Descripción general de las clases de inicio de sesión

Las clases de inicio de sesión de Junos OS Evolved definen los privilegios de acceso, los permisos para usar instrucciones y comandos de CLI, y el tiempo de inactividad de la sesión para los usuarios asignados a esa clase. Usted (el administrador del sistema) puede aplicar una clase de inicio de sesión a una cuenta de usuario individual, asignando así ciertos privilegios y permisos al usuario.

Descripción general de las clases de inicio de sesión

Todos los usuarios que puedan iniciar sesión en un dispositivo que ejecute Junos OS Evolved deben estar en una clase de inicio de sesión. Cada clase de inicio de sesión define lo siguiente:

Privilegios de acceso que tienen los usuarios cuando inician sesión en el dispositivo de red
Comandos que los usuarios pueden y no pueden ejecutar
Instrucciones de configuración que los usuarios pueden ver o modificar
Cantidad de tiempo que una sesión de inicio de sesión puede estar inactiva antes de que el sistema desconecte al usuario

Puede definir cualquier número de clases de inicio de sesión. Sin embargo, solo se asigna una clase de inicio de sesión a una cuenta de usuario individual.

Junos OS Evolved incluye clases de inicio de sesión predefinidas, que se enumeran en la tabla 1. No puede modificar las clases de inicio de sesión predefinidas.

Tabla 1: Clases predefinidas de inicio de sesión del sistema
Clase de inicio de sesión	Conjunto de indicadores de permiso
`operator`	borrar, red, restablecer, rastrear y ver
`read-only`	Vista
`superuser` O `super-user`	todo
`unauthorized`	Ninguno

Nota:

No puede modificar un nombre de clase de inicio de sesión predefinido. Si ejecuta el set comando en un nombre de clase predefinido, el dispositivo anexa al nombre de -local la clase de inicio de sesión y emite la siguiente advertencia:
No puede emitir el rename o comando copy en una clase de inicio de sesión predefinida. Al hacerlo, aparecerá el siguiente mensaje de error:

Bits de permiso
Denegar o permitir comandos individuales y jerarquías de instrucción

Bits de permiso

Cada comando de CLI de nivel superior y cada instrucción de configuración tienen un nivel de privilegio de acceso asociado. Los usuarios solo pueden ejecutar esos comandos y configurar y ver solo aquellas instrucciones para las que tienen privilegios de acceso. Cada clase de inicio de sesión define uno o más bits de permiso que determinan los privilegios de acceso.

Dos formularios para los permisos controlan si un usuario puede ver o modificar las partes individuales de la configuración:

Formulario "sin formato": ofrece capacidad de solo lectura para ese tipo de permiso. Un ejemplo es interface.
-control formulario: ofrece capacidad de lectura y escritura para ese tipo de permiso. Un ejemplo es interface-control.

En la tabla 2 se describen los indicadores de permisos y los privilegios de acceso asociados.

Tabla 2: Indicadores de permiso de clase de inicio de sesión
Marca de permiso	Descripción
`access`	Puede ver la configuración de acceso en modo operativo o modo de configuración.
`access-control`	Puede ver y configurar la información de acceso en el `[edit access]` nivel jerárquico.
`admin`	Puede ver la información de cuentas de usuario en modo operativo o modo de configuración.
`admin-control`	Puede ver la información de cuentas de usuario y configurarla en el `[edit system]` nivel jerárquico.
`all`	Puede acceder a todos los comandos del modo operativo y del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquía de configuración.
`clear`	Puede borrar (eliminar) información que el dispositivo aprende de la red y almacena en varias bases de datos de red (mediante los `clear` comandos).
`configure`	Puede entrar en el modo de configuración (mediante el `configure` comando) y confirmar configuraciones (mediante el `commit` comando).
`control`	Puede realizar todas las operaciones a nivel de control, todas las operaciones configuradas con los indicadores de `-control` permiso.
`field`	Puede ver comandos de depuración de campos. Reservado para soporte de depuración.
`firewall`	Puede ver la configuración del filtro de firewall en modo operativo o modo de configuración.
`firewall-control`	Puede ver y configurar la información del filtro de firewall en el `[edit firewall]` nivel jerárquico.
`floppy`	Puede leer desde y escribir en el medio extraíble.
`flow-tap`	Puede ver la configuración de toque de flujo en modo operativo o modo de configuración.
`flow-tap-control`	Puede ver y configurar información de toque de flujo en el `[edit services flow-tap]` nivel jerárquico.
`flow-tap-operation`	Puede hacer solicitudes de toque de flujo al enrutador o conmutador. Por ejemplo, un cliente de Protocolo de control de tareas dinámicas (DTCP) debe tener `flow-tap-operation` permiso para autenticarse en Junos OS Evolucionado como usuario administrativo. Nota: La `flow-tap-operation` opción no está incluida en el indicador de `all-control` permisos.
`idp-profiler-operation`	Puede ver datos del generador de perfiles.
`interface`	Puede ver la configuración de interfaz en modo operativo y modo de configuración.
`interface-control`	Puede ver el chasis, la clase de servicio (CoS), los grupos, las opciones de reenvío y la información de configuración de interfaces. Puede modificar la configuración en los siguientes niveles jerárquicos: `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	Puede realizar mantenimiento del sistema, como iniciar un shell local en el dispositivo y convertirse en el superusuario en el shell (mediante el `su root` comando) y detener y reiniciar el dispositivo (mediante los `request system` comandos).
`network`	Puede acceder a la red mediante el uso de los `ping`comandos , `ssh`, `telnet`y `traceroute` .
`pgcp-session-mirroring`	Puede ver la configuración de `pgcp` duplicación de sesión.
`pgcp-session-mirroring-control`	Puede modificar la configuración de `pgcp` duplicación de sesión.
`reset`	Puede reiniciar procesos de software mediante el `restart` comando.
`rollback`	Puede usar el `rollback` comando para volver a una configuración confirmada anteriormente.
`routing`	Puede ver información general de enrutamiento, protocolo de enrutamiento y política de enrutamiento en el modo de configuración y el modo operativo.
`routing-control`	Puede ver y configurar enrutamiento general en el `[edit routing-options]` nivel de jerarquía, protocolos de enrutamiento en el `[edit protocols]` nivel de jerarquía e información de política de enrutamiento en el `[edit policy-options]` nivel de jerarquía.
`secret`	Puede ver contraseñas y otras claves de autenticación en la configuración.
`secret-control`	Puede ver y modificar contraseñas y otras claves de autenticación en la configuración.
`security`	Puede ver la información de configuración de seguridad en modo operativo y modo de configuración.
`security-control`	Puede ver y configurar información de seguridad en el `[edit security]` nivel jerárquico.
`shell`	Puede iniciar un shell local en el enrutador o conmutador mediante el `start shell` comando.
`snmp`	Puede ver la información de configuración del Protocolo de administración de red simple (SNMP) en el modo operativo o en el modo de configuración.
`snmp-control`	Puede ver y modificar la información de configuración snmp en el `[edit snmp]` nivel jerárquico.
`system`	Puede ver información a nivel del sistema en modo operativo o modo de configuración.
`system-control`	Puede ver y modificar la información de configuración a nivel del sistema en el `[edit system]` nivel jerárquico.
`trace`	Puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
`trace-control`	Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
`view`	Puede usar varios comandos para mostrar los valores y estadísticas específicos del protocolo y la tabla de enrutamiento actuales en todo el sistema. No se puede ver la configuración secreta.
`view-configuration`	Puede ver toda la configuración, excepto secretos, scripts del sistema y opciones de eventos. Nota: Solo los usuarios con permiso pueden ver el `maintenance` script de confirmación, la secuencia de comandos op o la configuración de secuencias de comandos de eventos.

Denegar o permitir comandos individuales y jerarquías de instrucción

De forma predeterminada, todos los comandos y instrucciones de CLI de nivel superior tienen niveles de privilegio de acceso asociados. Los usuarios pueden ejecutar solo esos comandos y ver y configurar solo aquellas instrucciones para las que tienen privilegios de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente a los usuarios el uso de comandos de modo operativo y de comandos de modo de configuración y jerarquías de instrucción de configuración que de otro modo se permiten o niegan con un bit de permiso.

Ejemplo: Crear clases de inicio de sesión con privilegios específicos

Se definen clases de inicio de sesión para asignar ciertos permisos o restricciones a grupos de usuarios, lo que garantiza que los comandos confidenciales solo sean accesibles para los usuarios adecuados. De forma predeterminada, los dispositivos de Juniper Networks tienen cuatro tipos de clases de inicio de sesión con permisos preestablecidos: operador, solo lectura, superusuario o superusuario y no autorizado.

Puede crear clases de inicio de sesión personalizadas para definir diferentes combinaciones de permisos que no se encuentran en las clases de inicio de sesión predeterminadas. En el siguiente ejemplo, se muestran tres clases de inicio de sesión personalizadas, cada una con privilegios específicos y temporizadores de inactividad. Los temporizadores de inactividad ayudan a proteger la seguridad de la red al desconectar a un usuario de la red si el usuario está inactivo durante demasiado tiempo. La desconexión del usuario evita posibles riesgos de seguridad que resultan cuando un usuario abandona una cuenta desatendida que inicia sesión en un conmutador o enrutador. Los permisos y temporizadores de inactividad que se muestran aquí son solo ejemplos; debe personalizar los valores de su organización.

Las tres clases de inicio de sesión y sus privilegios son los siguientes. Las tres clases de inicio de sesión usan el mismo temporizador de inactividad de 5 minutos.

observation— Solo se pueden ver las estadísticas y la configuración
operation— Puede ver y modificar la configuración
engineering—Acceso y control ilimitados