Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

class (Defining Login Classes)

Syntax

Hierarchy Level

Description

Определите класс входа. Все пользователи, которые регистрются на маршрутизаторе или коммутаторе, должны быть в классе входа. Таким образом, необходимо определить класс Junos OS входа для каждого пользователя или типа пользователя. Можно определить любое количество классов входа в систему в зависимости от типов разрешений, необходимых пользователям. Может не понадобиться определять классы входа; Junos OS имеет несколько заранее задамых классов входа, которые подходят для самых разных потребностей. Однако предварительно задав классы входа, изменить их нельзя. Если класс определяется с таким же именем, что и заранее определенный класс, Junos OS к имени класса входа и создает новый -local класс входа. Дополнительные сведения см. в предопределельных классах входа в систему.

Options

class-name

Имя, выбираемого для класса входа.

конечный доступ

Укажите время окончания HH:MM в (24-часовом) формате, где представлены часы HH и MM минуты.

Прим.:

Периоды начала и окончания доступа, начиная с 12:00 утра, заканчиваются тем, что пользователь получает доступ до следующего дня, даже если в этом документе не задан явным образом день allowed-days доступа.

начало доступа

Укажите время начала HH:MM в (24-часовом) формате, где HH представлены часы и MM минуты.

Прим.:

Периоды начала и окончания доступа, начиная с 12:00 утра, заканчиваются тем, что пользователь получает доступ до следующего дня, даже если в этом документе не задан явным образом день allowed-days доступа.

( разрешить команды | команд-regexps)

Укажите одно или несколько регулярных выражений, чтобы позволить пользователям этого класса использовать команды рабочего режима. Для явного разрешения авторизации для команд, которые в противном случае были бы отклонены уровнями привилегий доступа для класса входа, используется или allow-commandsallow-commands-regexps утверждение.

Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в allow-commands скобки (). Не используйте пробелы между регулярными выражениями, разделенными скобами и связанными с символом | канала.

Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с allow-commands-regexps оператором пробела. Каждая строка оценивается по полному пути команды, что обеспечивает более быстрое соответствие по сравнению с allow-command утверждением. Значения переменных можно также включить в регулярные выражения, которые не поддерживаются с помощью allow-commands выражения.

Если утверждение используется в одном определении класса входа, он имеет deny-commandsdeny-commands-regexps приоритет.

Прим.:

Эти allow/deny-commands утверждения и утверждения являются allow/deny-commands-regexps взаимоисключающими и не могут быть настроены вместе для класса входа. В заданный момент времени класс входа может включать как allow/deny-commands утверждения, так и allow/deny-commands-regexps утверждения. Если существующие конфигурации используют эти утверждения, то использование одинаковых параметров конфигурации с этими утверждениями может не дать одинаковых результатов, поскольку методы поиска и поиска совпадений отличаются в двух формах этих allow/deny-commandsallow/deny-commands-regexps утверждения.

Авторизация также может быть настроена удаленно, указав Juniper Networks TACACS+, определяемые поставщиком, в конфигурации сервера аутентификации. Для удаленного пользователя, когда параметры авторизации настроены как удаленно, так и локально, параметры авторизации, настроенные как удаленно, так и локально, считаются совместно для авторизации. Для локального пользователя рассматриваются только параметры авторизации, локально настроенные для класса.

  • По умолчанию: Если авторизация для команд операционного режима не настроена, используя их или утверждения, пользователи могут редактировать только те команды, для которых с этим утверждением установлены allow/deny-commandsallow/deny-commands-regexpspermissions привилегии доступа.

  • Синтаксис: regular-expression— Регулярное выражение (модерн), выраженное в POSIX 1003.2. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. Введите столько выражений, сколько необходимо.

( разрешит настройку |-regexps allow-configuration-regexps)

Задайте одно или несколько регулярных выражений, чтобы явно разрешить пользователям этого класса получать доступ к указанным уровням в иерархии конфигурации, даже если разрешения, установленные с утверждением, не позволяют предоставить permissions такой доступ.

Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в allow-configuration скобки (). Не используйте пробелы между регулярными выражениями, разделенными скобами и связанными с символом | канала.

Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с allow-configuration-regexps оператором пробела. Каждая строка оценивается по полному пути команды, что обеспечивает более быстрое соответствие по сравнению с allow/deny-configuration утверждениями. Значения переменных можно также включать в регулярные выражения, которые не поддерживаются с помощью allow/deny-configuration выражений.

Если используется одно и то же определение класса входа, то его утверждение имеет deny-configurationdeny-configuration-regexps приоритет.

Прим.:

Эти allow/deny-configuration утверждения и утверждения являются allow/deny-configuration-regexps взаимоисключающими и не могут быть настроены вместе для класса входа. В заданный момент времени класс входа может включать как allow/deny-configuration утверждения, так и allow/deny-configuration-regexps утверждения. Если существующие конфигурации используют эти утверждения, то использование одинаковых параметров конфигурации с этими утверждениями может не дать одинаковых результатов, поскольку методы поиска и поиска совпадений отличаются в двух формах этих allow/deny-configurationallow/deny-configuration-regexps утверждения.

  • По умолчанию: Если вы не можете использовать утверждение и утверждение, пользователи могут редактировать только те команды, для которых имеются привилегии доступа allow-configuration/allow-configuration-regexpsdeny-configuration/deny-configuration-regexps с помощью этого permissions утверждения.

  • Синтаксис: regular-expression— Регулярное выражение (модерн), выраженное в POSIX 1003.2. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. Введите столько выражений, сколько необходимо.

команды allow-hidden

Разрешите запуск всех скрытых команд. Если утверждение no-hidden-commands указано на уровне иерархии [edit system], это ограничение переопределяется для этого класса входа. Скрытые команды – Junos OS, которые не публикуются, но могут быть запускаться на маршрутизаторе. Скрытые команды служат определенной цели, но в большинстве случае они не используются и не поддерживаются активно. Утверждение no-hidden-commands на уровне иерархии [edit system] позволяет блокировать все скрытые команды всем пользователям, кроме корневых пользователей.

  • По умолчанию: Скрытые команды включены по умолчанию.

allow-source [ source-addresses... ]

Ограничь входящий удаленный доступ только к определенным хостом. Укажите один или несколько адресов источников, с которых разрешен доступ. Адреса источников могут быть адресами IPv4 или IPv6, длиной префикса или именами хостов.

allow-times [ times...]

Ограничивая удаленный доступ определенным временем.

allowed-days [ days of the week ]

Укажите один или более дней недели, когда пользователям этого класса разрешено войти в систему.

  • Значения:

    • понедельник — понедельник

    • tuesday — вторник

    • среда — среда

    • четверг — четверг

    • (среда) — среда

    • веха

    • воскресенье — воскресенье

Cli

Установите интерфейс командной строки, заданный для класса входа. Если интерфейс командной строки запроса также установлен на уровне иерархии [edit system login user cli], то запрос, установленный для пользователя входа, имеет приоритет над запросом, установленным для класса входа.

подсказка запроса

В запросе необходимо указать строку подсказки, отображаемую в интерфейс командной строки строке.

configuration-breadcrumbs

Чтобы отобразить местоположение в иерархии конфигурации, в интерфейс командной строки в настройках необходимо включить иерархию иерархии конфигураций. Пример включения этого представления см. в "Включение навигации в конфигурации".

команды confirm

Укажите, что для определенных команд требуется подтверждение, и при необходимости укажите формулировку сообщения, отображаемого во время подтверждения. Можно указать команды, используя список регулярных выражений или команд.

  • Синтаксис: Сообщение

  • По умолчанию: Если этот параметр не был упущен, подтверждение команд не требуется. Если необязательное сообщение не задается, по умолчанию отображается сообщение "Do you want to continue?" (Продолжить).

(команды deny-| deny-commands-regexps)

Задайте одно или несколько регулярных выражений, чтобы явно запретить пользователям этого класса разрешение на выдачу команд рабочего режима, даже если разрешения, установленные с permissions утверждением, позволяют это.

Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в deny-commands скобки (). Не используйте пробелы между регулярными выражениями, разделенными скобами и связанными с символом | канала.

Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с deny-commands-regexps оператором пробела. Каждая строка оценивается по полному пути команды, что обеспечивает более быстрое соответствие по сравнению с allow/deny-command утверждениями. Значения переменных можно также включать в регулярные выражения, которые не поддерживаются с помощью allow/deny-commands выражений.

Выражения, настроенные с помощью выражения или выражения, имеют приоритет по сравнению с выражениями, настроенными с помощью тех двух выражений, которые используются в одном определении deny-commandsdeny-commands-regexps класса allow-commands/allow-commands-regexps входа.

Прим.:

Эти allow/deny-commands утверждения и утверждения являются allow/deny-commands-regexps взаимоисключающими и не могут быть настроены вместе для класса входа. В заданный момент времени класс входа может включать как allow/deny-commands утверждения, так и allow/deny-commands-regexps утверждения. Если существующие конфигурации используют эти утверждения, то использование одинаковых параметров конфигурации с этими утверждениями может не дать одинаковых результатов, поскольку методы поиска и поиска совпадений отличаются в двух формах этих allow/deny-commandsallow/deny-commands-regexps утверждения.

Авторизация также может быть настроена удаленно, указав Juniper Networks TACACS+, определяемые поставщиком, в конфигурации сервера аутентификации. Для удаленного пользователя, когда параметры авторизации настроены как удаленно, так и локально, параметры авторизации, настроенные как удаленно, так и локально, считаются совместно для авторизации. Для локального пользователя рассматриваются только параметры авторизации, локально настроенные для класса.

  • По умолчанию: Если пользователь не настроит авторизацию для использования команд операционного режима или для них, пользователи могут редактировать только те команды, для которых у них есть привилегии доступа, allow/deny-commandsallow/deny-commands-regexps установленные с помощью permissions утверждения.

  • Синтаксис: regular-expression— Регулярное выражение (модерн), выраженное в POSIX 1003.2. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. Введите столько выражений, сколько необходимо.

( deny-configuration | deny-configuration-regexps)

Задайте одно или несколько регулярных выражений, чтобы явно запретить пользователям этого класса доступ к указанным уровням в иерархии конфигурации, даже если разрешения, установленные с утверждением, предоставляет permissions такой доступ. Обратите внимание, что пользователь не может просматривать определенную иерархию, если доступ к конфигурации этой иерархии не может быть отклонен.

Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в deny-configuration скобки (). Не используйте пробелы между регулярными выражениями, разделенными скобами и связанными с символом | канала.

Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с deny-configuration-regexps оператором пробела. Каждая строка оценивается по полному пути команды, что обеспечивает более быстрое соответствие по сравнению с allow/deny-configuration утверждениями. Значения переменных можно также включать в регулярные выражения, которые не поддерживаются с помощью allow/deny-configuration выражений.

Выражения, настроенные с приоритетом по сравнению с выражениями, настроенными с учетом того, используются ли эти два выражения в одном определении deny-configuration/deny-configuration-regexpsallow-configuration/allow-configuration-regexps класса входа.

Прим.:

Эти allow/deny-configuration утверждения и утверждения являются allow/deny-configuration-regexps взаимоисключающими и не могут быть настроены вместе для класса входа. В заданный момент времени класс входа может включать как allow/deny-configuration утверждения, так и allow/deny-configuration-regexps утверждения. Если существующие конфигурации используют эти утверждения, то использование одинаковых параметров конфигурации с этими утверждениями может не дать одинаковых результатов, поскольку методы поиска и поиска совпадений отличаются в двух формах этих allow/deny-configurationallow/deny-configuration-regexps утверждения.

  • По умолчанию: Если не упустить утверждение и утверждение, пользователи могут изменить эти уровни в иерархии конфигурации, для которой у них есть привилегии доступа deny-configuration/deny-configuration-regexpsallow-configuration/allow-configuration-regexps с помощью этого permissions утверждения.

  • Синтаксис: regular-expression— Регулярное выражение (модерн), выраженное в POSIX 1003.2. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. Введите столько выражений, сколько необходимо.

deny-source [source-addresses]

Никогда не разрешайте удаленный доступ с этих хостов. Адреса источников могут быть адресами IPv4 или IPv6, длиной префикса или именами хостов.

deny-times [times]

Никогда не разрешайте удаленный доступ в эти периоды.

время ожидания простоя

Для класса входа настройте максимальное время (в минутах), которое сеанс может быть неающим до иго времени ожидания сеанса и выход пользователя из устройства. Время ожидания сеанса после простоя в интерфейс командной строки в течение указанного времени.

Прим.:

После входа пользователя на устройство из оболочки оболочки, например csh, если пользователь запускает другую программу на переднем плане интерфейс командной строки, то вычисление контрольного устройства в режиме ожидания будет остановлен. Вычисление времени простоя сеанса интерфейс командной строки запускается только после выхода процесса на переднем плане и возврата управления в оболочку запроса. Если в оболочке происходит перезапуск контроля простоя-времени, если пользователь не взаимодействует с оболочкой, пользователь автоматически выходит из системы после того, как в этом сообщении установлено время.

  • По умолчанию: Если это утверждение не подавно, пользователь никогда не будет принудительно отключать систему после расширенного времени простоя.

  • Синтаксис: minutes— Максимальное время в минутах, в течение которое сеанс может быть неадля сеанса перед выходом пользователя из сети.

  • Диапазон: Диапазон: От 0 до 4294967295 минут

    Прим.:

    Функция ожидания простоя отключается, если установлено значение в минутах 0.

login-alarms

Отображение системных сигналов тревоги при входе пользователя с admin разрешениями на устройство. Дополнительные сведения о настройке этого утверждения см. в "Настройка системных сигналовпри входе в систему".

сценарий входа

Запустите указанный сценарий операции, когда пользователь, принадлежащий классу, входит в интерфейс командной строки. Сценарий должен быть включен в конфигурации.

логическая система

Назначьте пользователей этого класса входа логической системе. Если указана логическая система, оператор спутниковой конфигурации не может быть включен в конфигурацию этого класса входа.

login-tip

Отображение интерфейс командной строки при входе в систему.

  • По умолчанию: Если это утверждение не настроено, интерфейс командной строки не отображаются советы.

команды no-hidden

Запретить все скрытые команды, кроме указанных, для пользователей этого класса входа. Каждая команда, указанная в качестве исключения, должна быть заключена в кавычках.

  • По умолчанию: Скрытые команды включены по умолчанию.

  • Синтаксис: за исключением ["command 1" "команда 2"...]

no-scp-server

Отключать входящие SCP-соединения для этого класса входа.

no-sftp-сервер

Отключать входящие SFTP-соединения для этого класса входа.

Разрешения

Укажите привилегии доступа для входа для класса входа.

  • Синтаксис: permissions- Один или несколько флагов разрешений, которые вместе определяют привилегии доступа для класса входа. Флаги разрешений не являются суммарными, поэтому для каждого класса необходимо перечислить все необходимые флаги разрешений, в том числе для отображения информации и view для входа в режим configure конфигурации. Список флагов разрешений см. в поле Login Class Permission Flags.

Спутниковое

Укажите доступ к Junos Fusion устройствам для класса входа. Все пользователи, приписаные классу входа, являются пользователями спутниковой связи. Включив это утверждение, нельзя включить утверждение конфигурации логической системы в конфигурацию для этого класса входа.

  • Значения:

    • all — укажите все Junos Fusion спутниковой связи.

роль безопасности

Укажите один или несколько общих критериев (ISO/IEC 15408) роли безопасности для класса входа.

  • Значения:

    audit-administrator

    Укажите, какие пользователи отвечают за регулярный просмотр конкретных целевых показателей оценки (TOE) контрольных данных и их удаление. Администраторы аудита могут также вызывать внешифрово-криптографическую самопроверку.

    crypto-administrator

    Укажите, какие пользователи отвечают за настройку и обслуживание криптографических элементов, связанных с установлением безопасных соединений к и из контрольных данных TOE.

    ids-administrator

    Укажите, какие пользователи могут действовать служба обнаружения вторжений (служба обнаружения вторжений) администраторов, ответственных за все действия, касающиеся идентификации и управления доступом сотрудников организации.

    security-administrator

    Укажите пользователей, ответственных за обеспечение работы политики безопасности организации.

Арендатор

Назначьте пользователей этого класса системе арендатора. Системы арендаторов используются, когда необходимо разделить отделы, организации или клиентов, и каждое из них можно ограничить одним виртуальный маршрутизатор. Основное различие между логической системой и системой арендатора состоит в том, что логическая система поддерживает расширенные функции маршрутов с использованием нескольких экземпляров маршрутов. Для сравнения: система арендатора поддерживает только один экземпляр маршрутов, но поддерживает развертывание значительно большего число арендаторов на одну систему.

Required Privilege Level

admin — для просмотра этого утверждения в конфигурации.

admin-control — добавление этого утверждения в конфигурацию.

Release Information

Перед classallow-commands тем, deny-commands как Junos OS allow-configurationdeny-configurationidle-timeoutlogin-alarmslogin-tippermissions 7.4, были представлены Junos OS,

Все ранее упомянутые утверждения были введены в Junos OS 9.0 для серии EX.

Утверждение login-script было введено в Junos OS версии 9.5.

В access-end версии access-start 10.1 были Junos OS и allowed-days утверждения.

Все ранее упомянутые утверждения были введены в Junos OS 11.1 для серия QFX.

Все ранее упомянутые утверждения были внесены в Junos OS.11.2 для серия SRX.

В allow-configuration-regexps версии deny-configuration-regexps 11.2 были Junos OS и security-role заявления.

Утверждение configuration-breadcrumbs было введено в Junos OS версии 12.2.

Все ранее упомянутые утверждения были введены в Junos OS версии 14.1X53-D20 для серии OCX.

Все ранее упомянутые утверждения были введены в Junos OS 15.1X49-D70 для vSRX, SRX4100, SRX4200 и SRX1500 устройств.

Все ранее упомянутые утверждения были внесены в Junos OS.16.1 для серия MX и серия PTX.

В allow-hidden-commands версии confirm-commandsno-hidden-commands 16.1 были Junos OS и satellite утверждения.

Утверждение cli было введено в Junos OS версии 17.3.

Эти allow-commands-regexps утверждения были введены в Junos OS deny-commands-regexps 18.1.

Утверждение tenant было введено Junos OS 18.4.

Эти no-scp-server утверждения были введены в Junos OS no-sftp-server 19.2.