Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Junos OS 登录类概述

 

Junos OS 登录类允许您定义访问权限、使用 CLI 命令和语句的权限以及每个登录类的会话空闲时间。您可以将登录类应用于单个用户帐户,从而为用户指定某些权限和权限。有关详细信息,请阅读本主题。

Junos OS 登录类概述

可以登录路由器或交换机的所有用户都必须位于登录类中。借助登录类,您可以定义以下内容:

  • 用户登录到路由器或交换机时所拥有的访问权限

  • 用户可以和不能指定的命令和语句

  • 登录会话在超时和用户注销之前可处于空闲状态的时间

您可以定义任意数量的登录类,然后将一个登录类应用于单个用户帐户。

Junos 操作系统(Junos OS)包含几个预定义的登录类,如中表 1所列。预定义的登录类不能修改。

表 1: 预定义系统登录类

登录类

权限标志设置

operator

清除、网络、重置、跟踪和查看

read-only

观看

superuser 或者 super-user

全部

unauthorized

注意
  • 您不能修改预定义的登录类名称。如果您在预set定义的类名上发出命令,Junos OS 会-local附加到登录类名称后面。还会显示以下消息:

  • 您不能在renamecopy定义的登录类上发出或命令。这样做会导致出现以下错误消息:

权限位

每个顶级 CLI 命令和每个配置语句都有与其相关的访问权限级别。用户只能执行这些命令,并且只能配置和查看他们具有访问权限的那些语句。每个登录类的访问权限由一个或多个权限位定义(请表 2参阅)。

权限的两种形式控制配置的各个部分:

  • "纯" 形式—为该权限类型提供只读功能。例如interface

  • 结尾-control—的表单为该权限类型提供读写功能。例如interface-control

表 2: 登录类的权限位

权限位

访问

admin

可在配置模式和show configuration命令中查看用户帐户信息。

admin-control

可以查看用户帐户并配置它们(在[edit system login]层次结构级别)。

access

可在配置模式和 show configuration 操作模式命令中查看访问配置。

access-control

可以查看和配置访问信息(在[edit access]层次结构级别)。

all

具有所有权限。

clear

可以清除(删除)存储在各种网络数据库(使用clear命令)中的网络的信息。

configure

可进入配置模式(使用configure命令)并提交配置(使用commit命令)。

control

可执行所有控制级别操作(使用-control权限位配置的所有操作)。

field

留作现场(调试)支持。

firewall

可以在配置模式中查看防火墙过滤器配置。

firewall-control

可以查看和配置防火墙过滤器信息(在[edit firewall]层次结构级别)。

floppy

可对可移动媒体进行读写。

interface

可在配置模式和show configuration操作模式命令中查看接口配置。

interface-control

可以查看机箱、服务等级、组、转发选项和接口配置信息。可配置机箱、服务等级、组、转发选项和接口(在[edit]层次结构中)。

maintenance

可以执行系统维护,包括启动设备上的本地外壳和在外壳中成为超级用户(通过发出su root命令),并可暂停和重新启动设备(使用这些request system命令)。

network

ping可通过输入sshtelnet、和traceroute命令来访问网络。

reset

可以使用restart命令重新启动软件进程,并可配置是启用还是禁用软件进程(在[edit system processes]层次结构级别)。

rollback

可以使用rollback命令返回到以前提交的配置,而不是最近提交的设置。

routing

可以查看配置和操作模式中的常规路由、路由协议和路由策略配置信息。

routing-control

可以查看常规路由、路由协议和路由策略配置信息,并配置常规路由(在[edit routing-options]层次结构级别)、路由协议( [edit protocols]层次级别)和路由策略(在[edit policy-options]层次结构级别)。

secret

可以查看配置中的密码和其他身份验证密钥。

secret-control

可以查看配置中的密码和其他身份验证密钥,并可在配置模式中修改。

security

可在配置模式和show configuration操作模式命令中查看安全配置。

security-control

可以查看和配置安全信息(在[edit security]层次结构级别)。

shell

可通过输入start shell命令在设备上启动本地 shell。

snmp

可以查看配置和操作模式中的 SNMP 配置信息。

snmp-control

可以查看 SNMP 配置信息并配置 SNMP (在[edit snmp]层次结构级别)。

system

可以在配置和操作模式中查看系统级信息。

system-control

可以查看系统级配置信息并对[edit system]其进行配置(在层次结构级别)。

trace

可以查看配置和操作模式中的跟踪文件设置。

trace-control

可以查看跟踪文件设置和配置跟踪文件属性。

view

可以使用各种命令显示当前系统级、路由表以及协议特定的值和统计信息。

拒绝或允许个别命令

默认情况下,所有顶级 CLI 命令都具有关联的访问权限级别。用户只能执行这些命令,而只查看他们具有访问权限的那些语句。对于每个登录类,您都可以显式拒绝或允许使用权限位所允许或禁止的操作和配置模式命令。

定义 Junos OS 登录类

登录类允许您定义以下内容:

  • 用户登录到路由器或交换机时所拥有的访问权限

  • 用户可以和不能指定的命令和语句

  • 登录会话在超时和用户注销之前可处于空闲状态的时间

可以登录路由器或交换机的所有用户都必须位于登录类中。因此,您必须为每个用户或用户类别定义 Junos OS 登录类。您可以根据用户所需的权限类型定义任意数量的登录类。

要定义登录类及其访问权限,请将class语句包含在[edit system login]层次结构级别:

示例:使用特定权限创建登录类

登录类用于将某些权限或限制分配给用户组,从而确保只有适当用户才能访问敏感命令。默认情况下,瞻博网络设备具有四种具有预置权限的登录类:运营商、只读、超级用户或超级用户以及未授权。

您可以创建新的自定义登录类,以对默认登录类中未找到的权限进行不同的组合。以下示例显示如何创建三个自定义登录类,每个类别都有特定的权限和计时器,用于在一段不活动时间后断开类成员的连接。不活动状态的计时器可在用户离开其计算机时断开用户与网络的连接,从而帮助保护网络安全,从而防止让无人参与的帐户登录到交换机或路由器而产生潜在的安全风险。此处显示的权限和不活动计时器只是示例,应针对您的组织进行定制。

第一类用户被调用observation ,他们只能查看统计信息和配置。不允许他们修改任何配置。第二类用户将被调用operation ,他们可以查看和修改配置。第三类用户被称为engineering ,他们拥有无限的访问和控制权限。所有三个登录类都使用相同的5分钟不活动状态计时器。