Información general sobre la configuración de controles de acceso de usuario
La plataforma de administración de red Junos Space proporciona un sólido sistema de mecanismo de control de acceso de usuarios que se utiliza para aplicar las políticas de acceso adecuadas en el sistema Junos Space a través de los administradores de Junos Space. En Junos Space, los administradores pueden desempeñar diferentes funciones funcionales. Un administrador de CLI instala y configura los dispositivos de Junos Space. Un administrador del modo de mantenimiento realiza tareas de nivel de sistema, como la solución de problemas y las operaciones de restauración de bases de datos. Una vez instalados y configurados los dispositivos, puede crear usuarios y asignar roles que les permitan acceder a las áreas de trabajo de la plataforma Junos Space y administrar las aplicaciones, los usuarios, los dispositivos, los servicios, los clientes, etc.
En la tabla 1 se muestran los administradores de Junos Space y las tareas que se pueden realizar.
| Función de administrador de Junos Space | Descripción | Tareas |
Administrador de CLI |
Un administrador responsable de configurar y administrar la configuración del sistema para dispositivos Junos Space desde la consola serie El nombre del administrador de la CLI es admin. La contraseña de administrador de la CLI se puede cambiar desde el menú de configuración del sistema de la consola. |
|
Administrador del modo de mantenimiento |
Un administrador responsable de realizar el mantenimiento a nivel de sistema en la plataforma de administración de red de Junos Space El nombre del administrador del modo de mantenimiento es mantenimiento. La contraseña del modo de mantenimiento se configura desde la consola serie la primera vez que configura un dispositivo Junos Space. |
|
Usuarios de la interfaz de usuario de Junos Space |
Un usuario de Junos Space al que se le asignan uno o varios roles predefinidos. Cada rol asignado a un usuario proporciona privilegios específicos de acceso y administración sobre los objetos (aplicaciones, dispositivos, usuarios, trabajos, servicios y clientes) disponibles desde un espacio de trabajo en la interfaz de usuario de Junos Space. |
Para obtener más información acerca de las funciones predefinidas que se pueden asignar a un usuario de Junos Space, consulte Configuración de información general sobre los controles de acceso de usuario. |
Puede configurar el control de acceso de los usuarios de la siguiente manera:
Decidir cómo se autenticará y autorizará a los usuarios para acceder a la plataforma Junos Space
Segregar a los usuarios en función de la funcionalidad del sistema a la que se les permite acceder. Puede asignar un conjunto diferente de roles a diferentes usuarios. La plataforma de administración de red Junos Space incluye más de 25 roles de usuario predefinidos y le permite crear roles personalizados que se basan en las necesidades de su organización. Cuando un usuario inicia sesión en Junos Space, las áreas de trabajo a las que puede acceder el usuario y las tareas que puede realizar vienen determinadas por los roles que se han asignado a esa cuenta de usuario concreta.
Segregar a los usuarios en función de los dominios a los que tienen permiso de acceso. Puede utilizar la función Dominios de Junos Space para asignar usuarios y dispositivos al dominio global y crear subdominios y, a continuación, asignar usuarios a uno o varios de estos dominios. Un dominio es una agrupación lógica de objetos, que puede incluir dispositivos, plantillas, usuarios, etc. Cuando un usuario inicia sesión en Junos Space, el conjunto de objetos que se le permite ver se basa en los dominios a los que se ha asignado esa cuenta de usuario.
Puede utilizar varios dominios para separar sistemas grandes y geográficamente distantes en secciones más pequeñas y manejables y controlar el acceso administrativo a sistemas individuales. Puede asignar administradores de dominio o usuarios para administrar dispositivos y objetos asignados a sus dominios. Puede diseñar la jerarquía de dominios de tal manera que un usuario asignado a un dominio no tenga necesariamente acceso a objetos de otro dominio. Incluso puede restringir a los usuarios asignados a un dominio para que no vean objetos que se encuentran en el dominio primario (en Junos Space versión 13.3, desde que vean los objetos en el dominio global).
Por ejemplo, una organización pequeña puede tener un solo dominio (el dominio global) para toda su red, mientras que una organización internacional grande puede tener varios subdominios dentro del dominio global para representar cada una de sus redes de oficinas regionales en todo el mundo.
En las secciones siguientes se describe cómo configurar un mecanismo de control de acceso de usuario:
Modo de autenticación y autorización
La primera decisión que se debe tomar es con respecto al modo de autenticación y autorización que desea. El modo predeterminado de Junos Space es la autenticación y autorización locales, lo que significa que debe crear cuentas de usuario en la base de datos de Junos Space con una contraseña válida y asignar un conjunto de roles asignados a esas cuentas. Las sesiones de usuario se autentican en función de esta contraseña, y el conjunto de roles asignados a la cuenta de usuario determina el conjunto de tareas que el usuario puede realizar.
Si su organización depende de un conjunto de servidores centralizados de autenticación, autorización y contabilidad (AAA), puede configurar Junos Space para que funcione con estos servidores navegando a la página Servidores de autenticación en el área de trabajo Administración (Plataforma de administración de red > administración).
Debe tener privilegios de superadministrador o administrador del sistema para configurar Junos Space de modo que funcione con estos servidores.
Debe conocer las direcciones IP, los números de puerto y los secretos compartidos de los servidores AAA remotos para configurar Junos Space para acceder a ellos. Le recomendamos que utilice el botón Conexión para probar la conexión entre Junos Space y el servidor AAA tan pronto como agregue el servidor en Junos Space. Esto le permite saber inmediatamente si hay algún problema con la dirección IP, el puerto o las credenciales configuradas.
Puede configurar una lista ordenada de servidores AAA. Junos Space se pone en contacto con ellos en el orden que configuró; El segundo servidor sólo se contacta si no se puede acceder al primero, etc.
Puede configurar servidores RADIUS o TACACS+ mediante el Protocolo de autenticación de contraseña (PAP) o el Protocolo de autenticación por desafío mutuo (CHAP). Se le permite tener una combinación de servidores RADIUS y TACACS+ en la lista ordenada de servidores AAA que mantiene Junos Space.
Hay dos modos de autenticación y autorización remotas: solo remota y local remota.
solo remoto: la autenticación y autorización las realiza un conjunto de servidores AAA remotos (RADIUS o TACACS+).
remote-local: en este caso, cuando un usuario no está configurado en los servidores de autenticación remotos, cuando no se puede acceder a los servidores o cuando los servidores remotos deniegan el acceso al usuario, se utiliza la contraseña local si dicho usuario local existe en la base de datos de Junos Space.
Si utiliza el modo solo remoto, no tiene que crear ninguna cuenta de usuario local en Junos Space. En su lugar, debe crear cuentas de usuario en los servidores AAA que use y asociar un nombre de perfil remoto a cada cuenta de usuario. Un perfil remoto es una colección de roles que definen el conjunto de funciones que un usuario puede realizar en Junos Space. Los perfiles remotos se crean en Junos Space. Para obtener más información acerca de los perfiles remotos, consulte Perfiles remotos. Los nombres de perfil remoto se pueden configurar como un atributo específico del proveedor (VSA) en RADIUS y como un par atributo-valor (AVP) en TACACS+. Cuando un servidor AAA autentica correctamente una sesión de usuario, el nombre del perfil remoto se incluye en el mensaje de respuesta que se envía de vuelta a Junos Space. Junos Space busca el perfil remoto en función de este nombre de perfil remoto y determina el conjunto de funciones que el usuario puede realizar.
Incluso en el caso del modo solo remoto, es posible que desee crear cuentas de usuario locales en Junos Space en cualquiera de los siguientes casos:
Desea asegurarse de que un usuario pueda iniciar sesión en Junos Space incluso si todos los servidores AAA están inactivos. En este caso, si existe una cuenta de usuario local en la base de datos de Junos Space, la sesión de usuario se autentica y autoriza en función de los datos locales. Puede optar por hacer esto para algunas cuentas de usuario importantes para las que desea garantizar el acceso incluso en este escenario.
Desea utilizar particiones de dispositivo para particionar un dispositivo en subgrupos y asignar estos subobjetos a diferentes usuarios. Las particiones de dispositivo se utilizan para compartir las interfaces físicas, las interfaces lógicas y los elementos de inventario físico en varios subdominios. Las particiones de dispositivo solo se admiten en enrutadores serie M y MX. Para obtener más información, consulte el tema Creación de particiones de dispositivo en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space.
Para obtener más información acerca de la autenticación de usuarios, consulte el tema Descripción general de los modos de autenticación de Junos Space (en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space).
Autenticación basada en certificados y en parámetros de certificado
La plataforma de administración de red Junos Space admite la autenticación basada en certificados y en parámetros de certificado para un usuario. A partir de la versión 15.2R1, también puede autenticar usuarios en el modo de autenticación basado en parámetros de certificado. Con la autenticación basada en certificados y en parámetros de certificado, en lugar de autenticar a un usuario en función de las credenciales del usuario, puede autenticar a un usuario en función del certificado y los parámetros del certificado del usuario. Estos modos de autenticación se consideran más seguros que la autenticación basada en contraseña. Con la autenticación basada en parámetros de certificado, puede definir un máximo de cuatro parámetros que se autentican durante el proceso de inicio de sesión. La autenticación basada en certificados y en parámetros de certificado a través de una conexión SSL se puede utilizar para autenticar y autorizar sesiones entre varios servidores y usuarios. Estos certificados se pueden almacenar en una tarjeta inteligente, una unidad USB o el disco duro de un equipo. Los usuarios suelen deslizar su tarjeta inteligente para iniciar sesión en el sistema sin introducir su nombre de usuario y contraseña.
Para obtener más información acerca de la autenticación basada en certificados y en parámetros de certificado, consulte el tema Información general sobre la administración de certificados en la Guía de características de espacios de trabajo de la plataforma de administración de red de Junos Space.
Roles de usuario
Al configurar Junos Space, debe decidir cómo desea separar a los usuarios en función de la funcionalidad del sistema a la que los usuarios pueden acceder. Para ello, se asigna un conjunto diferente de roles a distintos usuarios. Un rol define una colección de áreas de trabajo a las que un usuario de Junos Space puede acceder y un conjunto de acciones que el usuario puede realizar dentro de cada área de trabajo. Para evaluar los roles de usuario predefinidos que admite la plataforma de administración de red de Junos Space, vaya a la página Roles (Plataforma de administración de red > Control de acceso basado en roles > roles). Además, cada aplicación de Junos Space instalada en la plataforma de administración de red de Junos Space tiene sus propios roles de usuario predefinidos. La página Roles enumera todos los roles de aplicación de Junos Space existentes, sus descripciones y las tareas que se incluyen en cada rol.
Si los roles de usuario predeterminados no satisfacen sus necesidades, puede configurar roles personalizados navegando a la página Crear rol (Plataforma de administración de red > Control de acceso basado en roles > Roles > Crear rol). Para crear un rol, seleccione los espacios de trabajo a los que un usuario con este rol puede acceder y, para cada área de trabajo, elija el conjunto de tareas que el usuario puede realizar desde esa área de trabajo.
Es posible que deba pasar por varias iteraciones de creación de roles de usuario para llegar al conjunto óptimo de roles de usuario que su organización necesita.
Una vez definidas las funciones de usuario, se pueden asignar a varias cuentas de usuario (en el caso de las cuentas de usuario locales creadas en Junos Space) o asignarse a perfiles remotos que se utilizarán para la autorización remota.
Para obtener más información acerca de la configuración de roles de usuario, consulte el tema Descripción general del control de acceso basado en roles (en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space).
Perfiles remotos
Los perfiles remotos se utilizan en el caso de la autorización remota. Un perfil remoto es una colección de roles que definen el conjunto de funciones que un usuario puede realizar en Junos Space. No se crean perfiles remotos de forma predeterminada y debe crearlos navegando a la página Crear perfil remoto (Plataforma de administración de red > Control de acceso basado en roles > Perfiles remotos > Crear perfil remoto). Al crear un perfil remoto, debe seleccionar uno o más roles que le pertenezcan. A continuación, puede configurar el nombre del perfil remoto para una o varias cuentas de usuario en los servidores AAA remotos.
Cuando un servidor AAA autentica correctamente una sesión de usuario, el servidor AAA incluye el nombre de perfil remoto configurado para ese usuario en el mensaje de respuesta que vuelve a Junos Space. Junos Space busca el perfil remoto en función de este nombre y determina el conjunto de roles para el usuario. A continuación, Junos Space utiliza esta información para controlar el conjunto de espacios de trabajo a los que puede acceder el usuario y las tareas que puede realizar.
Si decide usar la autorización local junto con la autenticación remota, no necesita configurar ningún perfil remoto. En este caso, debe crear cuentas de usuario locales y asignar roles a estas cuentas de usuario. Los servidores AAA configurados realizan la autenticación y, para cada sesión autenticada, Junos Space realiza la autorización en función de las funciones configuradas localmente para la cuenta de usuario en la base de datos.
Para obtener más información acerca de la creación de perfiles remotos, consulte el tema Creación de un perfil remoto (en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space).
Dominios
Puede agregar, modificar o eliminar un dominio desde la página Dominios (Control de acceso basado en roles > dominios). Solo se puede acceder a esta página cuando ha iniciado sesión en el dominio global, lo que significa que solo puede agregar, modificar o eliminar un dominio del dominio global. De forma predeterminada, cualquier dominio que cree se agregará al dominio global. Al agregar un dominio, puede optar por permitir que los usuarios de este dominio tengan acceso de solo lectura al dominio primario. Si decide hacerlo, todos los usuarios del subdominio podrán ver los objetos del dominio principal en modo de solo lectura.
Solo se admiten dos niveles de jerarquía: el dominio global y cualquier otro dominio que pueda agregar en el dominio global.
Para obtener más información acerca de la administración de dominios, consulte el tema Información general sobre dominios (en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space).
Cuentas de usuario
Debe crear cuentas de usuario en Junos Space en los siguientes casos:
Para realizar autenticación y autorización locales: puede crear cuentas de usuario en Junos Space. Cada cuenta de usuario debe contener una contraseña válida y un conjunto de roles de usuario. Para crear cuentas de usuario, vaya a la página Crear usuario (Plataforma de administración de red > Control de acceso basado en roles> Cuentas de usuario > Crear usuario).
Para realizar la autenticación remota y la autorización local: cree una cuenta de usuario para cada usuario del sistema y asegúrese de que se asigne un conjunto de roles a cada cuenta de usuario. No es obligatorio introducir una contraseña para las cuentas de usuario porque la autenticación se realiza de forma remota.
Para realizar autenticación y autorización remotas y permitir que determinados usuarios puedan acceder a Junos Space incluso si todos los servidores AAA están inactivos o no son accesibles desde Junos Space: cree cuentas de usuario locales para estos usuarios con una contraseña válida. El sistema obliga a configurar al menos un rol para estos usuarios. Sin embargo, la autorización se realiza en función del nombre de perfil remoto que proporciona el servidor AAA.
Para realizar autenticación y autorización remotas, pero también para anular errores de autenticación remota para usuarios especificados y permitirles acceder a Junos Space: un escenario típico sería cuando necesita crear un nuevo usuario de Junos Space pero no tiene acceso inmediato para configurar el usuario en los servidores AAA remotos. Debe crear cuentas de usuario locales para dichos usuarios con una contraseña válida y un conjunto válido de roles.
Para realizar autenticación y autorización remotas, pero también para segregar dispositivos entre usuarios en función de dominios: dado que los dominios deben asignarse a objetos de usuario en Junos Space, debe crear perfiles remotos en Junos Space y asignar roles y dominios a esos perfiles.
Nota:Si decide usar la autorización local junto con la autenticación remota, no necesita configurar ningún perfil remoto. En este caso, debe crear cuentas de usuario locales y asignar roles a estas cuentas de usuario. Los servidores AAA configurados realizan la autenticación y, para cada sesión autenticada, Junos Space realiza la autorización en función de las funciones configuradas localmente para la cuenta de usuario en la base de datos.
Junos Space aplica ciertas reglas para las contraseñas válidas. Estas reglas se configuran como parte de la configuración de Plataforma de administración de red desde la página Aplicaciones (Plataforma de administración de red > Administración > aplicaciones). Haga clic con el botón derecho en la aplicación y seleccione Modificar configuración de la aplicación. Luego seleccione Contraseña en el lado izquierdo de la ventana. En la página siguiente, puede ver y modificar la configuración actual.
Para obtener más información acerca de la creación de cuentas de usuario, consulte el tema Creación de usuarios en la plataforma de administración de red de Junos Space (en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space).
Particiones de dispositivos
Puede particionar un dispositivo desde la página Dispositivos (Plataforma de administración de red > Dispositivos > Administración de dispositivos). Puede particionar un dispositivo en subgrupos y, a continuación, asignar estos subobjetos a diferentes usuarios asignando las particiones a diferentes dominios. Solo se puede asignar una partición de un dispositivo a un dominio.
Las particiones de dispositivo solo se admiten en enrutadores serie M y MX.
Para obtener más información acerca de las particiones de dispositivos, consulte el tema Creación de particiones de dispositivo (en la Guía del usuario de espacios de trabajo de la plataforma de administración de red de Junos Space).