class (Defining Login Classes)

Nombre que elija para la clase de inicio de sesión.

Especifique la hora de finalización en HH:MM formato (24 horas), donde HH representa las horas y MM los minutos.

Especifique la hora de inicio en HH:MM formato (24 horas), donde HH represente las horas y MM los minutos.

Especifique una o más expresiones regulares para permitir que los usuarios de esta clase emita comandos de modo operativo. Utilice la allow-commands instrucción o para permitir explícitamente la allow-commands-regexps autorización de comandos que, de otro modo, se denegarían por los niveles de privilegios de acceso de una clase de inicio de sesión.

Para laallow-commands instrucción, cada expresión separada por un símbolo de canalización (|) debe ser una expresión independiente completa y debe adjuntarse entre paréntesis ( ). No utilice espacios entre expresiones regulares separadas entre paréntesis y conectadas con el símbolo de la canalización (|).

Para la allow-commands-regexps instrucción, configure un conjunto de cadenas en el que cada cadena es una expresión regular, adjuntada entre comillas dobles y separada con un operador de espacio. Cada cadena se evalúa en la ruta completa del comando, lo que proporciona una coincidencia más rápida que la allow-command instrucción. También puede incluir valores para variables en las expresiones regulares, lo que no se admite mediante la allow-commands instrucción.

La deny-commands instrucción o deny-commands-regexps tiene prioridad si se utiliza en la misma definición de clase de inicio de sesión.

Las autorizaciones también se pueden configurar de forma remota especificando los atributos TACACS+ específicos del proveedor de Juniper Networks en la configuración del servidor de autenticación. Para un usuario remoto, cuando los parámetros de autorización se configuran de forma remota y local, los parámetros de autorización configurados de forma remota y local se consideran juntos para la autorización. Para un usuario local, solo se consideran los parámetros de autorización configurados localmente para la clase.

• Predeterminado: Si no configura autorizaciones para comandos de modo operativo mediante las allow/deny-commands instrucciones or allow/deny-commands-regexps , los usuarios pueden editar solo aquellos comandos para los que tienen privilegios de acceso establecidos con la permissions instrucción.

• Sintaxis: regular-expression—Expresión regular extendida (moderna) tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Ingrese tantas expresiones como sea necesario.

Especifique una o más expresiones regulares para permitir explícitamente que los usuarios de esta clase tengan acceso a los niveles especificados en la jerarquía de configuración, incluso si los permisos establecidos con la permissions instrucción no conceden dicho acceso.

Para laallow-configuration instrucción, cada expresión separada por un símbolo de canalización (|) debe ser una expresión independiente completa y debe adjuntarse entre paréntesis ( ). No utilice espacios entre expresiones regulares separadas entre paréntesis y conectadas con el símbolo de la canalización (|).

Para la allow-configuration-regexps instrucción, configure un conjunto de cadenas en el que cada cadena es una expresión regular, adjuntada entre comillas dobles y separada con un operador de espacio. Cada cadena se evalúa en la ruta completa del comando, lo que proporciona una coincidencia más rápida que las instrucciones allow/deny-configuration . También puede incluir valores para variables en las expresiones regulares, lo que no se admite mediante las instrucciones allow/deny-configuration .

La deny-configuration instrucción o deny-configuration-regexps tiene prioridad si se utiliza en la misma definición de clase de inicio de sesión.

• Predeterminado: Si omite la instrucción y la allow-configuration/allow-configuration-regexpsdeny-configuration/deny-configuration-regexps instrucción, los usuarios solo pueden editar aquellos comandos para los que tienen privilegios de acceso a través de la permissions instrucción.

• Sintaxis: regular-expression—Expresión regular extendida (moderna) tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Ingrese tantas expresiones como sea necesario.

Permitir que se ejecuten todos los comandos ocultos. Si la instrucción no-hidden-commands se especifica en el nivel de jerarquía de [edit system], anula esa restricción para esta clase de inicio de sesión. Los comandos ocultos son comandos de Junos OS que no se publican, pero que se pueden ejecutar en un enrutador. Los comandos ocultos tienen un propósito específico, pero en su mayor parte no se espera que se usen y, como tal, no se admiten activamente. La instrucción no-hidden-commands en el nivel de jerarquía de [edit system] le permite bloquear todos los comandos ocultos a todos los usuarios, excepto a los raíz.

• Predeterminado: Los comandos ocultos están habilitados de forma predeterminada.

Restrinja el acceso remoto entrante solo a hosts particulares. Especifique una o varias direcciones de origen desde las que se permite el acceso. Las direcciones de origen pueden ser direcciones IPv4 o IPv6, longitudes de prefijo o nombres de host.

Restrinja el acceso remoto a ciertas horas.

Especifique uno o más días de la semana en los que los usuarios de esta clase pueden iniciar sesión.

• Valores:

  • lunes a lunes

  • martes a martes

  • miércoles a miércoles

  • jueves a jueves

  • viernes— viernes

  • sábado: sábado

  • domingo— domingo

Establezca el indicador de CLI especificado para la clase de inicio de sesión. Si también se establece un indicador de CLI en el nivel jerárquico de [edit system login user cli], el indicador establecido para el usuario de inicio de sesión tiene prioridad sobre el indicador establecido para la clase de inicio de sesión.

Habilite la vista de migas de configuración en la CLI para mostrar la ubicación en la jerarquía de configuración. Para obtener un ejemplo de cómo habilitar esta vista, consulte Habilitación de las migajas de configuración .

Especifique que la confirmación para comandos concretos es explícitamente necesario y, opcionalmente, especifique la redacción del mensaje que se muestra en el momento de confirmar. Puede especificar los comandos mediante una lista de expresiones o comandos regulares.

• Sintaxis: message

• Predeterminado: Si omite esta opción, no es necesario confirmar los comandos. Si el mensaje opcional no está establecido, se muestra el mensaje predeterminado "¿Desea continuar?".

Especifique una o más expresiones regulares para denegar explícitamente el permiso a los usuarios de esta clase para emitir comandos de modo operativo, aunque los permisos establecidos con la permissions instrucción lo permitan.

Para la deny-commands instrucción, cada expresión separada por un símbolo de canalización (|) debe ser una expresión independiente completa y debe estar adjunta entre paréntesis ( ). No utilice espacios entre expresiones regulares separadas entre paréntesis y conectadas con el símbolo de la canalización (|).

Para la deny-commands-regexps instrucción, configure un conjunto de cadenas en el que cada cadena es una expresión regular, adjuntada entre comillas dobles y separada con un operador de espacio. Cada cadena se evalúa en la ruta completa del comando, lo que proporciona una coincidencia más rápida que las instrucciones allow/deny-command . También puede incluir valores para variables en las expresiones regulares, lo que no se admite mediante las instrucciones allow/deny-commands .

Las expresiones configuradas con la deny-commandsdeny-commands-regexps instrucción o tienen prioridad sobre las expresiones configuradas con allow-commands/allow-commands-regexps si se utilizan las dos instrucciones en la misma definición de clase de inicio de sesión.

Las autorizaciones también se pueden configurar de forma remota especificando los atributos TACACS+ específicos del proveedor de Juniper Networks en la configuración del servidor de autenticación. Para un usuario remoto, cuando los parámetros de autorización se configuran de forma remota y local, los parámetros de autorización configurados de forma remota y local se consideran juntos para la autorización. Para un usuario local, solo se consideran los parámetros de autorización configurados localmente para la clase.

• Predeterminado: Si no configura autorizaciones para comandos de modo operativo usando allow/deny-commands o allow/deny-commands-regexps, los usuarios pueden editar solo aquellos comandos para los que tengan privilegios de acceso establecidos con la permissions instrucción.

• Sintaxis: regular-expression—Expresión regular extendida (moderna) tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Ingrese tantas expresiones como sea necesario.

Especifique una o más expresiones regulares para denegar explícitamente a los usuarios de esta clase el acceso a los niveles especificados en la jerarquía de configuración, incluso si los permisos establecidos con la permissions instrucción conceden dicho acceso. Tenga en cuenta que el usuario no puede ver una jerarquía determinada si se niega el acceso a la configuración para esa jerarquía.

Para la deny-configuration instrucción, cada expresión separada por un símbolo de canalización (|) debe ser una expresión independiente completa y debe estar adjunta entre paréntesis ( ). No utilice espacios entre expresiones regulares separadas entre paréntesis y conectadas con el símbolo de la canalización (|).

Para la deny-configuration-regexps instrucción, configure un conjunto de cadenas en el que cada cadena es una expresión regular, adjuntada entre comillas dobles y separada con un operador de espacio. Cada cadena se evalúa en la ruta completa del comando, lo que proporciona una coincidencia más rápida que las instrucciones allow/deny-configuration . También puede incluir valores para variables en las expresiones regulares, lo que no se admite mediante las instrucciones allow/deny-configuration .

Las expresiones configuradas con deny-configuration/deny-configuration-regexps tienen prioridad sobre las expresiones configuradas con allow-configuration/allow-configuration-regexps si las dos instrucciones se utilizan en la misma definición de clase de inicio de sesión.

• Predeterminado: Si omite la instrucción y la deny-configuration/deny-configuration-regexpsallow-configuration/allow-configuration-regexps instrucción, los usuarios pueden editar esos niveles en la jerarquía de configuración para los que tienen privilegios de acceso mediante la permissions instrucción.

• Sintaxis: regular-expression—Expresión regular extendida (moderna) tal como se define en POSIX 1003.2. Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre entre comillas. Ingrese tantas expresiones como sea necesario.

Nunca permita el acceso remoto desde estos hosts. Las direcciones de origen pueden ser direcciones IPv4 o IPv6, longitudes de prefijo o nombres de host.

Nunca permita el acceso remoto durante estos tiempos.

Para una clase de inicio de sesión, configure el tiempo máximo en minutos que una sesión puede estar inactiva antes de que la sesión se desconecte y el usuario haya cerrado la sesión en el dispositivo. El tiempo de espera de la sesión después de permanecer en el indicador del modo operativo de la CLI para el tiempo especificado.

• Predeterminado: Si omite esta instrucción, nunca se fuerza a un usuario fuera del sistema después de tiempos de inactividad extendidos.

• Sintaxis: minutes— Tiempo máximo en minutos que una sesión puede estar inactiva antes de que un usuario se desconecta.

• Gama: Gama: 0 a 4294967295 minutos

  Nota:

  La función de tiempo de espera de inactividad está deshabilitada si el valor de minutes está establecido en 0.

Muestra las alarmas del sistema cuando un usuario con admin permisos inicia sesión en el dispositivo. Para obtener más información acerca de cómo configurar esta instrucción, consulte Configurar alarmas del sistema para que aparezcan automáticamente al iniciar sesión.

Ejecute el script op especificado cuando un usuario que pertenece a la clase inicia sesión en la CLI. El script debe estar habilitado en la configuración.

Asigne los usuarios de esta clase de inicio de sesión a un sistema lógico. Si especifica un sistema lógico, no puede incluir la instrucción satellite configuration en la configuración de esta clase de inicio de sesión.

Muestra las sugerencias de CLI al iniciar sesión.

• Predeterminado: Si esta instrucción no está configurada, no se muestran las sugerencias de CLI.

Denegar todos los comandos ocultos, excepto los especificados, para los usuarios de esta clase de inicio de sesión. Cada comando enumerado como excepción debe adjuntarse entre comillas.

• Predeterminado: Los comandos ocultos están habilitados de forma predeterminada.

• Sintaxis: Excepto [“command 1” “command 2”...]

Desactive las conexiones SCP entrantes para esta clase de inicio de sesión.

Desactive las conexiones SFTP entrantes para esta clase de inicio de sesión.

Especifique los privilegios de acceso de inicio de sesión para la clase de inicio de sesión.

• Sintaxis: permissions— Uno o más indicadores de permiso, que en conjunto especifican los privilegios de acceso para la clase de inicio de sesión. Los indicadores de permisos no son acumulativos, por lo que, para cada clase, debe enumerar todos los indicadores de permisos necesarios, incluso view para mostrar información y configure entrar en el modo de configuración. Para obtener una lista de indicadores de permisos, consulte Indicadores de permiso de clase de inicio de sesión.

Especifique el acceso a los dispositivos satelitales Junos Fusion para la clase de inicio de sesión. Todos los usuarios asignados a la clase de inicio de sesión son usuarios satelitales. Si incluye esta instrucción, no puede incluir la instrucción de configuración del sistema lógico en la configuración de esta clase de inicio de sesión.

• Valores:

  • all (all): permite especificar todos los dispositivos satelitales de Junos Fusion.

Especifique uno o varios roles de seguridad de Criterios comunes (ISO/IEC 15408) para la clase de inicio de sesión.

• Valores:

  audit-administrator	Especifique qué usuarios son responsables de la revisión regular de los datos de auditoría de destino específico de evaluación (TOE) y la eliminación de pistas de auditoría. Los administradores de auditoría también pueden invocar la auto prueba no criptográfica.
  crypto-administrator	Especifique qué usuarios son responsables de la configuración y el mantenimiento de los elementos criptográficos relacionados con el establecimiento de conexiones seguras hacia y desde los datos de auditoría de toe.
  ids-administrator	Especifique qué usuarios pueden actuar como administradores del servicio de detección de intrusiones (IDS), que son responsables de todas las actividades relacionadas con la gestión de identidad y acceso de los empleados de la organización.
  security-administrator	Especifique qué usuarios son responsables de garantizar que la política de seguridad de la organización esté implementada.

Asigne los usuarios de esta clase a un sistema de inquilinos. Los sistemas de inquilinos se utilizan cuando se necesita separar departamentos, organizaciones o clientes, y cada uno de ellos puede estar limitado a un enrutador virtual. La principal diferencia entre un sistema lógico y un sistema de inquilinos es que un sistema lógico admite la funcionalidad de enrutamiento avanzado mediante varias instancias de enrutamiento. En comparación, un sistema de inquilinos solo admite una instancia de enrutamiento, pero admite la implementación de mucho más inquilinos por sistema.

Habilite los menús ocultos en la interfaz J-Web.

Habilite menús de solo lectura en la interfaz J-Web.