Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS административных ролей

Junos OS позволяет определить системного пользователя, который будет действовать как определенный вид администратора системы. Можно назначить административную роль пользователю, настроив класс входа, чтобы иметь атрибуты административной роли. Вы можете назначить одному из атрибутов роли, таких как крипто-сотрудник аудита, сотрудник службы безопасности, ids-officer, административному пользователю. Дополнительные сведения об этом разделе.

Понимание административных ролей

Системный пользователь может быть членом класса, который позволяет пользователю действовать как определенный вид администратора для системы. Требование определенной роли для просмотра или изменения элемента ограничивает возможности получения пользователем информации из системы. Она также ограничивает количество систем, открытых для намеренной или непреднамеральной модификации или наблюдения со стороны пользователя. При проектировании административных ролей рекомендуется использовать следующие рекомендации:

  • Не позволяйте пользователю входить в систему как root .

  • Ограничивая каждого пользователя наименьшим набором привилегий, необходимых для выполнения его обязанностей.

  • Не позволяйте пользователю принадлежать к классу входа, содержащего shell флаг разрешения. Флаг shell разрешений позволяет пользователям запускать start shell команду из интерфейс командной строки.

  • Разрешение пользователям на откат. Разрешения отката позволяют пользователям отменять действия, выполняемые администратором, но не позволяя им выполнять изменения.

Можно назначить административную роль пользователю, настроив класс входа, чтобы иметь необходимые для этой роли привилегии. Каждый класс можно настроить так, чтобы разрешить или запретить доступ к конфигурированию и командам по именам. Эти специфические ограничения переопределяются и имеют приоритет по сравнению с любыми флагами разрешений, также настроенными в классе. Можно назначить одному из следующих атрибутов роли административному пользователю.

  • Crypto-administrator- Позволяет пользователю настраивать и отслеживать криптографические данные.

  • Security-administrator- Позволяет пользователю настраивать и отслеживать данные безопасности.

  • Audit-administrator- Позволяет пользователю настраивать и отслеживать контроль данных.

  • IDS-administrator- Позволяет пользователю контролировать и очищать служба обнаружения вторжений (служба обнаружения вторжений) журналы безопасности.

Каждая роль может выполнять следующие функции управления:

  • Cryptographic Administrator

    • Настройка самопроверки шифрования.

    • Изменяет параметры данных криптографической защиты.

  • Audit Administrator

    • Настройка и удаление функции поиска и сортировки аудита.

    • Поиск и сортировка контрольных записей.

    • Настраивает параметры поиска и сортировки.

    • Удаление журналов аудита вручную.

  • Security Administrator

    • Вызывает, определяет и изменяет поведение криптографического самопроверки.

    • Включает, отключает, определяет и изменяет функции аудита анализа и аудита отбора, а также настраивает устройство на автоматическое удаление контрольных журналов.

    • Включает и отключает сигналы безопасности.

    • Определяет ограничения для квот по транспортный уровень соединений.

    • Определяет пределы, сетевые идентификаторы и периоды времени для квот на управляемых ресурсах, ориентированных на подключение.

    • Указывает сетевые адреса, разрешенные для использования протокола управления Интернет-сообщениями (ICMP) или протокола разрешения адресов (ARP).

    • Настраивает время и дату, используемые в штампах времени.

    • Запрашивает, изменяет, удаляет и создает поток информации или правила управления доступом и атрибуты для политики обеспечения безопасности неавторированной информации (SFP), аутентифицированного потока данных SFP, службы без аутентификации устройств и политики осторожного контроля доступа.

    • Определяет начальные значения, которые переопределяют значения по умолчанию, когда информация об объекте создается при неавтоматированном потоке информации SFP, потоке аутентификационной информации SFP, неавтоматированном целевом объекте оценки (TOE) сервисах и политике дискретного контроля доступа.

    • Создает, удаляет или изменяет правила, управляющие адресом, с которого можно установить сеансы управления.

    • Определяет и отменяет атрибуты безопасности, связанные с пользователями, предметами и объектами.

    • Указывается процент пропускной способности контрольного хранилища, при котором устройство оповещает администраторов.

    • Обрабатывает ошибки аутентификации и изменяет число неудачных попыток аутентификации с помощью SSH или интерфейс командной строки, которые могут произойти до принудительного регулирования для дальнейших попыток аутентификации и до того, как соединение будет отброшено.

    • Управляет базовой конфигурацией сети устройства.

  • IDS Administrator- Указывается служба обнаружения вторжений системы безопасности, сигналы тревоги при вторжении, выборки и проверка данных.

Необходимо установить атрибут security-role в классах, созданных для этих административных ролей. Этот атрибут ограничивает то, что пользователи могут показывать и очищать журналы безопасности, действия, которые нельзя выполнить с помощью конфигурации.

Например, необходимо установить атрибут security-role в классе, созданном для служба обнаружения вторжений администратора, если необходимо ограничить очистку и отображение служба обнаружения вторжений журналов на роль служба обнаружения вторжений ids-admin администратора. Аналогичным образом, необходимо установить для роли безопасности одно из значений администратора, чтобы запретить классу очистки и показать нестандартные журналы только служба обнаружения вторжений.

Прим.:

Когда пользователь удаляет существующую конфигурацию, на устройстве теперь остаются точки, на которые пользователь не имеет разрешения.

Примере: Настройка административных ролей

В этом примере показано, как настроить отдельные административные роли для отдельного, уникального набора привилегий за исключением всех других административных ролей.

Требования

До настройки этой функции специальная настройка после инициализации устройства не требуется.

Обзор

В данном примере настроены четыре пользователя:

  • audit-officer класса audit-admin

  • crypto-officer класса crypto-admin

  • security-officer класса security-admin

  • ids-officer класса ids-admin

После настройки класса привилегии создания администраторов отменяются у созданного security-adminsecurity-admin класса пользователя. Создание новых пользователей и входов является неострашным security-officer решением.

В данном примере создаются флаги разрешения администратора аудита, crypto admin, security admin и ids admin, относящиеся к этой роли. Затем разрешается или от возможности запретить доступ к настройкам и командам по именам для каждой административной роли. Данные специфические ограничения имеют приоритет над флагами разрешений, также настроенными в классе. Например, только команда может выполниться, для доступа к которой требуется флаг crypto-adminrequest system set-encryption-keysecurity разрешения. Только утверждение security-admin может быть system time-zone включено в конфигурацию, для чего требуется флаг system-control разрешения.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. Использование редактора интерфейс командной строки в режиме конфигурации.

Настройка пользователей в административных ролях:

  1. Создайте audit-admin класс входа.

  2. Настройте audit-admin ограничения класса входа.

  3. Создайте crypto-admin класс входа.

  4. Настройте crypto-admin ограничения класса входа.

  5. Создайте security-admin класс входа.

  6. Настройте security-admin ограничения класса входа.

  7. Создайте ids-admin класс входа.

  8. Настройте ids-admin ограничения класса входа.

  9. Назначьте пользователям роли.

  10. Настройте пароли для пользователей.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show system команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка разрешений для входа

Цель

Проверьте разрешения на вход для текущего пользователя.

Действий

В рабочем режиме введите show cli authorization команду.

В этом выводе приводится итог разрешений на вход.

Настройка учетной записи локального администратора

В следующем примере показано, как настроить защищенную паролем учетную запись локального управления с admin привилегиями суперпользоваера. Привилегии суперузера дают пользователю право использовать любую команду на маршрутизаторе и, как правило, зарезервированы для нескольких пользователей, таких как системные администраторы. Важно защитить учетную запись локального администратора паролем, чтобы не допустить получения неавторизованных пользователями доступа к командам superuser, которые могут использоваться для изменения конфигурации системы. Даже пользователи с RADIUS аутентификацией должны настраивать локальный пароль. Если RADIUS сбой или становится недостижимым, процесс входа вернется к аутентификации пароля на локальной учетной записи администратора.