Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de las clases de inicio de sesión Junos OS

Junos OS clases de inicio de sesión le permiten definir privilegios de acceso, permiso para usar instrucciones e comandos de la CLI y tiempo de inactividad de sesión para cada clase de inicio de sesión. Puede aplicar una clase de inicio de sesión a una cuenta de usuario individual, con lo que se especifican determinados privilegios y permisos al usuario. Lea este tema para obtener más información.

Descripción general de las clases de inicio de sesión Junos OS

Todos los usuarios que pueden iniciar sesión en el enrutador o conmutador deben encontrarse en una clase login. Con las clases de inicio de sesión, debe definir lo siguiente:

  • Privilegios de acceso que tienen los usuarios cuando inician sesión en el enrutador o conmutador

  • Comandos y instrucciones que los usuarios pueden y no pueden especificar

  • El tiempo que puede estar inactiva una sesión de inicio antes de que se agote el tiempo de espera y que el usuario haya cerrado la sesión

Puede definir cualquier número de clases de inicio de sesión y, a continuación, aplicar una clase de inicio de sesión a una cuenta de usuario individual.

El Junos sistema operativo (Junos OS) contiene algunas clases de inicio de sesión predefinidas, que Tabla 1se enumeran en la. No se pueden modificar las clases de inicio de sesión predefinidas.

Tabla 1: Clases de inicio de sesión del sistema predefinidas

Login (clase)

Marca de permiso establecida

operator

borrar, red, restablecer, rastrear y ver

read-only

vista

superuserosuper-user

resto

unauthorized

Ninguno

Nota:
  • No puede modificar un nombre de clase de inicio de sesión predefinido. Si ejecuta el set comando en un nombre de clase predefinido, el Junos os anexará -local al nombre de clase de inicio de sesión. También aparece el siguiente mensaje:

  • No puede ejecutar el rename comando copy o en una clase login predefinida. Al hacerlo, se obtiene el siguiente mensaje de error:

Bits de permiso

Cada comando de nivel superior de la CLI y cada estado de la configuración tienen asociado un nivel de privilegio de acceso. Los usuarios sólo pueden ejecutar esos comandos, así como configurar y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Los privilegios de acceso de cada clase de inicio de sesión se definen por uno o varios Tabla 2bits de permiso (consulte).

Dos formularios para los permisos controlan las partes individuales de la configuración:

  • Formato "sin formato": proporciona capacidad de solo lectura para ese tipo de permiso. Un ejemplo interface.

  • Formulario que termina -control en: proporciona capacidad de lectura y lectura para ese tipo de permiso. Un ejemplo interface-control.

Tabla 2: Bits de permiso para las clases de inicio de sesión

Bit de permiso

Acceso

admin

Puede ver la información de la cuenta de usuario en el show configuration modo de configuración y con el comando.

admin-control

Puede ver las cuentas de usuario y configurarlas [edit system login] (en el nivel de jerarquía).

access

Puede ver la configuración de acceso en el modo de configuración show configuration y con el comando del modo operativo.

access-control

Permite ver y configurar la información de acceso ( [edit access] en el nivel de jerarquía).

all

Tiene todos los permisos.

clear

Puede borrar (eliminar) la información aprendida de la red almacenada en varias bases de datos de red (utilizando clear los comandos).

configure

Puede entrar en el modo de configuración configure (con el comando) y asignar configuraciones commit (mediante el comando).

control

Puede realizar todas las operaciones de nivel de control (todas las operaciones -control configuradas con los bits de permiso).

field

Reservado para la compatibilidad con campos (depuración).

firewall

Puede ver la configuración de filtro de Firewall en el modo de configuración.

firewall-control

Permite ver y configurar la información de filtros del cortafuegos (en el nivel de [edit firewall] jerarquía).

floppy

Puede leer y escribir en los medios extraíbles.

interface

Puede ver la configuración de la interfaz en el modo de show configuration configuración y con el comando modo de operación.

interface-control

Puede ver la información de configuración del chasis, clase de servicio, grupos, opciones de reenvío e interfaces. Puede configurar el chasis, clase de servicio, grupos, opciones de reenvío e interfaces (en [edit] la jerarquía).

maintenance

Puede llevar a cabo el mantenimiento del sistema, lo que incluye iniciar un shell local en el dispositivo y convertirse en el superusuario su root en el Shell (emitiendo el comando), y puede detener y reiniciar request system el dispositivo (utilizando los comandos).

network

Puede acceder a la red con los pingcomandos ssh, telnet, y traceroute .

reset

Puede reiniciar los procesos de software restart con el comando y puede configurar si los procesos de software están habilitados [edit system processes] o deshabilitados (en el nivel de jerarquía).

rollback

Puede usar el rollback comando para volver a una configuración previamente confirmada que no sea la última que se confirmó.

routing

Permite ver la información de configuración general de enrutamiento, protocolo de enrutamiento y directivas de enrutamiento en los modos de configuración y funcionamiento.

routing-control

Puede ver información general de enrutamiento, protocolo de enrutamiento y configuración de directivas de enrutamiento, y configurar enrutamiento [edit routing-options] general (en el nivel de jerarquía), [edit protocols] protocolos de enrutamiento (en el nivel de jerarquía) [edit policy-options] y directivas de enrutamiento (en el nivel de jerarquía).

secret

Puede ver contraseñas y otras claves de autenticación en la configuración.

secret-control

Puede ver contraseñas y otras claves de autenticación en la configuración y puede modificarlas en modo de configuración.

security

Puede ver la configuración de seguridad en el modo de show configuration configuración y con el comando modo de funcionamiento.

security-control

Permite ver y configurar la información de seguridad ( [edit security] en el nivel de jerarquía).

shell

Puede iniciar un shell local en el dispositivo entrando en start shell el comando.

snmp

Puede ver la información de configuración de SNMP en los modos de configuración y funcionamiento.

snmp-control

Puede ver la información de configuración de SNMP y configurar SNMP [edit snmp] (en el nivel de jerarquía).

system

Puede ver la información de nivel de sistema en los modos de configuración y funcionamiento.

system-control

Puede ver la información de configuración de nivel del sistema y configurarla (en el nivel de [edit system] jerarquía).

trace

Puede ver la configuración del archivo de seguimiento en los modos de configuración y funcionamiento.

trace-control

Permite ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.

view

Puede utilizar varios comandos para mostrar los valores y estadísticas específicos del sistema y de la tabla de enrutamiento, y de los protocolos.

Denegar o permitir comandos individuales

De forma predeterminada, todos los comandos de nivel superior de la CLI tienen los niveles de privilegio de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Para cada clase de inicio de sesión se puede denegar o permitir de forma explícita el uso de comandos de modo operativo y de configuración que, de lo contrario, están permitidos o no permitidos por un bit de permiso.

Definir Junos OS clases de inicio de sesión

Las clases de inicio de sesión permiten definir lo siguiente:

  • Privilegios de acceso que tienen los usuarios cuando inician sesión en el enrutador o conmutador

  • Comandos y instrucciones que los usuarios pueden y no pueden especificar

  • El tiempo que puede estar inactiva una sesión de inicio antes de que se agote el tiempo de espera y que el usuario haya cerrado la sesión

Todos los usuarios que pueden iniciar sesión en el enrutador o conmutador deben encontrarse en una clase login. Por lo tanto, debe definir una clase de inicio de sesión Junos OS para cada usuario o clase de usuarios. Puede definir cualquier número de clases de inicio de sesión en función de los tipos de permisos que necesiten los usuarios.

Para definir una clase de inicio de sesión y sus privilegios de class acceso, incluya [edit system login] la instrucción en el nivel de jerarquía:

Ejemplo Crear clases de inicio de sesión con privilegios específicos

Las clases de inicio de sesión se utilizan para asignar determinados permisos o restricciones a grupos de usuarios, lo que garantiza que los comandos confidenciales sólo serán accesibles para los usuarios apropiados. De forma predeterminada, Juniper Networks dispositivos tienen cuatro tipos de clases de inicio de sesión con permisos preestablecidos: operador, sólo lectura, superusuario o superuser y no autorizado.

Puede crear nuevas clases de inicio de sesión para crear distintas combinaciones de permisos que no se encuentran en las clases predeterminadas de inicio de sesión. En el ejemplo siguiente se muestra cómo crear tres clases de inicio de sesión personalizadas, cada una con temporizadores y privilegios específicos para desconectar los miembros de clase después de un período de inactividad. Los temporizadores de inactividad ayudan a proteger la seguridad de la red desconectando a un usuario de la red si el usuario está lejos de su equipo durante demasiado tiempo, evitando los riesgos de seguridad potenciales que se creen dejando una cuenta desatendida abierta con una sesión iniciada en un conmutador o enrutador. Los temporizadores de inactividad y permisos mostrados aquí son solo ejemplos y deben personalizarse en su organización.

Se llama observation a la primera clase de usuarios y solo pueden ver estadísticas y configuraciones. No tienen permiso para modificar ninguna configuración. Se llama operation a la segunda clase de usuarios, que pueden ver y modificar la configuración. Se llama engineering a la tercera clase de usuarios y tienen acceso y control ilimitados. Las tres clases de inicio de sesión utilizan el mismo temporizador de inactividad de 5 minutos.