Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Junos OS 管理角色

 

Junos OS 允许您将系统用户定义为系统的特定类型管理员。通过将登录类配置为具有管理角色属性,可以为用户分配管理角色。您可以将其中一个角色属性(如审计官加密官、安全监察官、ids 主管)分配给管理用户。有关详细信息,请阅读本主题。

了解管理角色

系统用户可以是类的成员,允许用户作为系统的特定类型管理员。需要特定角色才能查看或修改项目,限制用户可从系统中获取的信息的范围。它还限制了向用户有意或无意修改或观察的系统的数量。在设计管理角色时,建议使用以下准则:

  • 不允许任何用户登录系统 as root

  • 将每个用户限制为执行用户’职责所需的最小权限集。

  • 不允许任何用户属于包含shell权限标志的登录类。shell权限标志允许用户从 CLI 运行start shell 命令。

  • 允许用户拥有回滚权限。回滚权限允许用户撤消管理员执行的操作,但不允许他们提交更改。

通过将登录类配置为具有该角色所需的权限,可为用户分配管理角色。您可以将每个类配置为允许或拒绝按名称访问配置语句和命令。这些特定限制将覆盖并优先于类中配置的任何权限标志。您可以将以下角色属性之一分配给管理用户。

  • Crypto-administrator—允许用户配置和监控加密数据。

  • Security-administrator—允许用户配置和监控安全数据。

  • Audit-administrator—允许用户配置和监控审核数据。

  • IDS-administrator—允许用户监控和清除入侵检测服务(IDS)安全日志。

每个角色都可以执行以下特定管理功能:

  • Cryptographic Administrator

    • 配置加密自我测试。

    • 修改加密安全数据参数。

  • Audit Administrator

    • 配置和删除审核审查搜索和排序功能。

    • 搜索和排序审计记录。

    • 配置搜索和排序参数。

    • 手动删除审核日志。

  • Security Administrator

    • 调用、确定和修改加密自我测试行为。

    • 启用、禁用、确定和修改审核分析和审核选择功能,并配置设备以自动删除审核日志。

    • 启用或禁用安全报警。

    • 指定传输层连接上的配额限制。

    • 指定受控制的面向连接的资源上的配额限制、网络标识符和时间段。

    • 指定允许使用互联网控制消息协议(ICMP)或地址解析协议(ARP)的网络地址。

    • 配置时间戳中使用的时间和日期。

    • 查询、修改、删除和创建未经身份验证的信息流安全功能策略(SFP)的信息流或访问控制规则和属性、经过身份验证的信息流 SFP、未经身份验证的设备服务以及自由访问控制策略。

    • 指定在未授权的信息流 SFP、经过身份验证的信息流 SFP、评估(TOE)服务的未经身份验证的目标和随机访问控制策略。

    • 创建、删除或修改控制可建立管理会话的地址的规则。

    • 指定和吊销与用户、主题和对象相关联的安全属性。

    • 指定设备提醒管理员的审核存储容量百分比。

    • 处理身份验证失败,并修改通过 SSH 或 CLI 执行的失败身份验证尝试次数,在实施后续限制之前和连接断开之前。

    • 管理设备的基本网络配置。

  • IDS Administrator—指定 IDS 安全报警、入侵报警、审核选择和审核数据。

您需要在为这些管理角色创建的类中设置安全角色属性。此属性可限制哪些用户可以显示和清除安全日志,不能单独执行配置的操作。

例如,如果您希望将清除并显示 IDS 日志到 IDS 管理员ids-admin角色,则需要在为 IDS 管理员角色创建的类中设置安全角色属性。同样,您还需要将安全角色设置为其他某个管理值,以限制该类仅能够清除和显示非 IDS 日志。

注意

用户删除现有配置时,已删除配置的层次结构级别(即用户无权修改的子对象)的配置语句现在保留在设备中。

示例:配置管理角色

此示例演示如何为除所有其他管理角色以外的独特的唯一权限集配置单独的管理角色。

要求

在配置此功能之前,不需要进行设备初始化以外的特殊配置。

概述

此示例配置四个用户:

  • audit-officer类的audit-admin

  • crypto-officer类的crypto-admin

  • security-officer类的security-admin

  • ids-officer类的ids-admin

配置security-admin类时,将从创建该security-admin类别的用户处撤销创建管理员的特权。新用户和登录的创建由的决定security-officer

在此示例中,您创建具有与此角色相关的权限标志的审核管理、加密管理员、安全管理员和 ids 管理员。然后,按名称为每个管理角色允许或拒绝对配置语句和命令的访问。这些特定限制优先于也在类中配置的权限标志。例如,只有crypto-admin可以运行request system set-encryption-key命令,这需要拥有security权限标志才能访问。只有security-admin可以包括配置中system time-zone的语句,这需要具有system-control权限标记。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅在配置模式中使用 CLI 编辑器

要在管理角色中配置用户:

  1. 创建audit-admin登录类。

  2. 配置audit-admin登录类限制。
  3. 创建crypto-admin登录类。

  4. 配置crypto-admin登录类限制。
  5. 创建security-admin登录类。

  6. 配置security-admin登录类限制。
  7. 创建ids-admin登录类。
  8. 配置ids-admin登录类限制。
  9. 将用户分配给角色。

  10. 为用户配置密码。

结果

在配置模式下,输入以下设置以确认您的配置: show system命令时,此文件将变成活动配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请输入 commit从配置模式。

针对

确认配置是否正常工作。

验证登录权限

用途

验证当前用户的登录权限。

操作

在操作模式下,输入show cli authorization命令。

user@host>show cli authorization

此输出汇总了登录权限。

配置本地管理员帐户

下面的示例演示如何配置 password-使用超级用户权限调用admin的受保护本地管理帐户。超级用户权限授予了在路由器上使用任何命令的权限,通常是为选择几个用户(如系统管理员)保留的。以便 的说明是 请务必使用密码保护本地管理员帐户,以防止未经授权的用户获取可用于改变的超级用户命令的访问权限 理系统配置。即使是 RADIUS 身份验证的用户也应该配置本地密码。如果 RADIUS 失败或不可访问,则登录进程将恢复为本地管理员帐户上的密码身份验证。