 지정하고 취소합니다.

    • 디바이스에서 관리자에게 경고하는 감사 스토리지 용량의 비율을 지정합니다.

    • 추가 인증 시도와 연결이 끊기 전에 점진적 제한이 적용되기 전에 SSH 또는 CLI 인증 실패 횟수를 수정하고 인증 실패를 처리합니다.

    • 장치의 기본 네트워크 구성을 관리합니다.

  • IDS Administrator—보안 침입 탐지 서비스(IDS), 침입 경보, 감사 선택 및 감사 데이터를 지정합니다.

이러한 관리 역할에 대해 생성된 클래스에서 보안 역할 속성을 설정해야 합니다. 이 속성은 보안 로그를 표시 및 지우는 사용자, 구성만으로는 수행할 수 없는 작업을 제한합니다.

예를 들어, 사용자 로그를 지우고 침입 탐지 서비스(IDS) 관리자 역할로 표시하려면 침입 탐지 서비스(IDS) 보안 역할 속성을 침입 탐지 서비스(IDS) 관리자 역할 침입 탐지 서비스(IDS) ids-admin 합니다. 마찬가지로 보안 역할을 다른 관리자 값 중 하나에 설정하여 해당 클래스가 비공식 로그만 지우고 표시하도록 침입 탐지 서비스(IDS) 합니다.

주:

사용자가 기존 구성을 삭제하면, 삭제된 구성의 계층 수준 하의 구성 명령문(즉, 사용자가 수정할 수 있는 권한이 없는 자식 객체)은 이제 장치에 그대로 유지됩니다.

예를 들면 다음과 같습니다. 관리 역할 구성

이 예에서는 다른 모든 관리 역할과 분리된 고유의 권한 세트에 대해 개별 관리 역할을 구성하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 다음과 같은 4개의 사용자를 구성합니다.

  • audit-officer 500개가 audit-admin

  • crypto-officer 500개가 crypto-admin

  • security-officer 500개가 security-admin

  • ids-officer 500개가 ids-admin

클래스가 구성되면 클래스를 만든 사용자로부터 관리자 생성 권한을 security-adminsecurity-admin 취소합니다. 신규 사용자와 로그인은 의 재량에 따라 security-officer 생성됩니다.

다음 예제에서 이 역할과 관련한 권한 플래그가 있는 감사 관리자, 암호화 관리자, 보안 관리자 및 ids admin을 만들 수 있습니다. 그런 다음 각 관리 역할에 대해 이름별로 구성 명령문 및 명령에 대한 액세스를 허용하거나 거부할 수 있습니다. 이러한 특정 제한 사항은 클래스에서 구성된 권한 플래그보다 우선합니다. 예를 들어, 오직 명령어만 실행할 수 있습니다. 명령어에는 액세스하기 위한 crypto-adminrequest system set-encryption-key 권한 security 플래그가 필요합니다. 오직 권한 플래그가 있는 명령문을 구성에 security-adminsystem time-zone 포함할 수 system-control 있습니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 대한 자세한 내용은 configuration mode에서 CLI Editor 사용 을 참조하십시오.

관리 역할로 사용자를 구성하는 경우:

  1. 로그인 audit-admin 클래스를 생성합니다.

  2. 로그인 클래스 audit-admin 제한을 구성합니다.

  3. 로그인 crypto-admin 클래스를 생성합니다.

  4. 로그인 클래스 crypto-admin 제한을 구성합니다.

  5. 로그인 security-admin 클래스를 생성합니다.

  6. 로그인 클래스 security-admin 제한을 구성합니다.

  7. 로그인 ids-admin 클래스를 생성합니다.

  8. 로그인 클래스 ids-admin 제한을 구성합니다.

  9. 사용자를 역할에 할당합니다.

  10. 사용자를 위한 암호를 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

로그인 권한 검증

목적

현재 사용자에 대한 로그인 권한을 검증합니다.

실행

작동 모드에서 명령어를 show cli authorization 입력합니다.

이 출력에는 로그인 권한이 요약됩니다.

로컬 관리자 계정 구성

다음 예제에서는 Superuser 권한으로 호출되는 암호로 보호되는 로컬 관리 계정을 admin 구성하는 방법을 보여줍니다. Superuser 권한은 라우터에서 모든 명령을 사용할 수 있는 사용자 권한을 부여하며 일반적으로 시스템 관리자와 같은 몇몇 사용자를 위해 예약됩니다. 인증되지 않은 사용자가 시스템 구성을 변경하는 데 사용할 수 있는 Superuser 명령에 액세스할 수 없는 것을 방지하기 위해 암호로 로컬 관리자 계정을 보호하는 것이 중요합니다. 인증을 RADIUS 사용자도 로컬 암호를 구성해야 합니다. RADIUS 장애가 발생하거나 액세스가 지원되지 않는 경우 로그인 프로세스는 로컬 관리자 계정의 암호 인증으로 복위됩니다.