Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de inicio de sesión

Junos OS permite definir varias opciones de configuración para los usuarios cuando inician sesión en un dispositivo. Usted (el administrador del sistema) puede configurar:

  • Mensajes o anuncios para mostrar antes o después del inicio de sesión
  • Si desea mostrar las alarmas del sistema al iniciar sesión
  • Consejos para iniciar sesión
  • Acceso de usuarios basado en el tiempo
  • Valores de tiempo de espera para sesiones inactivas
  • Límites en el número de intentos de inicio de sesión
  • Si se debe bloquear una cuenta de usuario después de varios intentos fallidos de autenticación

Mostrar un anuncio o mensaje de inicio de sesión del sistema

A veces desea hacer anuncios solo a usuarios autorizados después de que inicien sesión en un dispositivo. Por ejemplo, es posible que desee anunciar un próximo evento de mantenimiento. En otras ocasiones, puede ser apropiado mostrar un mensaje, como una advertencia de seguridad, a cualquier usuario que se conecte al dispositivo.

De forma predeterminada, Junos OS no muestra ningún mensaje de inicio de sesión ni anuncio. Puede configurar el dispositivo para que muestre un mensaje de inicio de sesión o un anuncio incluyendo la message instrucción o la announcement instrucción en el nivel jerárquico [edit system login] . Mientras que el dispositivo muestra un inicio de sesión message después de que un usuario se conecta al dispositivo pero antes de que el usuario inicie sesión, muestra un announcement solo después de que el usuario inicie sesión correctamente en el dispositivo.

Puede dar formato al texto del mensaje o anuncio con los siguientes caracteres especiales. Si el texto contiene espacios, escríbalo entre comillas:

  • \n—Nueva línea

  • \t: pestaña horizontal

  • \'—comillas simples

  • \"—comillas dobles

  • \\—Barra diagonal inversa

Para configurar un anuncio que solo puedan ver los usuarios autorizados y un mensaje que pueda ver cualquier usuario:

  1. Incluya la announcement instrucción y la message instrucción en el [edit system login] nivel jerárquico.

    Por ejemplo:

  2. Confirme la configuración.
  3. Conéctese al dispositivo para verificar la presencia del nuevo mensaje.

    En el ejemplo de configuración anterior se muestra el siguiente mensaje de inicio de sesión después de que el usuario se conecte al dispositivo. En el ejemplo se muestra el anuncio después de que el usuario inicie sesión:

Mostrar alarmas del sistema al iniciar sesión

Puede configurar dispositivos de Juniper Networks para que ejecuten el show system alarms comando siempre que un usuario de una clase de inicio de sesión determinada inicie sesión en el dispositivo.

Para mostrar alarmas cada vez que un usuario de una clase de inicio de sesión específica inicia sesión en el dispositivo:

  1. Configure la login-alarms instrucción para la clase de inicio de sesión adecuada.

    Por ejemplo, para mostrar alarmas cada vez que un usuario de la admin clase de inicio de sesión inicia sesión en el dispositivo:

  2. Confirme la configuración.

Cuando un usuario de la clase de inicio de sesión dada inicia sesión en el dispositivo, el dispositivo muestra las alarmas actuales.

Configurar consejos de inicio de sesión

Puede configurar la Junos OS CLI para que muestre una sugerencia cada vez que un usuario de la clase de inicio de sesión dada inicie sesión en el dispositivo. El dispositivo no muestra las puntas de forma predeterminada.

Para habilitar las sugerencias:

  1. Configure la login-tip instrucción en el nivel jerárquico [edit system login class class-name] .
  2. Confirme la configuración.

Cuando se configura la login-tip instrucción, el dispositivo muestra una sugerencia a cualquier usuario de la clase especificada que inicie sesión en el dispositivo.

Configurar el acceso de usuarios basado en tiempo

Puede configurar los dispositivos compatibles de Juniper Networks para exigir el acceso de usuario basado en tiempo para los usuarios de una clase determinada. El acceso de usuario basado en tiempo restringe el tiempo y la duración de los inicios de sesión de usuario para todos los usuarios que pertenecen a la clase. Puede restringir el acceso de los usuarios en función de la hora del día o del día de la semana.

Para restringir el acceso de los usuarios a determinados días u horas, incluya las siguientes instrucciones en el nivel jerárquico [edit system login class class-name] :

  • allowed-days: configure el acceso de los usuarios en días específicos de la semana.

  • access-start y access-end—Configurar el acceso de los usuarios entre la hora de inicio especificada y la hora de finalización (hh:mm).

Para configurar el acceso de usuario basado en tiempo:

  1. Habilite el acceso en días específicos de la semana.

    Por ejemplo, para configurar el acceso de los usuarios para la operator-round-the-clock-access clase de inicio de sesión de lunes a viernes sin ninguna restricción de tiempo de acceso:

  2. Habilite el acceso en momentos específicos del día.

    Por ejemplo, para configurar el acceso de usuario para la operator-day-shift-all-days-of-the-week clase de inicio de sesión de 8:30 a.m. a 4:30 p.m. todos los días de la semana:

También puede configurar el acceso para incluir días y horas. En el ejemplo siguiente se configura el acceso de usuario para la operator-day-shift clase de inicio de sesión los lunes, miércoles y viernes de 8:30 a.m. a 4:30 p.m.:

Como alternativa, puede especificar la hora de inicio y finalización del inicio de sesión para la clase de operator-day-shift inicio de sesión utilizando el siguiente formato:

Nota:

Las horas de inicio y finalización del acceso pueden abarcar las 12:00 a.m. de un día determinado. En ese caso, el usuario seguirá teniendo acceso hasta el día siguiente, incluso si no configura explícitamente ese día en la allowed-days instrucción.

Configurar el valor de tiempo de espera para sesiones de inicio de sesión inactivas

Una sesión de inicio de sesión inactiva es aquella en la que la CLI muestra el indicador del modo operativo o del modo de configuración, pero no hay ninguna entrada desde el teclado. De forma predeterminada, una sesión de inicio de sesión permanece establecida hasta que un usuario cierra sesión en el dispositivo, incluso si esa sesión está inactiva. Para cerrar las sesiones inactivas automáticamente, debe configurar un límite de tiempo para cada clase de inicio de sesión. Si una sesión establecida por un usuario de esa clase permanece inactiva durante el límite de tiempo configurado, la sesión se cierra automáticamente. El cierre automático de las sesiones de inicio de sesión inactivas ayuda a evitar que usuarios malintencionados obtengan acceso al dispositivo y realicen operaciones con una cuenta de usuario autorizada.

Puede configurar un tiempo de espera de inactividad solo para clases definidas por el usuario. No puede configurar esta opción para las clases predefinidas del sistema: operator, read-only, o superuser, y unauthorized. super-user

Para definir el valor de tiempo de espera para las sesiones de inicio de sesión inactivas:

  1. Especifique el número de minutos que una sesión puede estar inactiva antes de que el sistema la cierre automáticamente.

    Por ejemplo, para desconectar automáticamente las sesiones inactivas de los usuarios de la admin clase después de quince minutos:

  2. Confirme la configuración.

Si configura un valor de tiempo de espera, la CLI muestra mensajes similares a los siguientes al agotar el tiempo de espera de un usuario inactivo. La CLI comienza a mostrar estos mensajes 5 minutos antes de desconectar al usuario.

Si configura un valor de tiempo de espera, la sesión se cierra después de que transcurra el tiempo especificado, excepto en los siguientes casos:

  • El usuario está ejecutando el ssh comando o telnet .

  • El usuario ha iniciado sesión en el shell local de UNIX.

  • El usuario supervisa las interfaces mediante el monitor interfacemonitor traffic comando o.

Opciones de reintento de inicio de sesión

Puede configurar las opciones de reintento de inicio de sesión en dispositivos de la red de Juniper para protegerlos de usuarios malintencionados. Puede configurar las siguientes opciones:

  • Número de veces que un usuario puede introducir credenciales de inicio de sesión no válidas antes de que el sistema cierre la conexión.

  • Si se debe bloquear una cuenta de usuario después de que el usuario alcance el umbral de intentos fallidos de autenticación y durante cuánto tiempo.

Limitar los intentos de inicio de sesión y bloquear la cuenta de usuario ayuda a proteger el dispositivo de usuarios malintencionados que intentan acceder al sistema adivinando la contraseña de una cuenta de usuario autorizada. Puede desbloquear la cuenta de usuario o definir un período de tiempo para que la cuenta de usuario permanezca bloqueada.

Las opciones de reintento de inicio de sesión se configuran en el nivel jerárquico [edit system login retry-options] . La tries-before-disconnect instrucción define el umbral de intentos fallidos de inicio de sesión antes de que el dispositivo desconecte al usuario. El dispositivo permite tres intentos de inicio de sesión fallidos de forma predeterminada.

La lockout-period instrucción indica al dispositivo que bloquee la cuenta de usuario durante el tiempo especificado si el usuario alcanza el umbral de intentos de inicio de sesión fallidos. El bloqueo impide que el usuario realice actividades que requieren autenticación hasta que haya transcurrido el período de bloqueo o un administrador del sistema borre manualmente el bloqueo. Los bloqueos existentes se omiten cuando el usuario intenta iniciar sesión desde la consola local.

Para configurar las opciones de reintento de inicio de sesión:

  1. Configure el número de veces que un usuario puede intentar escribir una contraseña.

    Por ejemplo, para permitir que un usuario escriba una contraseña cuatro veces antes de que el dispositivo cierre la conexión:

  2. Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcanza el umbral de intentos fallidos de inicio de sesión.

    Por ejemplo, para bloquear una cuenta de usuario durante 120 minutos después de que un usuario alcance el umbral de intentos fallidos de inicio de sesión:

  3. Confirme la configuración.

Nota:

Para borrar la consola durante un cierre de sesión iniciado por el administrador, incluya caracteres de nueva línea (\n) cuando configure la message instrucción en el nivel de [edit system login] jerarquía. Para borrar completamente la consola, el administrador puede introducir 50 o más \n caracteres en la cadena de mensaje. Por ejemplo:

Limitar el número de intentos de inicio de sesión de usuario para sesiones SSH y Telnet

Puede limitar el número de veces que un usuario puede intentar escribir una contraseña mientras inicia sesión en un dispositivo a través de SSH o Telnet. El dispositivo finaliza la conexión si un usuario no puede iniciar sesión después del número de intentos especificados. También puede especificar un retraso, en segundos, antes de que un usuario pueda intentar introducir una contraseña después de un intento fallido. Además, puede especificar el umbral para el número de intentos fallidos antes de que el usuario experimente un retraso en poder volver a escribir una contraseña.

Para especificar el número de veces que un usuario puede intentar escribir una contraseña mientras inicia sesión, incluya la retry-options instrucción en el nivel de [edit system login] jerarquía:

Puede configurar las siguientes opciones:

  • tries-before-disconnect: número máximo de veces que un usuario puede ingresar una contraseña al iniciar sesión en el dispositivo a través de SSH o Telnet. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El intervalo va del 1 al 10 y el valor predeterminado es 3.

  • backoff-threshold: umbral para el número de intentos fallidos de inicio de sesión antes de que el usuario experimente un retraso en la posibilidad de volver a introducir una contraseña. El intervalo va del 1 al 3 y el valor predeterminado es 2. Utilice la backoff-factor opción para especificar la duración del retraso.

  • backoff-factor: Período de tiempo, en segundos, que el usuario debe esperar después de un intento fallido de inicio de sesión por encima del backoff-threshold. El retraso aumenta en el valor especificado para cada intento posterior después del backoff-threshold valor. El intervalo es de 5 a 10 y el valor predeterminado es de 5 segundos.

  • lockout-period: Período de tiempo, en minutos, que una cuenta de usuario se bloquea después de alcanzar el tries-before-disconnect umbral. El rango es de 1 a 43,200 minutos.

  • maximum-time seconds: tiempo máximo, en segundos, que la conexión permanece abierta para que el usuario introduzca un nombre de usuario y una contraseña para iniciar sesión. Si el usuario permanece inactivo y no introduce un nombre de usuario y contraseña dentro de la configuración maximum-time, la conexión se cierra. El intervalo es de 20 a 300 segundos y el valor predeterminado es de 120 segundos.

  • minimum-time: tiempo mínimo, en segundos, que una conexión permanece abierta mientras un usuario intenta introducir una contraseña correcta. El intervalo es de 20 a 60 y el valor predeterminado es de 20 segundos.

Limitar el número de intentos de inicio de sesión SSH y Telnet por usuario es uno de los métodos más eficaces para evitar que los ataques de fuerza bruta pongan en peligro la seguridad de su red. Los atacantes de fuerza bruta ejecutan una gran cantidad de intentos de inicio de sesión en un corto período de tiempo para obtener acceso ilegítimo a una red privada. Al configurar las retry-options instrucciones, puede crear un retraso creciente después de cada intento de inicio de sesión fallido y, finalmente, desconectar a cualquier usuario que supere el umbral establecido de intentos de inicio de sesión.

Para limitar los intentos de inicio de sesión cuando un usuario inicia sesión a través de SSH o Telnet:

  1. Configure el límite en el número de intentos de inicio de sesión.
  2. Configure el número de intentos de inicio de sesión antes de que el usuario experimente un retraso.
  3. Configure el número de segundos que el usuario debe esperar para que se le solicite el inicio de sesión después de alcanzar el backoff-threshold valor.
  4. Configure el número de segundos que la conexión permanece abierta mientras un usuario intenta iniciar sesión.

Para la siguiente configuración, el usuario experimenta un retraso de 5 segundos después de que falla el segundo intento de escribir una contraseña correcta. Después de cada intento fallido posterior, el retraso aumenta en 5 segundos. Después del cuarto y último intento fallido de ingresar una contraseña correcta, el usuario experimenta un retraso adicional de 10 segundos. La conexión se cierra después de un total de 40 segundos.

Ejemplo: Configurar las opciones de reintento de inicio de sesión

En este ejemplo se muestra cómo configurar las opciones de reintento de inicio de sesión para proteger un dispositivo de usuarios malintencionados.

Requisitos

Antes de comenzar, debe comprender Limitar el número de intentos de inicio de sesión de usuario para sesiones SSH y Telnet.

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

Los usuarios malintencionados a veces intentan iniciar sesión en un dispositivo seguro adivinando la contraseña de una cuenta de usuario autorizada. Puede bloquear una cuenta de usuario después de un cierto número de intentos fallidos de autenticación. Esta precaución ayuda a proteger los dispositivos de usuarios malintencionados.

Puede configurar el número de intentos fallidos de inicio de sesión antes de que el dispositivo bloquee la cuenta de usuario y puede configurar la cantidad de tiempo que la cuenta permanece bloqueada. También puede configurar la cantidad de tiempo que el usuario debe esperar entre intentos fallidos de inicio de sesión.

Nota:

En este ejemplo se incluye la siguiente configuración:

  • backoff-factor: duración del retraso en segundos que el usuario debe esperar después de cada intento fallido de inicio de sesión por encima del backoff-threshold. El retraso aumenta en este valor para cada intento de inicio de sesión posterior después del valor especificado en la backoff-threshold instrucción.

  • backoff-threshold: umbral para el número de intentos fallidos de inicio de sesión en el dispositivo antes de que el usuario experimente un retraso al intentar volver a escribir una contraseña. Cuando un usuario alcanza el umbral de intentos fallidos de inicio de sesión, el usuario experimenta el retraso establecido en la backoff-factor instrucción. Después del retraso, el usuario puede hacer otro intento de inicio de sesión.

  • lockout-period: número de minutos que la cuenta de usuario está bloqueada después de que el usuario alcanza el tries-before-disconnect umbral. El usuario debe esperar el número de minutos configurado para poder volver a iniciar sesión en el dispositivo.

  • tries-before-disconnect: número máximo de veces que el usuario puede ingresar una contraseña para intentar iniciar sesión en el dispositivo a través de SSH o Telnet.

Nota:

Si no puede acceder al dispositivo, puede iniciar sesión en el puerto de consola del dispositivo, que ignora los bloqueos de usuario. Esto proporciona una manera para que los administradores eliminen el bloqueo de usuario en su propia cuenta de usuario.

En este ejemplo se establece la tries-before-disconnect opción en 3. Como resultado, el usuario tiene tres intentos de iniciar sesión en el dispositivo. Si el número de intentos de inicio de sesión fallidos es igual al valor especificado en la backoff-threshold instrucción, el usuario debe esperar a que se multiplique por backoff-threshold el backoff-factor intervalo, en segundos, para obtener el mensaje de inicio de sesión. En este ejemplo, el usuario debe esperar 5 segundos después del primer intento de inicio de sesión fallido y 10 segundos después del segundo intento de inicio de sesión fallido para obtener el mensaje de inicio de sesión. El dispositivo desconecta al usuario después del tercer intento fallido.

Si el usuario no inicia sesión correctamente después de tres intentos, la cuenta de usuario se bloqueará. El usuario no puede iniciar sesión hasta que hayan transcurrido 120 minutos, a menos que un administrador del sistema borre manualmente el bloqueo durante ese tiempo.

Un administrador del sistema puede desbloquear manualmente una cuenta emitiendo el clear system login lockout user <username> comando. El show system login lockout comando muestra qué cuentas de usuario están bloqueadas y cuándo comienza y termina el período de bloqueo para cada usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar las opciones de reintento del sistema:

  1. Configure el factor de retroceso.

  2. Configure el umbral de retroceso.

  3. Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcanza el umbral de intentos fallidos de inicio de sesión.

  4. Configure el número de veces que un usuario puede intentar escribir una contraseña.

Resultados

Desde el modo de configuración, confírmela con el comando show system login retry-options. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Mostrar los inicios de sesión de usuario bloqueados

Propósito

Compruebe que la configuración de bloqueo de inicio de sesión esté habilitada.

Acción

Intente tres inicios de sesión fallidos para un nombre de usuario en particular. El dispositivo se bloqueará para ese nombre de usuario. A continuación, inicie sesión en el dispositivo con un nombre de usuario diferente. Desde el modo operativo, ejecute el show system login lockout comando para ver las cuentas bloqueadas.

Significado

Después de realizar tres intentos de inicio de sesión fallidos con un nombre de usuario determinado, el dispositivo se bloquea para ese usuario durante 120 minutos, como se configura en el ejemplo. Puede comprobar que el dispositivo está bloqueado para ese usuario iniciando sesión en el dispositivo con un nombre de usuario diferente e ingresando el show system login lockout comando.