Configuración de inicio de sesión
Junos OS Evolved le permite definir varias opciones para los usuarios cuando inician sesión en un dispositivo. Usted (el administrador del sistema) puede configurar:
- Mensajes o anuncios para mostrar antes o después del inicio de sesión
- Si desea mostrar las alarmas del sistema al iniciar sesión
- Consejos para iniciar sesión
- Valores de tiempo de espera para sesiones inactivas
- Si se debe bloquear una cuenta de usuario después de varios intentos fallidos de autenticación
Mostrar un anuncio o mensaje de inicio de sesión del sistema
A veces desea hacer anuncios solo a usuarios autorizados después de que inicien sesión en un dispositivo. Por ejemplo, es posible que desee anunciar un próximo evento de mantenimiento. En otras ocasiones, puede ser apropiado mostrar un mensaje, como una advertencia de seguridad, a cualquier usuario que se conecte al dispositivo.
De forma predeterminada, Junos OS Evolved no muestra ningún mensaje de inicio de sesión ni anuncio. Puede configurar el dispositivo para que muestre un mensaje de inicio de sesión o un anuncio incluyendo la message
instrucción o la announcement
instrucción en el nivel jerárquico [edit system login]
. Mientras que el dispositivo muestra un inicio de sesión message después de que un usuario se conecta al dispositivo pero antes de que el usuario inicie sesión, muestra un announcement solo después de que el usuario inicie sesión correctamente en el dispositivo.
Puede dar formato al texto del mensaje o anuncio con los siguientes caracteres especiales. Si el texto contiene espacios, escríbalo entre comillas:
-
\n—Nueva línea
-
\t: pestaña horizontal
-
\'—comillas simples
-
\"—comillas dobles
-
\\—Barra diagonal inversa
Para configurar un anuncio que solo puedan ver los usuarios autorizados y un mensaje que pueda ver cualquier usuario:
Mostrar alarmas del sistema al iniciar sesión
Puede configurar dispositivos de Juniper Networks para que ejecuten el show system alarms
comando siempre que un usuario de una clase de inicio de sesión determinada inicie sesión en el dispositivo.
Para mostrar alarmas cada vez que un usuario de una clase de inicio de sesión específica inicia sesión en el dispositivo:
Cuando un usuario de la clase de inicio de sesión dada inicia sesión en el dispositivo, el dispositivo muestra las alarmas actuales.
$ ssh user@host.example.com Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speed
Configurar consejos de inicio de sesión
Puede configurar la CLI de Junos OS Evolved para que muestre una sugerencia cada vez que un usuario de la clase de inicio de sesión especificada inicie sesión en el dispositivo. El dispositivo no muestra las puntas de forma predeterminada.
Para habilitar las sugerencias:
Cuando se configura la login-tip
instrucción, el dispositivo muestra una sugerencia a cualquier usuario de la clase especificada que inicie sesión en el dispositivo.
$ ssh user@host.example.com Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>
Configurar el valor de tiempo de espera para sesiones de inicio de sesión inactivas
Una sesión de inicio de sesión inactiva es aquella en la que la CLI muestra el indicador del modo operativo o del modo de configuración, pero no hay ninguna entrada desde el teclado. De forma predeterminada, una sesión de inicio de sesión permanece establecida hasta que un usuario cierra sesión en el dispositivo, incluso si esa sesión está inactiva. Para cerrar las sesiones inactivas automáticamente, debe configurar un límite de tiempo para cada clase de inicio de sesión. Si una sesión establecida por un usuario de esa clase permanece inactiva durante el límite de tiempo configurado, la sesión se cierra automáticamente. El cierre automático de las sesiones de inicio de sesión inactivas ayuda a evitar que usuarios malintencionados obtengan acceso al dispositivo y realicen operaciones con una cuenta de usuario autorizada.
Puede configurar un tiempo de espera de inactividad solo para clases definidas por el usuario. No puede configurar esta opción para las clases predefinidas del sistema: operator
, read-only
super-user
, o superuser
, y unauthorized
.
Para definir el valor de tiempo de espera para las sesiones de inicio de sesión inactivas:
Si configura un valor de tiempo de espera, la CLI muestra mensajes similares a los siguientes al agotar el tiempo de espera de un usuario inactivo. La CLI comienza a mostrar estos mensajes 5 minutos antes de desconectar al usuario.
user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing session
Si configura un valor de tiempo de espera, la sesión se cierra después de que transcurra el tiempo especificado, excepto en los siguientes casos:
-
El usuario está ejecutando el
ssh
comando otelnet
. -
El usuario ha iniciado sesión en el shell local de UNIX.
-
El usuario supervisa las interfaces mediante el
monitor interface
monitor traffic
comando o.
Opciones de reintento de inicio de sesión
Puede configurar las opciones de reintento de inicio de sesión en dispositivos de la red de Juniper para protegerlos de usuarios malintencionados. Puede configurar las siguientes opciones:
-
Número de veces que un usuario puede introducir credenciales de inicio de sesión no válidas antes de que el sistema cierre la conexión.
-
Si se debe bloquear una cuenta de usuario después de que el usuario alcance el umbral de intentos fallidos de autenticación y durante cuánto tiempo.
Limitar los intentos de inicio de sesión y bloquear la cuenta de usuario ayuda a proteger el dispositivo de usuarios malintencionados que intentan acceder al sistema adivinando la contraseña de una cuenta de usuario autorizada. Puede desbloquear la cuenta de usuario o definir un período de tiempo para que la cuenta de usuario permanezca bloqueada.
Las opciones de reintento de inicio de sesión se configuran en el nivel jerárquico [edit system login retry-options]
. Junos OS Evolved permite tres intentos fallidos de inicio de sesión antes de que el dispositivo desconecte al usuario. No puede modificar el umbral predeterminado para los intentos fallidos de inicio de sesión.
La lockout-period
instrucción indica al dispositivo que bloquee la cuenta de usuario durante el tiempo especificado si el usuario alcanza el umbral de intentos de inicio de sesión fallidos. El bloqueo impide que el usuario realice actividades que requieren autenticación hasta que haya transcurrido el período de bloqueo o un administrador del sistema borre manualmente el bloqueo. Los bloqueos existentes se omiten cuando el usuario intenta iniciar sesión desde la consola local.
Para configurar las opciones de reintento de inicio de sesión:
- Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcanza el umbral de intentos fallidos de inicio de sesión.
[edit system login retry-options] user@host# set lockout-period minutes
Por ejemplo, para bloquear una cuenta de usuario durante 120 minutos después de que un usuario alcance el umbral de intentos fallidos de inicio de sesión:
[edit system login retry-options] user@host# set lockout-period 120
-
Confirme la configuración.
[edit system login retry-options] user@host# commit
Para borrar la consola durante un cierre de sesión iniciado por el administrador, incluya caracteres de nueva línea (\n) cuando configure la message
instrucción en el nivel de [edit system login]
jerarquía. Para borrar completamente la consola, el administrador puede introducir 50 o más \n caracteres en la cadena de mensaje. Por ejemplo:
user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"