Roles administrativos
Junos OS Evolved le permite definir un usuario del sistema para que actúe como un tipo específico de administrador para el sistema. Puede asignar una función administrativa a un usuario configurando una clase de inicio de sesión para que tenga los atributos de la función administrativa. Puede asignar uno de los atributos de rol, como oficial de auditoría cripto-oficial, oficial de seguridad, ids-officer a un usuario administrativo.
Cómo diseñar roles administrativos
Un usuario del sistema puede ser miembro de una clase que le permite actuar como un tipo específico de administrador para el sistema. Requerir un rol específico para ver o modificar un elemento restringe el alcance de la información que un usuario puede obtener del sistema. También limita la cantidad de sistema que está abierta a la modificación u observación por parte de un usuario. Usted (el administrador del sistema) debe utilizar las siguientes directrices al diseñar roles administrativos:
No permita que ningún usuario inicie sesión en el sistema como
root.Restrinja a cada usuario al conjunto más pequeño de privilegios necesarios para realizar las tareas del usuario.
No permita que ningún usuario pertenezca a una clase de inicio de sesión que contenga el indicador de
shellpermiso. Elshellindicador de permisos permite a los usuarios ejecutar elstart shellcomando desde la CLI.Permitir que los usuarios tengan permisos de reversión. Los permisos de reversión permiten a los usuarios deshacer una acción realizada por un administrador, pero no les permiten confirmar los cambios.
Puede asignar un rol administrativo a un usuario configurando una clase de inicio de sesión para que tenga los privilegios necesarios para el rol. Puede configurar cada clase para permitir o denegar el acceso a instrucciones de configuración y comandos por nombre. Estas restricciones anulan y tienen prioridad sobre cualquier indicador de permisos también configurado en la clase. Puede asignar uno de los siguientes atributos de rol a un usuario administrativo:
Crypto-administrator: permite al usuario configurar y supervisar datos criptográficos.Security-administrator: permite al usuario configurar y supervisar los datos de seguridad.Audit-administrator: permite al usuario configurar y supervisar los datos de auditoría.IDS-administrator: permite al usuario supervisar y borrar los registros de seguridad del servicio de detección de intrusiones (IDS).
Cada rol puede realizar las siguientes funciones de administración específicas:
Cryptographic Administrator
Configura la autocomprobación criptográfica.
Modifica los parámetros de datos de seguridad criptográfica.
Audit Administrator
Configura y elimina la característica de búsqueda y ordenación de revisión de auditoría.
Busca y ordena registros de auditoría.
Configura los parámetros de búsqueda y ordenación.
Elimina manualmente los registros de auditoría.
Security Administrator
Invoca, determina y modifica el comportamiento de autocomprobación criptográfica.
Habilita, deshabilita, determina y modifica las funciones de análisis y selección de auditoría, y configura el dispositivo para eliminar automáticamente los registros de auditoría.
Activa o desactiva las alarmas de seguridad.
Especifica límites para las cuotas en las conexiones de la capa de transporte.
Especifica los límites, identificadores de red y períodos de tiempo para las cuotas de recursos orientados a conexiones controladas.
Especifica las direcciones de red permitidas para usar el Protocolo de mensajes de control de Internet (ICMP) o el Protocolo de resolución de direcciones (ARP).
Configura la fecha y hora utilizadas en las marcas de tiempo.
Consulta, modifica, elimina y crea reglas y atributos de flujo de información o control de acceso para la directiva de función de seguridad de flujo de información (SFP) no autenticada, la directiva de función de seguridad de flujo de información autenticada, los servicios de dispositivos no autenticados y la directiva de control de acceso discrecional.
Especifica valores iniciales que invalidan los valores predeterminados cuando la información del objeto se crea en el SFP de flujo de información no autenticado, el SFP de flujo de información autenticado, los servicios de destino de evaluación no autenticados (TOE) y la directiva de control de acceso discrecional.
Crea, elimina o modifica las reglas que controlan la dirección desde la que se pueden establecer sesiones de administración.
Especifica y revoca los atributos de seguridad asociados a los usuarios, asuntos y objetos.
Especifica el porcentaje de capacidad de almacenamiento de auditoría en el que el dispositivo alerta a los administradores.
Controla los errores de autenticación y modifica el número de intentos fallidos de autenticación a través de SSH o desde la CLI que pueden producirse antes de que se aplique la limitación progresiva para otros intentos de autenticación y antes de que se interrumpa la conexión.
Administra la configuración básica de red del dispositivo.
IDS Administrator: especifica las alarmas de seguridad IDS, las alarmas de intrusión, las selecciones de auditoría y los datos de auditoría.
Debe establecer el atributo security-role en las clases creadas para estos roles administrativos. Este atributo restringe qué usuarios pueden mostrar y borrar los registros de seguridad, acciones que no se pueden realizar solo mediante la configuración.
Por ejemplo, debe definir el atributo security-role en la ids-admin clase creada para el rol de administrador de IDS si desea restringir la limpieza y mostrar los registros de IDS a la función de administrador de IDS. Del mismo modo, debe establecer el rol security-role en uno de los otros valores de administrador para evitar que esa clase pueda borrar y mostrar solo registros que no sean de IDS.
Cuando un usuario elimina una configuración existente, las instrucciones de configuración bajo el nivel de jerarquía de la configuración eliminada (los objetos secundarios que el usuario no tiene permiso para modificar) permanecen en el dispositivo.
Ejemplo: Cómo configurar roles administrativos
En este ejemplo se muestra cómo configurar roles administrativos individuales para un conjunto de privilegios distinto y único, aparte de todos los demás roles administrativos.
Requisitos
No se requiere ninguna acción más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo se muestra cómo configurar cuatro roles de usuario administrador:
audit-officerde la claseaudit-admincrypto-officerde la clasecrypto-adminsecurity-officerde la clasesecurity-adminids-officerde la claseids-admin
Cuando se configura una security-admin clase, se revocan los privilegios para crear administradores del usuario que creó la security-admin clase. La creación de nuevos usuarios e inicios de sesión queda a discreción del security-officer.
En este ejemplo, se crean los cuatro roles de usuario administrativo que se muestran en la lista anterior (administrador de auditoría, administrador de criptomonedas, administrador de seguridad y administrador de ids). Para cada rol, se asignan indicadores de permisos relevantes para el rol. A continuación, permita o deniegue el acceso a las instrucciones de configuración y los comandos por nombre para cada función administrativa. Estas restricciones específicas tienen prioridad sobre los indicadores de permisos configurados en la clase. Por ejemplo, solo el crypto-admin puede ejecutar el request system set-encryption-key comando, lo que requiere tener la marca de security permiso para acceder a él. Sólo el security-admin puede incluir la system time-zone instrucción en la configuración, lo que requiere tener la marca de system-control permiso.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Procedimiento paso a paso
Para configurar roles administrativos:
-
Cree la clase de inicio de
audit-adminsesión.[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
-
Configure las restricciones de
audit-adminclase de inicio de sesión.[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
-
Cree la clase de inicio de
crypto-adminsesión.[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
-
Configure las restricciones de
crypto-adminclase de inicio de sesión.[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
-
Cree la clase de inicio de
security-adminsesión.[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
-
Configure las restricciones de
security-adminclase de inicio de sesión.[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
-
Cree la clase de inicio de
ids-adminsesión.[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
-
Configure las restricciones de
ids-adminclase de inicio de sesión.[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
-
Asigne usuarios a los roles.
[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
-
Configure contraseñas para los usuarios.
[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Resultados
En el modo de configuración, confirme la configuración introduciendo el comando show system . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show system
system {
login {
class audit-admin {
permissions [ maintenance security trace ];
allow-commands "^clear (log|security log)";
deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
security-role audit-administrator;
}
class crypto-admin {
permissions [ admin-control configure maintenance security-control system-control trace ];
allow-commands "^request (system set-encryption-key)";
deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ];
security-role crypto-administrator;
}
class security-admin {
permissions [all];
deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell";
deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ];
security-role security-administrator;
}
class ids-admin {
permissions [ configure maintenance security-control trace ];
deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type
(authentication | cryptographic-self-test | decryption-failures | encryption-failures
| ike-phase1-failures | ike-phase2-failures|key-generation-self-test |
non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename)
|^request (security|system set-encryption-key) | ^rollback |
^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell";
allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ];
deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption-
failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|
key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"
security-role ids-administrator;
}
user audit-officer {
class audit-admin;
authentication {
encrypted-password "$1$ABC123"; ## SECRET-DATA
}
}
user crypto-officer {
class crypto-admin;
authentication {
encrypted-password "$1$ABC123."; ## SECRET-DATA
}
}
user security-officer {
class security-admin;
authentication {
encrypted-password "$1$ABC123."; ##SECRET-DATA
}
}
user ids-officer {
class ids-admin;
authentication {
encrypted-password "$1$ABC123/"; ## SECRET-DATA
}
}
}
}
Después de configurar el dispositivo, escriba commit en el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Comprobar los permisos de inicio de sesión
Propósito
Compruebe los permisos de inicio de sesión del usuario actual.
Acción
En el modo operativo, escriba el show cli authorization comando para comprobar los permisos de inicio de sesión del usuario.
user@host> show cli authorization
Current user: 'example' class 'super-user'
Permissions:
admin -- Can view user accounts
admin-control-- Can modify user accounts
clear -- Can clear learned network info
configure -- Can enter configuration mode
control -- Can modify any config
edit -- Can edit full files
field -- Can use field debug commands
floppy -- Can read and write the floppy
interface -- Can view interface configuration
interface-control-- Can modify interface configuration
network -- Can access the network
reset -- Can reset/restart interfaces and daemons
routing -- Can view routing configuration
routing-control-- Can modify routing configuration
shell -- Can start a local shell
snmp -- Can view SNMP configuration
snmp-control-- Can modify SNMP configuration
system -- Can view system configuration
system-control-- Can modify system configuration
trace -- Can view trace file settings
trace-control-- Can modify trace file settings
view -- Can view current values and statistics
maintenance -- Can become the super-user
firewall -- Can view firewall configuration
firewall-control-- Can modify firewall configuration
secret -- Can view secret statements
secret-control-- Can modify secret statements
rollback -- Can rollback to previous configurations
security -- Can view security configuration
security-control-- Can modify security configuration
access -- Can view access configuration
access-control-- Can modify access configuration
view-configuration-- Can view all configuration (not including secrets)
flow-tap -- Can view flow-tap configuration
flow-tap-control-- Can modify flow-tap configuration
idp-profiler-operation-- Can Profiler data
pgcp-session-mirroring-- Can view pgcp session mirroring configuration
pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura
tion
storage -- Can view fibre channel storage protocol configuration
storage-control-- Can modify fibre channel storage protocol configuration
all-control -- Can modify any configuration
Individual command authorization:
Allow regular expression: none
Deny regular expression: none
Allow configuration regular expression: none
Deny configuration regular expression: none
Este resultado resume los permisos de inicio de sesión.
Cómo configurar una cuenta de administrador local
Los privilegios de superusuario dan permiso al usuario para usar cualquier comando en el enrutador y generalmente están reservados para unos pocos usuarios seleccionados, como los administradores del sistema. Usted (el administrador del sistema) debe proteger la cuenta de administrador local con una contraseña para evitar que usuarios no autorizados obtengan acceso a los comandos de superusuario. Estos comandos de superusuario se pueden utilizar para modificar la configuración del sistema. Los usuarios con autenticación RADIUS también deben configurar una contraseña local. Si el servidor RADIUS no responde, el proceso de inicio de sesión vuelve a la autenticación de contraseña local en la cuenta de administrador local.
En el ejemplo siguiente se muestra cómo configurar una cuenta de administración local protegida por contraseña denominada admin con privilegios de superusuario:
[edit]
system {
login {
user admin {
uid 1000;
class superuser;
authentication {
encrypted-password "<PASSWORD>"; ## SECRET-DATA
}
}
}
}