Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de inicio de sesión

Junos OS le permite definir varias configuraciones para los usuarios cuando inician sesión en un dispositivo. Usted (el administrador del sistema) puede configurar:

  • Mensajes o anuncios que se mostrarán antes o después del inicio de sesión
  • Si se muestran las alarmas del sistema al iniciar sesión
  • Consejos de inicio de sesión
  • Acceso de usuario basado en el tiempo
  • Valores de tiempo de espera para sesiones inactivas
  • Límites en la cantidad de intentos de inicio de sesión
  • Si se bloquea una cuenta de usuario después de varios intentos de autenticación fallidos

Mostrar un anuncio o mensaje de inicio de sesión del sistema

A veces, solo desea hacer anuncios a usuarios autorizados después de iniciar sesión en un dispositivo. Por ejemplo, es posible que desee anunciar un evento de mantenimiento próximo. En otras ocasiones, podría ser apropiado mostrar un mensaje, como una advertencia de seguridad, a cualquier usuario que se conecte al dispositivo.

De forma predeterminada, Junos OS no muestra ningún mensaje de inicio de sesión ni anuncio. Puede configurar el dispositivo para que muestre un mensaje o anuncio de inicio de sesión incluyendo la message instrucción o la en el nivel de announcement[edit system login] jerarquía. Mientras que el dispositivo muestra un mensaje de inicio de sesión después de que un usuario se conecta al dispositivo, pero antes de que el usuario inicie sesión, muestra un anuncio solo después de que el usuario inicie sesión correctamente en el dispositivo.

Puede formatear el mensaje o el texto del anuncio con los siguientes caracteres especiales. Si el texto contiene espacios, entre comillas:

  • \n: nueva línea

  • \t: pestaña Horizontal

  • \': una sola comilla

  • \": comilla doble

  • \\: barra diagonal inversa

Para configurar un anuncio que solo los usuarios autorizados puedan ver y un mensaje que cualquier usuario pueda ver:

  1. Incluya la announcement instrucción y la instrucción en el nivel de message[edit system login] jerarquía.

    Por ejemplo:

  2. Confirme la configuración.
  3. Conéctese al dispositivo para comprobar la presencia del mensaje nuevo.

    En el ejemplo de configuración anterior se muestra el siguiente mensaje de inicio de sesión después de que el usuario se conecta al dispositivo. En el ejemplo, se muestra el anuncio después de que el usuario inicie sesión:

Muestra las alarmas del sistema al iniciar sesión

Puede configurar Juniper Networks dispositivos para ejecutar el comando siempre que un usuario en una clase de inicio de sesión show system alarms dada inicie sesión en el dispositivo.

Para mostrar alarmas siempre que un usuario en una clase de inicio de sesión específica inicie sesión en el dispositivo:

  1. Configure la login-alarms instrucción para la clase de inicio de sesión adecuada.

    Por ejemplo, para mostrar alarmas siempre que un usuario en la clase de inicio de sesión admin inicie sesión en el dispositivo:

  2. Confirme la configuración.

Cuando un usuario de la clase de inicio de sesión dada inicia sesión en el dispositivo, este muestra las alarmas actuales.

Configurar consejos de inicio de sesión

Puede configurar el CLI mostrar un consejo siempre que un usuario en la clase de inicio de sesión Junos OS dada inicie sesión en el dispositivo. El dispositivo no muestra consejos de forma predeterminada.

Para habilitar consejos:

  1. Configure login-tip la instrucción en [edit system login class class-name] el nivel de jerarquía.
  2. Confirme la configuración.

Cuando configure la instrucción, el dispositivo mostrará una propina a cualquier usuario de la clase especificada que login-tip inicie sesión en el dispositivo.

Configurar el acceso de usuario basado en el tiempo

Puede configurar dispositivos de Juniper Networks compatibles para aplicar el acceso de usuario basado en el tiempo para los usuarios de una clase determinada. El acceso de usuario basado en el tiempo restringe el tiempo y la duración de los inicios de sesión de usuario para todos los usuarios que pertenecen a la clase. Puede restringir el acceso del usuario según la hora del día o el día de la semana.

Para restringir el acceso del usuario a ciertos días o horas, incluya las siguientes instrucciones en el [edit system login class class-name] nivel jerárquido:

  • allowed-days: configure el acceso del usuario en días específicos de la semana.

  • access-start y : configure el acceso del usuario entre la hora de inicio y la access-end hora de finalización especificadas (hh:mm).

Para configurar el acceso de usuario basado en el tiempo:

  1. Habilite el acceso en días específicos de la semana.

    Por ejemplo, para configurar el acceso de usuario para la clase de inicio de sesión de lunes a viernes operator-round-the-clock-access sin ninguna restricción en el tiempo de acceso:

  2. Habilite el acceso en horas específicas del día.

    Por ejemplo, para configurar el acceso de usuario para la clase de inicio de sesión de 8:30 a. m. a 4:30 p. m. todos los días operator-day-shift-all-days-of-the-week de la semana:

También puede configurar el acceso para que incluya tanto días como horas. En el siguiente ejemplo, se configura el acceso del usuario para la clase de inicio de sesión los lunes, miércoles y viernes de operator-day-shift 8:30 a. m. a 4:30 p. m.:

Como alternativa, puede especificar la hora de inicio y la hora de finalización del inicio de sesión para la clase de inicio de sesión operator-day-shift con el siguiente formato:

Nota:

Los tiempos de inicio y finalización de acceso pueden abarcar las 12:00 a. m. de un día determinado. En ese caso, el usuario sigue teniendo acceso hasta el día siguiente, incluso si no configura explícitamente ese día en la allowed-days instrucción.

Configure el valor de tiempo de espera para las sesiones de inicio de sesión inactivas

Una sesión de inicio de sesión inactiva es una en la cual el CLI muestra el símbolo del modo operativo o de configuración, pero no hay ninguna entrada del teclado. De forma predeterminada, se mantiene establecida una sesión de inicio de sesión hasta que un usuario cierra sesión en el dispositivo, incluso si dicha sesión está inactiva. Para cerrar las sesiones inactivas automáticamente, debe configurar un límite de tiempo para cada clase de inicio de sesión. Si una sesión establecida por un usuario de esa clase permanece inactiva durante el límite de tiempo configurado, la sesión se cierra automáticamente. El cierre automático de sesiones de inicio de sesión inactivo ayuda a evitar que usuarios maliciosos obtengan acceso al dispositivo y realicen operaciones con una cuenta de usuario autorizada.

Puede configurar un tiempo de espera de inactividad solo para las clases definidas por el usuario. No puede configurar esta opción para las clases predefinidas del sistema: operator, read-only o , y super-usersuperuserunauthorized .

Para definir el valor de tiempo de espera para las sesiones de inicio de sesión inactivas:

  1. Especifique el número de minutos que puede estar inactiva una sesión antes de que el sistema cierre automáticamente la sesión.

    Por ejemplo, para desconectar automáticamente las sesiones inactivas de los usuarios en la admin clase después de quince minutos:

  2. Confirme la configuración.

Si configura un valor de tiempo de espera, CLI muestra mensajes similares a los siguientes cuando se agota el tiempo de espera de un usuario inactivo. El CLI muestra estos mensajes 5 minutos antes de desconectar al usuario.

Si configura un valor de tiempo de espera, la sesión se cierra después de que transcurra el tiempo especificado, excepto en los casos siguientes:

  • El usuario ejecuta el ssh comando telnet o.

  • El usuario ha iniciado sesión en el shell unix local.

  • El usuario monitorea interfaces mediante el monitor interface comando monitor traffic o.

Opciones de reintento de inicio de sesión

Puede configurar las opciones de reintento de inicio de sesión en Juniper de red para proteger los dispositivos de usuarios maliciosos. Puede configurar las siguientes opciones:

  • Número de veces que un usuario puede ingresar credenciales de inicio de sesión no válidas antes de que el sistema cierre la conexión.

  • Si y durante cuánto tiempo se puede bloquear una cuenta de usuario después de que el usuario alcance el umbral de intentos de autenticación fallidos.

Limitar los intentos de inicio de sesión y bloquear la cuenta de usuario ayuda a proteger el dispositivo de usuarios maliciosos que intentan acceder al sistema adivinando la contraseña de una cuenta de usuario autorizada. Puede desbloquear la cuenta de usuario o definir un período de tiempo para que la cuenta de usuario permanezca bloqueada.

Configure las opciones de reintento de inicio de sesión en el [edit system login retry-options] nivel de jerarquía. La tries-before-disconnect instrucción define el umbral de intentos de inicio de sesión fallidos antes de que el dispositivo desconecte al usuario. El dispositivo permite tres intentos de inicio de sesión sin éxito de forma predeterminada.

La instrucción indica al dispositivo que bloquee la cuenta de usuario durante el tiempo especificado si el usuario alcanza el umbral de intentos de inicio de sesión lockout-period sin éxito. El bloqueo impide que el usuario realice actividades que requieran autenticación hasta que haya transcurrido el período de bloqueo o hasta que un administrador del sistema desactive el bloqueo de forma manual. Cualquier bloqueo existente se omite cuando el usuario intenta iniciar sesión desde la consola local.

Para configurar las opciones de reintento de inicio de sesión:

  1. Configure el número de veces que un usuario puede intentar ingresar una contraseña.

    Por ejemplo, para permitir que un usuario ingrese una contraseña cuatro veces antes de que el dispositivo cierre la conexión:

  2. Configure la cantidad de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcance el umbral de intentos de inicio de sesión fallidos.

    Por ejemplo, para bloquear una cuenta de usuario durante 120 minutos después de que un usuario alcance el umbral de intentos de inicio de sesión fallidos:

  3. Confirme la configuración.

Nota:

Para borrar la consola durante una sesión iniciado por el administrador, incluya caracteres de nueva línea (\n) cuando configure la message instrucción en el nivel [edit system login] jerárquico. Para borrar por completo la consola, el administrador puede escribir 50 o más caracteres \n en la cadena del mensaje. Por ejemplo:

Limitar la cantidad de intentos de inicio de sesión de usuario para sesiones SSH y Telnet

Puede limitar el número de veces que un usuario puede intentar ingresar una contraseña mientras inicia sesión en un dispositivo mediante SSH o Telnet. El dispositivo termina la conexión si un usuario no puede iniciar sesión después del número de intentos especificados. También puede especificar un retraso, en segundos, antes de que un usuario pueda intentar escribir una contraseña después de un intento fallido. Además, puede especificar el umbral del número de intentos fallidos antes de que el usuario experimente un retraso en la posibilidad de volver a escribir una contraseña.

Para especificar el número de veces que un usuario puede intentar escribir una contraseña durante el inicio de sesión, retry-options incluya la instrucción [edit system login] en el nivel de jerarquía:

Puede configurar las siguientes opciones:

  • tries-before-disconnect: número máximo de veces que un usuario puede ingresar una contraseña al iniciar sesión en el dispositivo mediante SSH o Telnet. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El intervalo va del 1 al 10 y el predeterminado es 3.

  • backoff-threshold: umbral para la cantidad de intentos de inicio de sesión fallidos antes de que el usuario experimenta un retraso en poder volver a ingresar una contraseña. El intervalo va del 1 al 3 y el predeterminado es 2. Use la backoff-factor opción para especificar la longitud de la demora.

  • backoff-factor: duración del tiempo, en segundos, que el usuario debe esperar después de un intento de inicio de sesión fallido por encima de backoff-threshold la extensión . La demora aumenta por el valor especificado para cada intento posterior después del backoff-threshold valor. El rango está comprendido entre 5 y 10 y el valor predeterminado es 5 segundos.

  • lockout-period: duración, en minutos, de que una cuenta de usuario está bloqueada después de haber llegado al tries-before-disconnect umbral. El intervalo es de 1 a 43.200 minutos.

  • maximum-time seconds: duración máxima de tiempo, en segundos, de que la conexión permanezca abierta para que el usuario escriba un nombre de usuario y una contraseña para iniciar sesión. Si el usuario permanece inactivo y no ingresa un nombre de usuario y una contraseña dentro de la maximum-time configurada, la conexión se cerrará. El rango está comprendido entre 20 y 300 segundos, mientras que el predeterminado es de 120 segundos.

  • minimum-time: duración mínima de tiempo, en segundos, de que una conexión permanezca abierta mientras un usuario intenta ingresar una contraseña correcta. El intervalo va del 20 al 60 y el predeterminado es de 20 segundos.

Limitar el número de intentos de inicio de sesión de SSH y telnet por usuario es uno de los métodos más efectivos para detener los ataques de fuerza bruta para poner en peligro la seguridad de la red. Los atacantes fuerzan la ejecución de un gran número de intentos de inicio de sesión durante un breve periodo de tiempo para obtener acceso ilegítimo a una red privada. Mediante la configuración de las instrucciones, puede crear un retraso cada vez mayor después de cada intento de inicio de sesión fallido, lo que finalmente desconexión de cualquier usuario que pase el umbral establecido de retry-options intentos de inicio de sesión.

Para limitar los intentos de inicio de sesión cuando un usuario inicia sesión con SSH o Telnet:

  1. Configure el límite en la cantidad de intentos de inicio de sesión.
  2. Configure la cantidad de intentos de inicio de sesión antes de que el usuario experimenta un retraso.
  3. Configure el número de segundos que el usuario debe esperar el mensaje de inicio de sesión después de alcanzar el backoff-threshold valor.
  4. Configure el número de segundos durante los que la conexión permanece abierta mientras un usuario intenta iniciar sesión.

Para la siguiente configuración, el usuario experimenta un retraso de 5 segundos después de que falle el segundo intento de introducir una contraseña correcta. Después de cada intento fallido subsiguiente, el retardo se incrementa en 5 segundos. Después del cuarto y último intento fallido de ingresar una contraseña correcta, el usuario experimenta una demora adicional de 10 segundos. La conexión se cierra después de un total de 40 segundos.

Ejemplo: Configurar opciones de reintento de inicio de sesión

En este ejemplo, se muestra cómo configurar las opciones de reintento de inicio de sesión para proteger un dispositivo de usuarios maliciosos.

Requisitos

Antes de comenzar, debe comprender Limitar la cantidad de intentos de inicio de sesión de usuario para sesiones SSH y Telnet .

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

A veces, los usuarios maliciosos intentan iniciar sesión en un dispositivo seguro adivinando la contraseña de una cuenta de usuario autorizada. Puede bloquear una cuenta de usuario después de varios intentos de autenticación fallidos. Esta precaución ayuda a proteger los dispositivos de usuarios maliciosos.

Puede configurar el número de intentos de inicio de sesión fallidos antes de que el dispositivo bloquee la cuenta de usuario y puede configurar la cantidad de tiempo que la cuenta permanece bloqueada. También puede configurar la cantidad de tiempo que debe esperar el usuario entre intentos de inicio de sesión con errores.

Nota:

Este ejemplo incluye la siguiente configuración:

  • backoff-factor: duración del retraso en segundos que el usuario debe esperar después de cada intento de inicio de sesión fallido por encima de backoff-threshold la extensión . La demora aumenta por este valor para cada intento de inicio de sesión posterior después del valor especificado en la backoff-threshold instrucción.

  • backoff-threshold: umbral para la cantidad de intentos de inicio de sesión fallidos en el dispositivo antes de que el usuario experimenta un retraso al intentar volver a escribir una contraseña. Cuando un usuario alcanza el umbral de intentos de inicio de sesión fallidos, experimenta el retraso establecido en la backoff-factor instrucción. Después de la demora, el usuario puede realizar otro intento de inicio de sesión.

  • lockout-period: número de minutos que la cuenta de usuario está bloqueada después de que el usuario alcance el tries-before-disconnect umbral. El usuario debe esperar el número configurado de minutos antes de poder volver a iniciar sesión en el dispositivo.

  • tries-before-disconnect: número máximo de veces que el usuario puede ingresar una contraseña para intentar iniciar sesión en el dispositivo mediante SSH o Telnet.

Nota:

Si está bloqueado fuera del dispositivo, puede iniciar sesión en el puerto de consola del dispositivo, lo que pasa por alto cualquier bloqueo de usuario. Esto proporciona una manera para que los administradores quiten el bloqueo de usuario en su propia cuenta de usuario.

En este ejemplo, tries-before-disconnect se establece la opción en 3. Como resultado, el usuario tiene tres intentos de iniciar sesión en el dispositivo. Si la cantidad de intentos de inicio de sesión con errores es igual al valor especificado en la instrucción, el usuario debe esperar por lo multiplicado por el intervalo, en cuestión de segundos, para obtener el mensaje backoff-thresholdbackoff-threshold de inicio de backoff-factor sesión. En este ejemplo, el usuario debe esperar 5 segundos después del primer intento fallido de inicio de sesión y 10 segundos después del segundo intento de inicio de sesión fallido para obtener el mensaje de inicio de sesión. El dispositivo desconecta al usuario después del tercer intento fallido.

Si el usuario no inicia sesión correctamente después de tres intentos, la cuenta de usuario está bloqueada. El usuario no puede iniciar sesión hasta que transcurren 120 minutos, a menos que un administrador del sistema desactive manualmente el bloqueo durante ese tiempo.

Un administrador del sistema puede desbloquear manualmente una cuenta emitiendo el clear system login lockout user <username> comando. El comando muestra qué cuentas de usuario están bloqueadas y cuándo comienza y finaliza el período de bloqueo show system login lockout para cada usuario.

Configuración

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar las opciones de reintento del sistema:

  1. Configure el factor multiplicador.

  2. Configure el umbral de multiplicador.

  3. Configure la cantidad de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcance el umbral de intentos de inicio de sesión fallidos.

  4. Configure el número de veces que un usuario puede intentar ingresar una contraseña.

Resultados

Desde el modo de configuración, escriba el show system login retry-options comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Mostrar los inicios de sesión de usuarios bloqueados

Propósito

Compruebe que la configuración de bloqueo de inicio de sesión está habilitada.

Intervención

Intente tres inicios de sesión incorrectos para un nombre de usuario determinado. El dispositivo estará bloqueado para ese nombre de usuario. Luego, inicie sesión en el dispositivo con un nombre de usuario diferente. Desde el modo operativo, emita show system login lockout el comando para ver las cuentas bloqueadas.

Significado

Después de realizar tres intentos de inicio de sesión sin éxito con un nombre de usuario determinado, el dispositivo se bloquea para ese usuario durante 120 minutos, tal como está configurado en el ejemplo. Puede comprobar que el dispositivo está bloqueado para dicho usuario iniciando sesión en el dispositivo con un nombre de usuario diferente y escribiendo show system login lockout el comando.