Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

close
keyboard_arrow_left
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Funções administrativas

date_range 03-Aug-24

Junos OS permite que você defina um usuário do sistema para agir como um tipo específico de administrador para o sistema. Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os atributos da função administrativa. Você pode atribuir um dos atributos de função, como o oficial de auditoria de criptos, oficial de segurança, oficial de ids a um usuário administrativo.

Como projetar funções administrativas

Um usuário do sistema pode ser um membro de uma classe que permite que o usuário atue como um tipo específico de administrador para o sistema. Exigir uma função específica para visualizar ou modificar um item restringe a extensão das informações que um usuário pode obter do sistema. Ele também limita o quanto do sistema está aberto à modificação ou observação por um usuário. Você (o administrador do sistema) deve usar as seguintes diretrizes quando estiver projetando funções administrativas:

  • Não permita que nenhum usuário faça login no sistema como root.

  • Restrinja cada usuário ao menor conjunto de privilégios necessários para executar as funções do usuário.

  • Não permita que nenhum usuário pertença a uma aula de login que contenha a bandeira de shell permissão. A shell bandeira de permissão permite que os usuários executem o start shell comando da CLI.

  • Permita que os usuários tenham permissões de reversão. As permissões de reversão permitem que os usuários desfaçam uma ação realizada por um administrador, mas não permitem que eles comprometam as mudanças.

Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os privilégios necessários para a função. Você pode configurar cada classe para permitir ou negar acesso a declarações de configuração e comandos por nome. Essas restrições se sobrepõem e têm precedência sobre quaisquer bandeiras de permissão também configuradas na classe. Você pode atribuir um dos seguintes atributos de função a um usuário administrativo:

  • Crypto-administrator— permite que o usuário configure e monitore dados criptográficos.

  • Security-administrator— permite que o usuário configure e monitore dados de segurança.

  • Audit-administrator— permite que o usuário configure e monitore dados de auditoria.

  • IDS-administrator— permite que o usuário monitore e limpe os logs de segurança do serviço de detecção de intrusão (IDS).

Cada função pode desempenhar as seguintes funções de gerenciamento específicas:

  • Cryptographic Administrator

    • Configura o auto-teste criptográfico.

    • Modifica os parâmetros de dados de segurança criptográfica.

  • Audit Administrator

    • Configura e exclui o recurso de pesquisa e classificação de revisão de auditoria.

    • Pesquise e classifique registros de auditoria.

    • Configura parâmetros de pesquisa e classificação.

    • Elimina manualmente os logs de auditoria.

  • Security Administrator

    • Invoca, determina e modifica o comportamento de auto-teste criptográfico.

    • Habilita, desativa, determina e modifica as funções de análise de auditoria e seleção de auditoria, e configura o dispositivo para excluir automaticamente os logs de auditoria.

    • Habilita ou desativa alarmes de segurança.

    • Especifica limites para cotas em conexões de camada de transporte.

    • Especifica os limites, identificadores de rede e períodos de tempo para cotas em recursos controlados orientados por conexão.

    • Especifica os endereços de rede permitidos para usar o Protocolo de Mensagem de Controle de Internet (ICMP) ou Protocolo de Resolução de Endereços (ARP).

    • Configura a hora e a data usadas nos carimbos de tempo.

    • Consultas, modificações, exclusões e cria o fluxo de informações ou regras de controle de acesso e atributos para a política de função de segurança de fluxo de informações (SFP) não autenticada, a política de função de segurança de fluxo de informações autenticada, os serviços de dispositivo não autenticados e a política de controle de acesso discricionária.

    • Especifica valores iniciais que substituem os valores padrão quando as informações de objetos são criadas sob SFP de fluxo de informações não autenticado, o SFP de fluxo de informações autenticado, a meta não autenticada de serviços de avaliação (TOE) e a política de controle de acesso discricionária.

    • Cria, exclui ou modifica as regras que controlam o endereço a partir do qual as sessões de gerenciamento podem ser estabelecidas.

    • Especifica e revoga atributos de segurança associados aos usuários, sujeitos e objetos.

    • Especifica a porcentagem da capacidade de armazenamento de auditoria na qual o dispositivo alerta os administradores.

    • Lida com falhas de autenticação e modifica o número de tentativas de autenticação falhadas através do SSH ou da CLI que podem ocorrer antes que o estrangulamento progressivo seja aplicado para novas tentativas de autenticação e antes que a conexão seja descartada.

    • Gerencia a configuração básica de rede do dispositivo.

  • IDS Administrator— especifica alarmes de segurança IDS, alarmes de intrusão, seleções de auditoria e dados de auditoria.

Você deve definir o atributo de função de segurança nas classes criadas para essas funções administrativas. Esse atributo restringe quais usuários podem mostrar e limpar os logs de segurança, ações que não podem ser realizadas apenas por meio da configuração.

Por exemplo, você deve definir o atributo de função de segurança na ids-admin classe criada para a função de administrador de IDS se quiser restringir a compensação e mostrar logs de IDS para a função de administrador do IDS. Da mesma forma, você deve definir a função de segurança para um dos outros valores administrativos para restringir essa classe de ser capaz de limpar e mostrar apenas logs não IDS.

Nota:

Quando um usuário apaga uma configuração existente, as declarações de configuração sob o nível de hierarquia da configuração excluída (os objetos infantis que o usuário não tem permissão para modificar) permanecem no dispositivo.

Exemplo: Como configurar funções administrativas

Este exemplo mostra como configurar funções administrativas individuais para um conjunto distinto e único de privilégios, além de todos os outros cargos administrativos.

Requisitos

Nenhuma ação além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo ilustra como configurar quatro funções de usuário administrador:

  • audit-officer da classe audit-admin

  • crypto-officer da classe crypto-admin

  • security-officer da classe security-admin

  • ids-officer da classe ids-admin

Quando uma security-admin classe é configurada, os privilégios para criar administradores são revogados do usuário que criou a security-admin classe. A criação de novos usuários e logins fica a critério do security-officer.

Neste exemplo, você cria as quatro funções administrativas de usuário mostradas na lista anterior (administrador de auditoria, administrador de cripto, administrador de segurança e administrador de ids). Para cada função, você atribui bandeiras de permissão relevantes para a função. Em seguida, você permite ou nega acesso a declarações de configuração e comandos por nome para cada função administrativa. Essas restrições específicas têm precedência sobre as bandeiras de permissão configuradas na classe. Por exemplo, apenas o crypto-admin comando pode ser executado, o request system set-encryption-key que requer ter a security bandeira de permissão para acessá-lo. Somente a security-admin declaração pode incluir a system time-zone declaração na configuração, que requer ter a bandeira de system-control permissão.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

content_copy zoom_out_map
set system login class audit-admin permissions security 
set system login class audit-admin permissions trace 
set system login class audit-admin permissions maintenance 
set system login class audit-admin allow-commands "^clear (log|security log)" 
set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
set system login class audit-admin security-role audit-administrator 
set system login class crypto-admin permissions admin-control
set system login class crypto-admin permissions configure 
set system login class crypto-admin permissions maintenance 
set system login class crypto-admin permissions security-control 
set system login class crypto-admin permissions system-control 
set system login class crypto-admin permissions trace 
set system login class crypto-admin allow-commands "^request system set-encryption-key" 
set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"
set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"]
set system login class crypto-admin security-role crypto-administrator 
set system login class security-admin permissions all 
set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell"
set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"]
set system login class security-admin security-role security-administrator 
set system login class ids-admin permissions configure
set system login class ids-admin permissions security-control
set system login class ids-admin permissions trace 
set system login class ids-admin permissions maintenance 
set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] 
set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" 
set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] 
set system login class ids-admin security-role ids-admin 
set system login user audit-officer class audit-admin 
set system login user crypto-officer class crypto-admin 
set system login user security-officer class security-admin
set system login user ids-officer class ids-admin 
set system login user audit-officer authentication plain-text-password
set system login user crypto-officer authentication plain-text-password
set system login user security-officer authentication plain-text-password
set system login user ids-officer authentication plain-text-password
Procedimento passo a passo

Para configurar funções administrativas:

  1. Crie a aula de audit-admin login.

    content_copy zoom_out_map
    [edit]
    user@host# edit system login class audit-admin
    [edit system login class audit-admin]
    user@host# set permissions security 
    user@host# set permissions trace 
    user@host# set permissions maintenance 
    
  2. Configure as restrições de audit-admin classe de login.

    content_copy zoom_out_map
    [edit system login class audit-admin]
    user@host# set allow-commands "^clear (log|security log)" 
    user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"
    user@host# set security-role audit-administrator
    
  3. Crie a aula de crypto-admin login.

    content_copy zoom_out_map
    [edit]
    user@host# edit system login class crypto-admin
    [edit system login class crypto-admin]
    user@host# set permissions admin-control
    user@host# set permissions configure 
    user@host# set permissions maintenance 
    user@host# set permissions security-control 
    user@host# set permissions system-control 
    user@host# set permissions trace 
    
  4. Configure as restrições de crypto-admin classe de login.

    content_copy zoom_out_map
    [edit system login class crypto-admin]
    user@host# set allow-commands "^request system set-encryption-key" 
    user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"
    user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"]
    user@host# set security-role crypto-administrator 
    
  5. Crie a aula de security-admin login.

    content_copy zoom_out_map
    [edit]
    user@host# edit system login class security-admin
    [edit system login class security-admin]
    user@host# set permissions all 
    
  6. Configure as restrições de security-admin classe de login.

    content_copy zoom_out_map
    [edit system login class security-admin]
    user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell"
    user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"]
    user@host# set security-role security-administrator 
    
  7. Crie a aula de ids-admin login.

    content_copy zoom_out_map
    [edit]
    user@host# edit system login class ids-admin
    [edit system login class ids-admin]
    user@host# set permissions configure
    user@host# set permissions maintenance
    user@host# set permissions security-control
    user@host# set permissions trace
    
  8. Configure as restrições de ids-admin classe de login.

    content_copy zoom_out_map
    [edit system login class ids-admin]
    user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"
    user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" 
    user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"]
    user@host# set security-role ids-administrator
    
  9. Atribua os usuários às funções.

    content_copy zoom_out_map
    [edit]
    user@host# edit system login
    [edit system login]
    user@host# set user audit-officer class audit-admin 
    user@host# set user crypto-officer class crypto-admin 
    user@host# set user security-officer class security-admin
    user@host# set user ids-officer class ids-admin
    
  10. Configure senhas para os usuários.

    content_copy zoom_out_map
    [edit system login]
    user@host# set user audit-officer authentication plain-text-password
    user@host# set user crypto-officer authentication plain-text-password
    user@host# set user security-officer authentication plain-text-password
    user@host# set user ids-officer authentication plain-text-password
    

Resultados

No modo de configuração, confirme sua configuração inserindo o show system comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

content_copy zoom_out_map
[edit]
user@host# show system
system {
    login {
        class audit-admin {
            permissions [ maintenance security trace ];
            allow-commands "^clear (log|security log)";
            deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
            security-role audit-administrator;
        }
        class crypto-admin {
            permissions [ admin-control configure maintenance security-control system-control trace ];
            allow-commands "^request (system set-encryption-key)";
            deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
            allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ];
            security-role crypto-administrator;
        }
        class security-admin {
            permissions [all];
            deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell";
            deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ];
            security-role security-administrator;
        }
        class ids-admin {
             permissions [ configure maintenance security-control trace ];
            deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type 
            (authentication | cryptographic-self-test | decryption-failures | encryption-failures
             | ike-phase1-failures | ike-phase2-failures|key-generation-self-test |
             non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename) 
            |^request (security|system set-encryption-key) | ^rollback |
            ^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell";
            allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ];
            deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption-
            failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|
            key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)" 
            security-role ids-administrator;
        }
        user audit-officer {
            class audit-admin;
            authentication {
                 encrypted-password "$1$ABC123"; ## SECRET-DATA 
            }
        }
        user crypto-officer {
            class crypto-admin;
            authentication {
                 encrypted-password "$1$ABC123."; ## SECRET-DATA 
            }
        }
        user security-officer {
            class security-admin;
            authentication {
                 encrypted-password "$1$ABC123."; ##SECRET-DATA 
            }
        }
        user ids-officer {
            class ids-admin;
            authentication {
                encrypted-password "$1$ABC123/"; ## SECRET-DATA
            }
        }
    }
}

Depois de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique as permissões de login

Propósito

Verifique as permissões de login para o usuário atual.

Ação

No modo operacional, insira o show cli authorization comando para verificar as permissões de login do usuário.

content_copy zoom_out_map
user@host> show cli authorization
Current user: 'example' class 'super-user'
Permissions:
    admin       -- Can view user accounts
    admin-control-- Can modify user accounts
    clear       -- Can clear learned network info
    configure   -- Can enter configuration mode
    control     -- Can modify any config
    edit        -- Can edit full files
    field       -- Can use field debug commands
    floppy      -- Can read and write the floppy
    interface   -- Can view interface configuration
    interface-control-- Can modify interface configuration
    network     -- Can access the network
    reset       -- Can reset/restart interfaces and daemons
    routing     -- Can view routing configuration
    routing-control-- Can modify routing configuration
    shell       -- Can start a local shell
    snmp        -- Can view SNMP configuration
    snmp-control-- Can modify SNMP configuration
    system      -- Can view system configuration
    system-control-- Can modify system configuration
    trace       -- Can view trace file settings
    trace-control-- Can modify trace file settings
    view        -- Can view current values and statistics
    maintenance -- Can become the super-user
    firewall    -- Can view firewall configuration
    firewall-control-- Can modify firewall configuration
    secret      -- Can view secret statements
    secret-control-- Can modify secret statements
    rollback    -- Can rollback to previous configurations
    security    -- Can view security configuration
    security-control-- Can modify security configuration
    access      -- Can view access configuration
    access-control-- Can modify access configuration
    view-configuration-- Can view all configuration (not including secrets)
    flow-tap    -- Can view flow-tap configuration
    flow-tap-control-- Can modify flow-tap configuration
    idp-profiler-operation-- Can Profiler data
    pgcp-session-mirroring-- Can view pgcp session mirroring configuration
    pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura
tion
    storage     -- Can view fibre channel storage protocol configuration
    storage-control-- Can modify fibre channel storage protocol configuration
    all-control -- Can modify any configuration
Individual command authorization:
    Allow regular expression: none
    Deny regular expression: none
    Allow configuration regular expression: none
    Deny configuration regular expression: none

Essa saída resume as permissões de login.

Como configurar uma conta de administrador local

Os privilégios do superusuário dão a um usuário permissão para usar qualquer comando no roteador e geralmente são reservados para alguns usuários selecionados, como administradores de sistema. Você (o administrador do sistema) precisa proteger a conta de administrador local com uma senha para evitar que usuários não autorizados tenham acesso a comandos de superusuários. Esses comandos de superusuários podem ser usados para alterar a configuração do sistema. Usuários com autenticação RADIUS também devem configurar uma senha local. Se o servidor RADIUS não responder, o processo de login reverterá para autenticação de senha local na conta do administrador local.

O exemplo a seguir mostra como configurar uma conta de administração local protegida por senha chamada admin com privilégios de superusuários:

content_copy zoom_out_map
[edit]
system {
    login {
        user admin {
            uid 1000;
            class superuser;
            authentication {
                encrypted-password "<PASSWORD>"; ## SECRET-DATA
            }
        }
    }
}
external-footer-nav