class (Defining Login Classes)
Syntax
class class-name {
access-end hh:mm;
access-start hh:mm;
( allow-commands ”(regular-expression1)|(regular-expression2)...” | allow-commands-regexps [“regular expression 1” “regular expression 2 ” ... ]);
( allow-configuration ”(regular-expression1)|(regular-expression2)...” | allow-configuration-regexps [“regular expression 1” “regular expression 2 ” ... ]);
allow-hidden-commands;
allow-sources [ source-addresses ... ];
allow-times [ times ... ];
allowed-days [ days of the week ];
cli {
prompt prompt;
}
configuration-breadcrumbs;
confirm-commands [“regular expression or command 1” “regular expression or command 2” ...] {
confirmation-message;
}
( deny-commands ”(regular-expression1)|(regular-expression2)...” | deny-commands-regexps [“regular expression 1” “regular expression 2 ” ... ]);
( deny-configuration ”(regular-expression1)|(regular-expression2)...” | deny-configuration-regexps [“regular expression 1” “regular expression 2 ” ... ]);
deny-sources [ source-addresses ... ];
deny-times [ times ... ];
idle-timeout minutes;
logical-system logical-system-name;
login-alarms;
login-script login-script;
login-tip;
no-hidden-commands {
except [“regular expression or command 1” “regular expression or command 2” ...];
}
no-scp-server;
no-sftp-server;
permissions [ permissions ];
satellite all;
security-role (audit-administrator | crypto-administrator | ids-administrator | security-administrator);
tenant tenant-system-name;
}
Hierarchy Level
[edit system login]
Description
Определите класс входа. Все пользователи, которые регистрются на маршрутизаторе или коммутаторе, должны быть в классе входа. Таким образом, необходимо определить класс Junos OS входа для каждого пользователя или типа пользователя. Можно определить любое количество классов входа в систему в зависимости от типов разрешений, необходимых пользователям. Может не понадобиться определять классы входа; Junos OS имеет несколько заранее задамых классов входа, которые подходят для самых разных потребностей. Однако предварительно задав классы входа, изменить их нельзя. Если класс определяется с таким же именем, что и заранее определенный класс, Junos OS к имени класса входа и создает новый -local класс входа. Дополнительные сведения см. в предопределельных классах входа в систему.
Options
| class-name | Имя, выбираемого для класса входа. |
||||||||
| конечный доступ | Укажите время окончания Прим.:
Периоды начала и окончания доступа, начиная с 12:00 утра, заканчиваются тем, что пользователь получает доступ до следующего дня, даже если в этом документе не задан явным образом день |
||||||||
| начало доступа | Укажите время начала Прим.:
Периоды начала и окончания доступа, начиная с 12:00 утра, заканчиваются тем, что пользователь получает доступ до следующего дня, даже если в этом документе не задан явным образом день |
||||||||
| ( разрешить команды | команд-regexps) | Укажите одно или несколько регулярных выражений, чтобы позволить пользователям этого класса использовать команды рабочего режима. Для явного разрешения авторизации для команд, которые в противном случае были бы отклонены уровнями привилегий доступа для класса входа, используется или Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с Если утверждение используется в одном определении класса входа, он имеет Прим.:
Эти Авторизация также может быть настроена удаленно, указав Juniper Networks TACACS+, определяемые поставщиком, в конфигурации сервера аутентификации. Для удаленного пользователя, когда параметры авторизации настроены как удаленно, так и локально, параметры авторизации, настроенные как удаленно, так и локально, считаются совместно для авторизации. Для локального пользователя рассматриваются только параметры авторизации, локально настроенные для класса.
|
||||||||
| ( разрешит настройку |-regexps allow-configuration-regexps) | Задайте одно или несколько регулярных выражений, чтобы явно разрешить пользователям этого класса получать доступ к указанным уровням в иерархии конфигурации, даже если разрешения, установленные с утверждением, не позволяют предоставить Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с Если используется одно и то же определение класса входа, то его утверждение имеет Прим.:
Эти
|
||||||||
| команды allow-hidden | Разрешите запуск всех скрытых команд. Если утверждение no-hidden-commands указано на уровне иерархии [edit system], это ограничение переопределяется для этого класса входа. Скрытые команды – Junos OS, которые не публикуются, но могут быть запускаться на маршрутизаторе. Скрытые команды служат определенной цели, но в большинстве случае они не используются и не поддерживаются активно. Утверждение no-hidden-commands на уровне иерархии [edit system] позволяет блокировать все скрытые команды всем пользователям, кроме корневых пользователей.
|
||||||||
| allow-source [ source-addresses... ] | Ограничь входящий удаленный доступ только к определенным хостом. Укажите один или несколько адресов источников, с которых разрешен доступ. Адреса источников могут быть адресами IPv4 или IPv6, длиной префикса или именами хостов. |
||||||||
| allow-times [ times...] | Ограничивая удаленный доступ определенным временем. |
||||||||
| allowed-days [ days of the week ] | Укажите один или более дней недели, когда пользователям этого класса разрешено войти в систему.
|
||||||||
| Cli | Установите интерфейс командной строки, заданный для класса входа. Если интерфейс командной строки запроса также установлен на уровне иерархии [edit system login user cli], то запрос, установленный для пользователя входа, имеет приоритет над запросом, установленным для класса входа.
|
||||||||
| configuration-breadcrumbs | Чтобы отобразить местоположение в иерархии конфигурации, в интерфейс командной строки в настройках необходимо включить иерархию иерархии конфигураций. Пример включения этого представления см. в "Включение навигации в конфигурации". |
||||||||
| команды confirm | Укажите, что для определенных команд требуется подтверждение, и при необходимости укажите формулировку сообщения, отображаемого во время подтверждения. Можно указать команды, используя список регулярных выражений или команд.
|
||||||||
| (команды deny-| deny-commands-regexps) | Задайте одно или несколько регулярных выражений, чтобы явно запретить пользователям этого класса разрешение на выдачу команд рабочего режима, даже если разрешения, установленные с Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с Выражения, настроенные с помощью выражения или выражения, имеют приоритет по сравнению с выражениями, настроенными с помощью тех двух выражений, которые используются в одном определении Прим.:
Эти Авторизация также может быть настроена удаленно, указав Juniper Networks TACACS+, определяемые поставщиком, в конфигурации сервера аутентификации. Для удаленного пользователя, когда параметры авторизации настроены как удаленно, так и локально, параметры авторизации, настроенные как удаленно, так и локально, считаются совместно для авторизации. Для локального пользователя рассматриваются только параметры авторизации, локально настроенные для класса.
|
||||||||
| ( deny-configuration | deny-configuration-regexps) | Задайте одно или несколько регулярных выражений, чтобы явно запретить пользователям этого класса доступ к указанным уровням в иерархии конфигурации, даже если разрешения, установленные с утверждением, предоставляет Для выражения каждое выражение, разделенное каналом (|) символом, должно быть полным автономным выражением и должно быть заключено в Для утверждения настраивается набор строк, в котором каждая строка является регулярным выражением, заключенной в двойные кавычка и разделенной с Выражения, настроенные с приоритетом по сравнению с выражениями, настроенными с учетом того, используются ли эти два выражения в одном определении Прим.:
Эти
|
||||||||
| deny-source [source-addresses] | Никогда не разрешайте удаленный доступ с этих хостов. Адреса источников могут быть адресами IPv4 или IPv6, длиной префикса или именами хостов. |
||||||||
| deny-times [times] | Никогда не разрешайте удаленный доступ в эти периоды. |
||||||||
| время ожидания простоя | Для класса входа настройте максимальное время (в минутах), которое сеанс может быть неающим до иго времени ожидания сеанса и выход пользователя из устройства. Время ожидания сеанса после простоя в интерфейс командной строки в течение указанного времени. Прим.:
После входа пользователя на устройство из оболочки оболочки, например csh, если пользователь запускает другую программу на переднем плане интерфейс командной строки, то вычисление контрольного устройства в режиме ожидания будет остановлен. Вычисление времени простоя сеанса интерфейс командной строки запускается только после выхода процесса на переднем плане и возврата управления в оболочку запроса. Если в оболочке происходит перезапуск контроля простоя-времени, если пользователь не взаимодействует с оболочкой, пользователь автоматически выходит из системы после того, как в этом сообщении установлено время.
|
||||||||
| login-alarms | Отображение системных сигналов тревоги при входе пользователя с |
||||||||
| сценарий входа | Запустите указанный сценарий операции, когда пользователь, принадлежащий классу, входит в интерфейс командной строки. Сценарий должен быть включен в конфигурации. |
||||||||
| логическая система | Назначьте пользователей этого класса входа логической системе. Если указана логическая система, оператор спутниковой конфигурации не может быть включен в конфигурацию этого класса входа. |
||||||||
| login-tip | Отображение интерфейс командной строки при входе в систему.
|
||||||||
| команды no-hidden | Запретить все скрытые команды, кроме указанных, для пользователей этого класса входа. Каждая команда, указанная в качестве исключения, должна быть заключена в кавычках.
|
||||||||
| no-scp-server | Отключать входящие SCP-соединения для этого класса входа. |
||||||||
| no-sftp-сервер | Отключать входящие SFTP-соединения для этого класса входа. |
||||||||
| Разрешения | Укажите привилегии доступа для входа для класса входа.
|
||||||||
| Спутниковое | Укажите доступ к Junos Fusion устройствам для класса входа. Все пользователи, приписаные классу входа, являются пользователями спутниковой связи. Включив это утверждение, нельзя включить утверждение конфигурации логической системы в конфигурацию для этого класса входа.
|
||||||||
| роль безопасности | Укажите один или несколько общих критериев (ISO/IEC 15408) роли безопасности для класса входа.
|
||||||||
| Арендатор | Назначьте пользователей этого класса системе арендатора. Системы арендаторов используются, когда необходимо разделить отделы, организации или клиентов, и каждое из них можно ограничить одним виртуальный маршрутизатор. Основное различие между логической системой и системой арендатора состоит в том, что логическая система поддерживает расширенные функции маршрутов с использованием нескольких экземпляров маршрутов. Для сравнения: система арендатора поддерживает только один экземпляр маршрутов, но поддерживает развертывание значительно большего число арендаторов на одну систему. |
Required Privilege Level
admin — для просмотра этого утверждения в конфигурации.
admin-control — добавление этого утверждения в конфигурацию.
Release Information
Перед classallow-commands тем, deny-commands как Junos OS allow-configurationdeny-configurationidle-timeoutlogin-alarmslogin-tippermissions 7.4, были представлены Junos OS,
Все ранее упомянутые утверждения были введены в Junos OS 9.0 для серии EX.
Утверждение login-script было введено в Junos OS версии 9.5.
В access-end версии access-start 10.1 были Junos OS и allowed-days утверждения.
Все ранее упомянутые утверждения были введены в Junos OS 11.1 для серия QFX.
Все ранее упомянутые утверждения были внесены в Junos OS.11.2 для серия SRX.
В allow-configuration-regexps версии deny-configuration-regexps 11.2 были Junos OS и security-role заявления.
Утверждение configuration-breadcrumbs было введено в Junos OS версии 12.2.
Все ранее упомянутые утверждения были введены в Junos OS версии 14.1X53-D20 для серии OCX.
Все ранее упомянутые утверждения были введены в Junos OS 15.1X49-D70 для vSRX, SRX4100, SRX4200 и SRX1500 устройств.
Все ранее упомянутые утверждения были внесены в Junos OS.16.1 для серия MX и серия PTX.
В allow-hidden-commands версии confirm-commandsno-hidden-commands 16.1 были Junos OS и satellite утверждения.
Утверждение cli было введено в Junos OS версии 17.3.
Эти allow-commands-regexps утверждения были введены в Junos OS deny-commands-regexps 18.1.
Утверждение tenant было введено Junos OS 18.4.
Эти no-scp-server утверждения были введены в Junos OS no-sftp-server 19.2.