Descripción general de las clases de inicio de sesión
Junos OS las clases de inicio de sesión definen los privilegios de acceso, los permisos para usar comandos e instrucciones de CLI y el tiempo de inactividad de sesión para los usuarios asignados a esa clase. Usted (el administrador del sistema) puede aplicar una clase de inicio de sesión a una cuenta de usuario individual, asignando así ciertos privilegios y permisos al usuario.
Descripción general de las clases de inicio de sesión
Todos los usuarios que puedan iniciar sesión en un dispositivo en ejecución Junos OS deben pertenecer a una clase de inicio de sesión. Cada clase de inicio de sesión define lo siguiente:
-
Privilegios de acceso que tienen los usuarios cuando inician sesión en el dispositivo de red
-
Comandos que los usuarios pueden y no pueden ejecutar
-
Instrucciones de configuración que los usuarios pueden y no pueden ver o modificar
-
Cantidad de tiempo que una sesión de inicio de sesión puede estar inactiva antes de que el sistema desconecte al usuario
Puede definir cualquier número de clases de inicio de sesión. Sin embargo, solo asigna una clase de inicio de sesión a una cuenta de usuario individual.
Junos OS Incluye clases de inicio de sesión predefinidas, que se enumeran en Tabla 1. No puede modificar las clases de inicio de sesión predefinidas.
Login Class |
Conjunto de indicadores de permisos |
---|---|
|
borrar, conectar, restablecer, rastrear y ver |
|
ver |
|
todo |
|
Ninguna |
La funcionalidad del servidor SFTP y SCP está desactivada cuando se utilizan las clases de inicio de operator
read-only
sesión o predefinidas.
A partir de Junos OS Evolved versión 23.4R2, la clase de inicio de superuser
sesión no puede escribir en el /var/log/ directorio. Sólo el root
usuario puede escribir en /var/log/.
Bits de permiso
Cada comando de CLI de nivel superior y cada instrucción de configuración tiene un nivel de privilegio de acceso asociado. Los usuarios solo pueden ejecutar esos comandos y configurar y ver solo aquellas instrucciones para las que tienen privilegios de acceso. Cada clase de inicio de sesión define uno o más bits de permiso que determinan los privilegios de acceso.
Dos formularios para los permisos controlan si un usuario puede ver o modificar las partes individuales de la configuración:
-
Formulario "sin formato": proporciona capacidad de solo lectura para ese tipo de permiso. Un ejemplo es
interface
. -
-control
form: proporciona capacidad de lectura y escritura para ese tipo de permiso. Un ejemplo esinterface-control
.
Tabla 2 Describe los indicadores de permisos y los privilegios de acceso asociados.
Indicador de permiso |
Description |
---|---|
Puede ver la configuración de acceso en modo operativo o en modo de configuración. |
|
Puede ver y configurar la información de acceso en el nivel jerárquico |
|
Puede ver la información de la cuenta de usuario en modo operativo o modo de configuración. |
|
Puede ver la información de la cuenta de usuario y configurarla en el nivel jerárquico |
|
Puede acceder a todos los comandos del modo operativo y del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquía de configuración. |
|
Puede borrar (eliminar) información que el dispositivo aprende de la red y almacena en varias bases de datos de red (usando los |
|
Puede entrar en el modo de configuración (con el |
|
Puede realizar todas las operaciones de nivel de control, todas las operaciones configuradas con los indicadores de |
|
Puede ver comandos de depuración de campos. Reservado para soporte de depuración. |
|
Puede ver la configuración del filtro del firewall en modo operativo o en modo de configuración. |
|
Puede ver y configurar la información del filtro del firewall en el nivel jerárquico |
|
Puede leer y escribir en los medios extraíbles. |
|
Puede ver la configuración flow-tap en modo operativo o en modo de configuración. |
|
Puede ver y configurar información de flujo y pulsación en el nivel jerárquico |
|
Puede realizar solicitudes de flow-tap al enrutador o conmutador. Por ejemplo, un cliente del Protocolo de control dinámico de tareas (DTCP) debe tener Nota:
La |
|
Puede ver los datos del generador de perfiles. |
|
Puede ver la configuración de la interfaz en modo operativo y modo de configuración. |
|
Puede ver el chasis, la clase de servicio (CoS), los grupos, las opciones de reenvío y la información de configuración de las interfaces. Puede modificar la configuración en los siguientes niveles jerárquicos:
|
|
Puede realizar el mantenimiento del sistema, incluido el inicio de un shell local en el dispositivo y convertirse en el superusuario en el shell (usando el |
|
Puede tener acceso a la red mediante los |
|
Puede ver la configuración de creación de reflejo de la |
|
Puede modificar la configuración de creación de reflejo de la |
|
Puede reiniciar procesos de software mediante el |
|
Puede utilizar el |
|
Puede ver información general de enrutamiento, protocolo de enrutamiento y configuración de políticas de enrutamiento en modo de configuración y modo operativo. |
|
Puede ver y configurar enrutamiento general en el nivel de |
|
Puede ver contraseñas y otras claves de autenticación en la configuración. |
|
Puede ver y modificar contraseñas y otras claves de autenticación en la configuración. |
|
Puede ver información de configuración de seguridad en modo operativo y modo de configuración. |
|
Puede ver y configurar la información de seguridad en el nivel jerárquico |
|
Puede iniciar un shell local en el enrutador o conmutador mediante el |
|
Puede ver la información de configuración del Protocolo simple de administración de redes (SNMP) en modo operativo o en modo de configuración. |
|
Puede ver y modificar la información de configuración de SNMP en el nivel jerárquico |
|
|
Puede ver la información de configuración del almacenamiento de canal de fibra en el nivel jerárquico |
|
Puede modificar la información de configuración del almacenamiento del canal de fibra en el nivel jerárquico |
Puede ver información a nivel de sistema en modo operativo o modo de configuración. |
|
Puede ver y modificar la información de configuración de nivel de sistema en el nivel de |
|
Puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento. |
|
Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento. |
|
|
Puede ver la configuración unificada del borde en la |
|
Puede modificar la configuración unificada relacionada con el borde en la |
Puede usar varios comandos para mostrar valores y estadísticas actuales de todo el sistema, tabla de enrutamiento y específicos del protocolo. No se puede ver la configuración secreta. |
|
Puede ver toda la configuración, excepto secretos, scripts del sistema y opciones de eventos. Nota:
Solo los usuarios con el permiso pueden ver el script de confirmación, el script de operación o la configuración del |
Denegar o permitir comandos individuales y jerarquías de instrucciones
De forma predeterminada, todos los comandos e instrucciones CLI de nivel superior tienen niveles de privilegios de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente a los usuarios el uso de comandos de modo operativo y comandos de modo de configuración y jerarquías de instrucciones de configuración que de otro modo estarían permitidas o denegadas por un bit de permiso.
Ejemplo: Crear clases de inicio de sesión con privilegios específicos
Las clases de inicio de sesión se definen para asignar determinados permisos o restricciones a grupos de usuarios, lo que garantiza que los comandos confidenciales solo sean accesibles para los usuarios adecuados. De forma predeterminada, los dispositivos de Juniper Networks tienen cuatro tipos de clases de inicio de sesión con permisos preestablecidos: operador, solo lectura, superusuario o superusuario, y no autorizado.
Puede crear clases de inicio de sesión personalizadas para definir diferentes combinaciones de permisos que no se encuentran en las clases de inicio de sesión predeterminadas. En el ejemplo siguiente se muestran tres clases de inicio de sesión personalizadas, cada una con privilegios específicos y temporizadores de inactividad. Los temporizadores de inactividad ayudan a proteger la seguridad de la red al desconectar a un usuario de la red si el usuario está inactivo durante demasiado tiempo. La desconexión del usuario evita los posibles riesgos de seguridad que se producen cuando un usuario abandona una cuenta desatendida iniciada en un conmutador o enrutador. Los permisos y temporizadores de inactividad que se muestran aquí son solo ejemplos; Debe personalizar los valores para su organización.
Las tres clases de inicio de sesión y sus privilegios son los siguientes. Las tres clases de inicio de sesión utilizan el mismo temporizador de inactividad de 5 minutos.
observation
—Solo puede ver las estadísticas y la configuraciónoperation
: puede ver y modificar la configuraciónengineering
—Acceso y control ilimitados
[edit] system { login { class observation { idle-timeout 5; permissions [ view ]; } class operation { idle-timeout 5; permissions [ admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback ]; } class engineering { idle-timeout 5; permissions all; } } }
Descripción de los privilegios de acceso de coincidencia exacta para las clases de inicio de sesión
Los privilegios de acceso de coincidencia exacta le permiten permitir o denegar explícitamente cadenas de configuración exactas para definir reglas de control de acceso para las clases de inicio de sesión. A partir de Junos OS y Junos OS Evolved versión 23.4R1, puede utilizar las instrucciones y configuración para deny-configuration-exact-match
controlar los privilegios de allow-configuration-exact-match
acceso de coincidencia exacta.
Ventajas
-
Restrinja la eliminación de jerarquías de configuración de nivel superior mientras permite la eliminación de subjerarquías específicas. Esto admite una autorización de comandos más específica.
-
Asegúrese de que
set
los comandos siguen estando permitidos en una jerarquía, incluso si se deniega la eliminación. Esta separación de autorización yset
delete
permite controles de acceso más flexibles. -
Permitir o denegar cadenas de comandos de configuración precisa, además de expresiones regulares. Esto admite la configuración de reglas de acceso altamente específicas cuando sea necesario.
-
Aproveche las reglas de autorización avanzadas de servidores TACACS+ externos, además de las reglas locales. Esto facilita la administración centralizada de políticas.
Puede configurar privilegios de acceso que coincidan exactamente con las allow-configuration-exact-match
instrucciones de configuración y deny-configuration-exact-match
en el nivel jerárquico [edit system login class name]
. Utilice cadenas de jerarquía que comiencen por uno de los siguientes operadores:
set
delete
active
deactivate
También se admiten caracteres comodín. Por ejemplo, la deny-configuration-exact-match delete interfaces*
instrucción utiliza el carácter comodín * para especificar todas las interfaces.
Si delete
se deniega o deactivate
se deniega para una jerarquía de configuración determinada, los set
comandos o aún se pueden permitir mediante activate
allow-configuration-exact-match
. Si configura ambos allow-configuration-exact-match
y deny-configuration-exact-match
con el mismo operador y configuración, se denegará el acceso a la configuración.
Las nuevas reglas de coincidencia exacta se pueden configurar localmente o en servidores TACACS+ externos.