Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Funciones administrativas

Junos OS Evolucionado le permite definir un usuario del sistema para que actúe como un tipo específico de administrador para el sistema. Puede asignar una función administrativa a un usuario configurando una clase de inicio de sesión para que tenga los atributos de función administrativa. Puede asignar uno de los atributos de rol, como agente de auditoría criptográfico, oficial de seguridad, ids-officer a un usuario administrativo.

Cómo diseñar roles administrativos

Un usuario del sistema puede ser miembro de una clase que le permita actuar como un tipo específico de administrador para el sistema. La necesidad de una función específica para ver o modificar un elemento restringe el alcance de la información que un usuario puede obtener del sistema. También limita la cantidad de elementos del sistema que pueden ser modificados u observados por un usuario. Usted (el administrador del sistema) debe usar las siguientes directrices cuando diseñe funciones administrativas:

  • No permita que ningún usuario inicie sesión en el sistema como root.

  • Restrinja a cada usuario el menor conjunto de privilegios necesarios para cumplir con sus deberes.

  • No permita que ningún usuario pertenezca a una clase de inicio de sesión que contenga el indicador de shell permiso. El shell indicador de permisos permite a los usuarios ejecutar el start shell comando desde la CLI.

  • Permitir que los usuarios tengan permisos de reescación. Los permisos de devolución permiten a los usuarios deshacer una acción realizada por un administrador, pero no les permite confirmar los cambios.

Puede asignar una función administrativa a un usuario configurando una clase de inicio de sesión para que tenga los privilegios necesarios para la función. Puede configurar cada clase para permitir o denegar el acceso a instrucciones de configuración y comandos por nombre. Estas restricciones reemplazan y tienen prioridad sobre cualquier indicador de permiso también configurado en la clase. Puede asignar uno de los siguientes atributos de rol a un usuario administrativo:

  • Crypto-administrator— Permite al usuario configurar y supervisar datos criptográficos.

  • Security-administrator— Permite al usuario configurar y supervisar los datos de seguridad.

  • Audit-administrator— Permite al usuario configurar y supervisar los datos de auditoría.

  • IDS-administrator— Permite al usuario supervisar y borrar los registros de seguridad del servicio de detección de intrusiones (IDS).

Cada función puede realizar las siguientes funciones de administración específicas:

  • Cryptographic Administrator

    • Configura la auto prueba criptográfica.

    • Modifica los parámetros de datos de seguridad criptográfica.

  • Audit Administrator

    • Configura y elimina la función de búsqueda y clasificación de revisión de auditoría.

    • Busca y ordena los registros de auditoría.

    • Configura los parámetros de búsqueda y ordenación.

    • Elimina manualmente los registros de auditoría.

  • Security Administrator

    • Invoca, determina y modifica el comportamiento criptográfico de auto prueba.

    • Habilita, deshabilita, determina y modifica las funciones de análisis de auditoría y selección de auditoría, y configura el dispositivo para eliminar automáticamente los registros de auditoría.

    • Habilita o deshabilita las alarmas de seguridad.

    • Especifica los límites de las cuotas en las conexiones de capa de transporte.

    • Especifica los límites, los identificadores de red y los períodos de tiempo para las cuotas de recursos controlados orientados a la conexión.

    • Especifica las direcciones de red a las que se les permite usar el Protocolo de mensajes de control de Internet (ICMP) o el Protocolo de resolución de direcciones (ARP).

    • Configura la hora y la fecha utilizadas en las marcas de tiempo.

    • Consulta, modifica, elimina y crea las reglas y atributos de control de acceso o flujo de información para la política de funciones de seguridad de flujo de información (SFP) no autenticado, la política de funciones de seguridad de flujo de información autenticada, los servicios de dispositivos no autenticados y la política de control de acceso discrecional.

    • Especifica los valores iniciales que reemplazan los valores predeterminados cuando se crea información de objeto bajo SFP de flujo de información no autenticado, SFP de flujo de información autenticado, los servicios de destino de evaluación (TOE) no autenticado y la política de control de acceso discrecional.

    • Crea, elimina o modifica las reglas que controlan la dirección a partir de la cual se pueden establecer sesiones de administración.

    • Especifica y revoca atributos de seguridad asociados con los usuarios, los sujetos y los objetos.

    • Especifica el porcentaje de capacidad de almacenamiento de auditoría en el que el dispositivo alerta a los administradores.

    • Controla los errores de autenticación y modifica la cantidad de intentos de autenticación fallidos a través de SSH o desde la CLI que pueden producirse antes de que se aplique una limitación progresiva para posteriores intentos de autenticación y antes de que se caiga la conexión.

    • Administra la configuración de red básica del dispositivo.

  • IDS Administrator: especifica las alarmas de seguridad de IDS, las alarmas de intrusión, las selecciones de auditoría y los datos de auditoría.

Debe establecer el atributo security-role en las clases creadas para estas funciones administrativas. Este atributo restringe qué usuarios pueden mostrar y borrar los registros de seguridad, acciones que no se pueden realizar solo a través de la configuración.

Por ejemplo, debe establecer el atributo security-role en la ids-admin clase creada para la función de administrador de IDS si desea restringir la eliminación y mostrar los registros de IDS en el rol de administrador de IDS. Del mismo modo, debe establecer el rol de seguridad en uno de los otros valores de administrador para restringir que esa clase no pueda borrar y mostrar solo registros que no son IDS.

Nota:

Cuando un usuario elimina una configuración existente, las instrucciones de configuración bajo el nivel jerárquico de la configuración eliminada (los objetos secundarios que el usuario no tiene permiso para modificar) permanecen en el dispositivo.

Ejemplo: Cómo configurar roles administrativos

En este ejemplo, se muestra cómo configurar roles administrativos individuales para un conjunto de privilegios distinto y único, aparte de todas las demás funciones administrativas.

Requisitos

No es necesaria ninguna acción más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En este ejemplo, se muestra cómo configurar cuatro roles de usuario administrador:

  • audit-officer de la clase audit-admin

  • crypto-officer de la clase crypto-admin

  • security-officer de la clase security-admin

  • ids-officer de la clase ids-admin

Cuando se configura una security-admin clase, los privilegios para crear administradores se revoca al usuario que creó la security-admin clase. La creación de nuevos usuarios e inicios de sesión queda a discreción de la security-officer.

En este ejemplo, se crean las cuatro funciones de usuario administrativo que se muestran en la lista anterior (administrador de auditoría, cripto admin, administrador de seguridad e ids admin). Para cada rol, se asignan indicadores de permiso relevantes para el rol. A continuación, permite o niega el acceso a instrucciones de configuración y comandos por nombre para cada función administrativa. Estas restricciones específicas tienen prioridad sobre los indicadores de permiso configurados en la clase. Por ejemplo, solo se crypto-admin puede ejecutar el request system set-encryption-key comando, lo que requiere tener el indicador de security permiso para tener acceso a él. Solo se security-admin puede incluir la system time-zone instrucción en la configuración, lo que requiere tener el indicador de system-control permiso.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit en el modo de configuración.

Procedimiento paso a paso

Para configurar roles administrativos:

  1. Cree la clase de inicio de audit-admin sesión.

  2. Configure las restricciones de clase de inicio de audit-admin sesión.

  3. Cree la clase de inicio de crypto-admin sesión.

  4. Configure las restricciones de clase de inicio de crypto-admin sesión.

  5. Cree la clase de inicio de security-admin sesión.

  6. Configure las restricciones de clase de inicio de security-admin sesión.

  7. Cree la clase de inicio de ids-admin sesión.

  8. Configure las restricciones de clase de inicio de ids-admin sesión.

  9. Asigne usuarios a las funciones.

  10. Configure contraseñas para los usuarios.

Resultados

En el modo de configuración, ingrese el comando show system para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Después de configurar el dispositivo, escriba la confirmación en el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar los permisos de inicio de sesión

Propósito

Compruebe los permisos de inicio de sesión del usuario actual.

Acción

En el modo operativo, escriba el show cli authorization comando para comprobar los permisos de inicio de sesión del usuario.

Este resultado resume los permisos de inicio de sesión.

Cómo configurar una cuenta de administrador local

Los privilegios de superusuario dan permiso al usuario para usar cualquier comando en el enrutador y generalmente están reservados para unos pocos usuarios seleccionados, como los administradores del sistema. Usted (el administrador del sistema) debe proteger la cuenta de administrador local con una contraseña para evitar que usuarios no autorizados obtengan acceso a comandos de superusuario. Estos comandos de superusuario se pueden usar para alterar la configuración del sistema. Los usuarios con autenticación RADIUS también deben configurar una contraseña local. Si el servidor RADIUS no responde, el proceso de inicio de sesión vuelve a la autenticación de contraseña local en la cuenta de administrador local.

En el siguiente ejemplo, se muestra cómo configurar una cuenta de administración local protegida por contraseña llamada admin con privilegios de superusuario: