- play_arrow Aulas de login e configurações de login
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Controle de acesso
- Métodos de autenticação de controle de acesso
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Configuração do servidor RADIUS para autenticação
- RADIUS over TLS (RADSEC)
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Contabilidade 802.1X e RADIUS
- Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
- Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
- Configuração do PEAP para autenticação MAC RADIUS
- Autenticação de portal cativo
- Ordem de autenticação flexível nos switches da Série EX
- Falha no fallback e autenticação do servidor
- Tempo limite da sessão de autenticação
- Autenticação central da Web
- Atribuição dinâmica de VLAN para portas incolores
- VoIP nos switches da Série EX
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Funções administrativas
Junos OS permite que você defina um usuário do sistema para agir como um tipo específico de administrador para o sistema. Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os atributos da função administrativa. Você pode atribuir um dos atributos de função, como o oficial de auditoria de criptos, oficial de segurança, oficial de ids a um usuário administrativo.
Como projetar funções administrativas
Um usuário do sistema pode ser um membro de uma classe que permite que o usuário atue como um tipo específico de administrador para o sistema. Exigir uma função específica para visualizar ou modificar um item restringe a extensão das informações que um usuário pode obter do sistema. Ele também limita o quanto do sistema está aberto à modificação ou observação por um usuário. Você (o administrador do sistema) deve usar as seguintes diretrizes quando estiver projetando funções administrativas:
Não permita que nenhum usuário faça login no sistema como
root
.Restrinja cada usuário ao menor conjunto de privilégios necessários para executar as funções do usuário.
Não permita que nenhum usuário pertença a uma aula de login que contenha a bandeira de
shell
permissão. Ashell
bandeira de permissão permite que os usuários executem ostart shell
comando da CLI.Permita que os usuários tenham permissões de reversão. As permissões de reversão permitem que os usuários desfaçam uma ação realizada por um administrador, mas não permitem que eles comprometam as mudanças.
Você pode atribuir uma função administrativa a um usuário configurando uma classe de login para ter os privilégios necessários para a função. Você pode configurar cada classe para permitir ou negar acesso a declarações de configuração e comandos por nome. Essas restrições se sobrepõem e têm precedência sobre quaisquer bandeiras de permissão também configuradas na classe. Você pode atribuir um dos seguintes atributos de função a um usuário administrativo:
Crypto-administrator
— permite que o usuário configure e monitore dados criptográficos.Security-administrator
— permite que o usuário configure e monitore dados de segurança.Audit-administrator
— permite que o usuário configure e monitore dados de auditoria.IDS-administrator
— permite que o usuário monitore e limpe os logs de segurança do serviço de detecção de intrusão (IDS).
Cada função pode desempenhar as seguintes funções de gerenciamento específicas:
Cryptographic Administrator
Configura o auto-teste criptográfico.
Modifica os parâmetros de dados de segurança criptográfica.
Audit Administrator
Configura e exclui o recurso de pesquisa e classificação de revisão de auditoria.
Pesquise e classifique registros de auditoria.
Configura parâmetros de pesquisa e classificação.
Elimina manualmente os logs de auditoria.
Security Administrator
Invoca, determina e modifica o comportamento de auto-teste criptográfico.
Habilita, desativa, determina e modifica as funções de análise de auditoria e seleção de auditoria, e configura o dispositivo para excluir automaticamente os logs de auditoria.
Habilita ou desativa alarmes de segurança.
Especifica limites para cotas em conexões de camada de transporte.
Especifica os limites, identificadores de rede e períodos de tempo para cotas em recursos controlados orientados por conexão.
Especifica os endereços de rede permitidos para usar o Protocolo de Mensagem de Controle de Internet (ICMP) ou Protocolo de Resolução de Endereços (ARP).
Configura a hora e a data usadas nos carimbos de tempo.
Consultas, modificações, exclusões e cria o fluxo de informações ou regras de controle de acesso e atributos para a política de função de segurança de fluxo de informações (SFP) não autenticada, a política de função de segurança de fluxo de informações autenticada, os serviços de dispositivo não autenticados e a política de controle de acesso discricionária.
Especifica valores iniciais que substituem os valores padrão quando as informações de objetos são criadas sob SFP de fluxo de informações não autenticado, o SFP de fluxo de informações autenticado, a meta não autenticada de serviços de avaliação (TOE) e a política de controle de acesso discricionária.
Cria, exclui ou modifica as regras que controlam o endereço a partir do qual as sessões de gerenciamento podem ser estabelecidas.
Especifica e revoga atributos de segurança associados aos usuários, sujeitos e objetos.
Especifica a porcentagem da capacidade de armazenamento de auditoria na qual o dispositivo alerta os administradores.
Lida com falhas de autenticação e modifica o número de tentativas de autenticação falhadas através do SSH ou da CLI que podem ocorrer antes que o estrangulamento progressivo seja aplicado para novas tentativas de autenticação e antes que a conexão seja descartada.
Gerencia a configuração básica de rede do dispositivo.
IDS Administrator— especifica alarmes de segurança IDS, alarmes de intrusão, seleções de auditoria e dados de auditoria.
Você deve definir o atributo de função de segurança nas classes criadas para essas funções administrativas. Esse atributo restringe quais usuários podem mostrar e limpar os logs de segurança, ações que não podem ser realizadas apenas por meio da configuração.
Por exemplo, você deve definir o atributo de função de segurança na ids-admin
classe criada para a função de administrador de IDS se quiser restringir a compensação e mostrar logs de IDS para a função de administrador do IDS. Da mesma forma, você deve definir a função de segurança para um dos outros valores administrativos para restringir essa classe de ser capaz de limpar e mostrar apenas logs não IDS.
Quando um usuário apaga uma configuração existente, as declarações de configuração sob o nível de hierarquia da configuração excluída (os objetos infantis que o usuário não tem permissão para modificar) permanecem no dispositivo.
Exemplo: Como configurar funções administrativas
Este exemplo mostra como configurar funções administrativas individuais para um conjunto distinto e único de privilégios, além de todos os outros cargos administrativos.
Requisitos
Nenhuma ação além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Este exemplo ilustra como configurar quatro funções de usuário administrador:
audit-officer
da classeaudit-admin
crypto-officer
da classecrypto-admin
security-officer
da classesecurity-admin
ids-officer
da classeids-admin
Quando uma security-admin
classe é configurada, os privilégios para criar administradores são revogados do usuário que criou a security-admin
classe. A criação de novos usuários e logins fica a critério do security-officer
.
Neste exemplo, você cria as quatro funções administrativas de usuário mostradas na lista anterior (administrador de auditoria, administrador de cripto, administrador de segurança e administrador de ids). Para cada função, você atribui bandeiras de permissão relevantes para a função. Em seguida, você permite ou nega acesso a declarações de configuração e comandos por nome para cada função administrativa. Essas restrições específicas têm precedência sobre as bandeiras de permissão configuradas na classe. Por exemplo, apenas o crypto-admin
comando pode ser executado, o request system set-encryption-key
que requer ter a security
bandeira de permissão para acessá-lo. Somente a security-admin
declaração pode incluir a system time-zone
declaração na configuração, que requer ter a bandeira de system-control
permissão.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar commit
no modo de configuração.
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Procedimento passo a passo
Para configurar funções administrativas:
Crie a aula de
audit-admin
login.content_copy zoom_out_map[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
Configure as restrições de
audit-admin
classe de login.content_copy zoom_out_map[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
Crie a aula de
crypto-admin
login.content_copy zoom_out_map[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
Configure as restrições de
crypto-admin
classe de login.content_copy zoom_out_map[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
Crie a aula de
security-admin
login.content_copy zoom_out_map[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
Configure as restrições de
security-admin
classe de login.content_copy zoom_out_map[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
Crie a aula de
ids-admin
login.content_copy zoom_out_map[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
Configure as restrições de
ids-admin
classe de login.content_copy zoom_out_map[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
Atribua os usuários às funções.
content_copy zoom_out_map[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
Configure senhas para os usuários.
content_copy zoom_out_map[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Resultados
No modo de configuração, confirme sua configuração inserindo o show system comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit] user@host# show system system { login { class audit-admin { permissions [ maintenance security trace ]; allow-commands "^clear (log|security log)"; deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; security-role audit-administrator; } class crypto-admin { permissions [ admin-control configure maintenance security-control system-control trace ]; allow-commands "^request (system set-encryption-key)"; deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ]; security-role crypto-administrator; } class security-admin { permissions [all]; deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell"; deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ]; security-role security-administrator; } class ids-admin { permissions [ configure maintenance security-control trace ]; deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication | cryptographic-self-test | decryption-failures | encryption-failures | ike-phase1-failures | ike-phase2-failures|key-generation-self-test | non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename) |^request (security|system set-encryption-key) | ^rollback | ^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell"; allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ]; deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption- failures|encryption-failures|ike-phase1-failures|ike-phase2-failures| key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)" security-role ids-administrator; } user audit-officer { class audit-admin; authentication { encrypted-password "$1$ABC123"; ## SECRET-DATA } } user crypto-officer { class crypto-admin; authentication { encrypted-password "$1$ABC123."; ## SECRET-DATA } } user security-officer { class security-admin; authentication { encrypted-password "$1$ABC123."; ##SECRET-DATA } } user ids-officer { class ids-admin; authentication { encrypted-password "$1$ABC123/"; ## SECRET-DATA } } } }
Depois de configurar o dispositivo, entre commit no modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verifique as permissões de login
Propósito
Verifique as permissões de login para o usuário atual.
Ação
No modo operacional, insira o show cli authorization
comando para verificar as permissões de login do usuário.
user@host> show cli authorization Current user: 'example' class 'super-user' Permissions: admin -- Can view user accounts admin-control-- Can modify user accounts clear -- Can clear learned network info configure -- Can enter configuration mode control -- Can modify any config edit -- Can edit full files field -- Can use field debug commands floppy -- Can read and write the floppy interface -- Can view interface configuration interface-control-- Can modify interface configuration network -- Can access the network reset -- Can reset/restart interfaces and daemons routing -- Can view routing configuration routing-control-- Can modify routing configuration shell -- Can start a local shell snmp -- Can view SNMP configuration snmp-control-- Can modify SNMP configuration system -- Can view system configuration system-control-- Can modify system configuration trace -- Can view trace file settings trace-control-- Can modify trace file settings view -- Can view current values and statistics maintenance -- Can become the super-user firewall -- Can view firewall configuration firewall-control-- Can modify firewall configuration secret -- Can view secret statements secret-control-- Can modify secret statements rollback -- Can rollback to previous configurations security -- Can view security configuration security-control-- Can modify security configuration access -- Can view access configuration access-control-- Can modify access configuration view-configuration-- Can view all configuration (not including secrets) flow-tap -- Can view flow-tap configuration flow-tap-control-- Can modify flow-tap configuration idp-profiler-operation-- Can Profiler data pgcp-session-mirroring-- Can view pgcp session mirroring configuration pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura tion storage -- Can view fibre channel storage protocol configuration storage-control-- Can modify fibre channel storage protocol configuration all-control -- Can modify any configuration Individual command authorization: Allow regular expression: none Deny regular expression: none Allow configuration regular expression: none Deny configuration regular expression: none
Essa saída resume as permissões de login.
Como configurar uma conta de administrador local
Os privilégios do superusuário dão a um usuário permissão para usar qualquer comando no roteador e geralmente são reservados para alguns usuários selecionados, como administradores de sistema. Você (o administrador do sistema) precisa proteger a conta de administrador local com uma senha para evitar que usuários não autorizados tenham acesso a comandos de superusuários. Esses comandos de superusuários podem ser usados para alterar a configuração do sistema. Usuários com autenticação RADIUS também devem configurar uma senha local. Se o servidor RADIUS não responder, o processo de login reverterá para autenticação de senha local na conta do administrador local.
O exemplo a seguir mostra como configurar uma conta de administração local protegida por senha chamada admin
com privilégios de superusuários:
[edit] system { login { user admin { uid 1000; class superuser; authentication { encrypted-password "<PASSWORD>"; ## SECRET-DATA } } } }